欧州連合(EU)の一般データ保護規則(GDPR)が施行されたのは2018年5月25日のことだ。GDPRは、プライバシーと情報の利用に関する同意についてのルールをデジタル時代をふさわしいものに改めるとともに、組織は責任を持って顧客の個人情報を扱う一方、顧客は個人情報がどう扱われるかを知り、それに同意を与える社会を作るために定められたものだ。
この法律では、組織は個人情報の保護について事前に注意を払わなければならず、攻撃や情報漏えいの被害を受けて個人情報に不正にアクセスされた場合、インシデントを認識してから72時間以内に、その事実を関係当局に報告するよう定められている。
GDPRの施行が近づくと、企業は個人データの扱い方を改善しようと急ぎ、例えば顧客から個人情報を引き続き所有することへの明示的な同意を取り付けたり、GDPRに対するコンプライアンスを確保するプロジェクトを監督するデータ保護担当者を雇い入れたりといった対応に追われた。
なぜそれほど急ぐ必要があったのだろうか。それは、GDPRが導入されたことで、違反した場合、高額な制裁金を科される可能性が出てきたためだ。この法律によって、国のデータ保護を所管する機関は、GDPRに違反していることが明らかになった組織に対して、全世界の売上高の4%に相当する制裁金を科すことができるようになった。世界的な大企業であれば、制裁金の額は数十億ドルに達する可能性がある。
中には、データ保護機関は2018年5月25日を迎え次第動きを見せ、GDPRが施行されるとすぐに多額の制裁金が科される事態が訪れると考えていた人もいた。これまでにもっとも注目された例は、フランスのデータ保護機関「情報処理と自由に関する国家委員会」(CNIL)がGoogleに対して、GDPRが定める透明性に関する規則に違反していること、広告に関するユーザーデータの処理に法的根拠が欠如していることを理由として、5000万ユーロ(約62億円)の制裁金を科した事例だろう。
これは、これまでにGDPRに基づいて科された制裁金としては最大のものだが(ただしGoogleはこの決定に対して不服を申し立てている)、Googleのような巨大企業にとって5000万ユーロははした金にすぎないかもしれない。この制裁金では不十分だったいう意見があるだけでなく、GDPR自体が期待外れだったと主張する人さえいるほどだ。
しかし、5月25日を迎え次第多額の制裁金が科されると予想していた人々は、おそらくGDPRに対する理解が足りていなかったか、データ侵害通知に関する調査に結論が出るまでには長い時間がかかることを知らなかったのだろう。
