欧州連合(EU)の一般データ保護規則(GDPR)は、インターネットユーザーのプライバシー権を刷新し、企業が顧客やクライアントの個人情報を透明性を確保しつつ責任ある態度で取り扱うことを義務づけるための法律であり、2018年5月25日に施行された。
この法律を生み出すには長い時間がかかったが、施行されたときにはすでに、FacebookやCambridge Analyticaの個人情報の取り扱いに関するスキャンダルなどをはじめとする、ユーザーのプライバシーと同意に関するニュースが世間を騒がせていた。
GDPRはEU市民の個人情報を保護することを目的として設計されたものだが、ウェブ本来の性質がオープンなものであるため、不可避的に域外にも影響を及ぼしている。実際、EUの外部にある企業にも、このデータ保護法制に準拠する義務が生じる場合が多い。例えば、EU市民に対して商品やサービスを提供している場合などがこれに当てはまる。
GDPRは広範囲に影響を及ぼし、いくつかの想定外の結果を生んだ。例えば、米国の一部のニュースサイトは、欧州から閲覧できなくなった。代わりに、サイトがGDPRに準拠していないため、欧州のユーザーに対しては表示がブロックされていると説明するページが表示された。
施行から1年が経過し、一部のサイトではこの問題が解決されたが、依然として欧州のユーザーに対して保留ページを表示しているサイトもある。
しかし、引き続きマーケティングの対象にすることに対する明示的な同意を求めるメールの洪水や、サードパーティークッキーの存在について警告するウェブサイトの通知が目に付くようになったのは手始めにすぎず、その裏側では大きな変化が起きつつある。
SynopsysのシニアテクニカルエバンジェリストTim Mackey氏は、「米国では多くの面で、GDPRをクッキー通知の急増と結びつけて面倒なものだと考えるユーザーが多く、その本来の姿である、消費者に個人情報の収集に関する可視性とコントロール権を提供するための規制当局による試みだと見られることは少ない」と述べている。
しかし近い将来には、EUとは関係のない企業も、データ保護法制から逃れられなくなるかもしれない。これは、ブラジルやインドなどをはじめとして、世界中でプライバシー法制を導入しようという流れが強まっているためだ。
その1つがシリコンバレーが立地するカリフォルニア州であり、同州では2020年1月1日に「California Consumer Privacy Act(カリフォルニア州消費者プライバシー法)」が施行される予定になっている。
この州法は、自らの個人情報の使途に関する権利を拡大しているという面ではGDPRに似ているようにも見えるが、複数の点で大きく異なっている。
