欧州の「一般データ保護規則(GDPR)」が導入された2018年は、各国の規制当局にとっても、企業にとっても重要な年となりました。個人情報を保護し、そうした情報に関わる個人の権利を尊重する企業や政府の動きがありました。
Commvaultは、英国ロンドンで2018年11月に開催された第1回「Data Protection World Forum」でデータプライバシーに関する最新の調査を実施しました。その結果によると、まだやるべきことが残されていると示唆されています。この調査では、ITとデータの専門家の80%がGDPRなどのデータ保護規則に対し、現在の会社でのコンプライアンスに十分自信が持てないと回答していますが、いまだに37%が、さらなる規制が必要だと考えています。これは顧客の見方の変化を反映しています。データプライバシーは個人の人権であり、商業的利益に取って代わられるものではありません。
GDPRのようなデータ保護規則に対応する企業の意識は分かれている(出典:Commvault)
それでは、さらに規制ができるとしたらどのようなものでしょうか。ここでは、データプライバシーの将来像を作ると予想される3つのトレンドを挙げます。
消費者の活動:
われわれは、消費者がデータプライバシーに対する意識を高め、関与していくことが、データプライバシーの定義や適用方法について、より大きな議論を引き起こすことになると考えています。さらに、企業がどこから消費者の情報を入手したのかを突き止めることができる方法をより多く消費者に提供し、また、個人の権利に関するより透明性の高い情報を提供することで、承認の取り消しや無効化のプロセスが容易になることを期待しています。例えば、メールが不正アクセスされた時の情報漏えいを確認できるウェブサイト「Have I Been Pwned」などのサービスが必要となってくるかもしれません。
これにより、企業や慈善団体に関係なく、消費者と組織の間で信頼に関する議論に発展します。情報漏えいや勧誘詐欺、データ悪用などの事象は、全て個人が営利/非営利団体に対して抱く信頼を損なわせるものです。こうしたダメージは修復可能だと確信していますが、データがどのように利用されているのか、また、利用されていないのかについて、透明性を通じた信頼と消費者との率直な関係を得るためには組織側から働きかける必要があります。
消費者はまた、GDPR違反に対し規制当局がどのような制裁を執行するかについて、影響力を持っています。個人情報保護委員会のような組織がインターネット全体のポリシー違反を監視することは不可能なため、不当な扱いを受けた市民は、彼らにとって重要な問題について抗議します。全員が権利を行使すべきですが、どのような違反行為にどのような罰金が科されるのか、いまだ様子見です。公衆の利益にかなうよう、規制当局に圧力がかけられているか見守っています。
国際的協調はいまだ発展途上:
GDPRの公式な導入以来、米国のカリフォルニア、南米、アジア太平洋などで独自の法律を制定する動きが見られます。日本でも、個人情報流出を起こした企業に対して報告を義務付ける方針が政府によって取りまとめられました。今後、個人情報保護委員会が主導して個人情報保護法の改正を進め、2020年にも国会へ法案提出される見通しとなっています。
GDPRに関しては、日本は「データ保護水準が十分な国」と認定され、個人データの流通を例外的に認める枠組みがEUとの間で発効されました。しかし他国においては、提案されている多くの草案や新しい規制は、GDPRよりも厳格なものではありません。理想的な世界では、国際ビジネスの文化がデータプライバシーの国際標準となりますが、国民を監視しているような国が存在する世界では、そのようなことは期待できません。
それどころか国際舞台では、国際的な企業が通常の業務でデータプライバシーにどのようにアプローチしているかについて、法律が執行されるかもしれません。全ての企業に利益をもたらすような、世界規模で最も厳しい基準を適用するために最大限働きかける企業があるでしょう。また地域によってリスク評価や行動する企業もあれば、重大な罰が執行されたケースが限られているため、規制に対して口先だけで支持する企業もあります。
とはいえ、Googleに対し課された5000万ユーロの罰金は人々を驚かせたかもしれませんが、世の中の多くの企業はさほど心配していないと、われわれは考えています。収益全体の割合からいえば、大企業にとっては取るに足らないものです。さらに、Googleは世間の注目を浴びる実に巨大な企業なので容易に標的となり、その他の大企業の多くはそれほど大きくないため安全だと感じています。
