GDPRとは?クラウドに影響を与える欧州の新しいデータ保護法に関するGeekWireのガイド
トム・クレイジット著
今年5月、ヨーロッパ全域で包括的な新しいデータ保護法が施行されます。この法律は、ヨーロッパ大陸全域におけるテクノロジー企業のビジネス展開方法を大きく変えるでしょう。この法律は「一般データ保護規則(GDPR)」と呼ばれ、EU加盟国がそれぞれ異なるプライバシーポリシーを単一の規則に統合することを目的としています。
2年前に承認されたこの規制は、ある意味では歓迎すべき動きと言えるでしょう。極端に地域的なデータ保護法は、ヨーロッパをそれぞれ異なるルールを持つ複数のデータサイロに分割する恐れがあり、それらすべての法律を遵守する複雑さは、ヨーロッパで事業を展開するクラウドスタートアップ(そして大企業)にとって法外なコストを伴っていたでしょう。しかし、GDPRはデータ取り扱いに関して新たな厳格な基準を設定し、違反した企業には厳しい罰金を科します。
大手テクノロジー企業で欧州の顧客データを扱っている方は、おそらく5月の期限をめぐってY2K問題のような会議をしばらく前から開催しているでしょう。しかし、もしあなたが中小企業、欧州でサービスを提供しようと立ち上がったばかりのスタートアップ企業、あるいは単にデータ保護法の将来に関心があるのであれば、知っておくべきことを以下にご紹介します。
GDPRとは何ですか?
現代社会においてインターネット上の個人データをいかに取り扱うべきかについて、欧州全域で多くの議論が交わされた後、EU議会は2016年4月にGDPRを承認しました。大規模な個人データ漏洩が蔓延し、テクノロジー企業への不信感が高まっている世界において、企業が個人データをどのように取得、保管、廃棄すべきかについて明確なルールを定めることは、大きな関心を集めています。
これらの規制において、「個人データ」には、メールアドレスからクレジットカード情報、医療記録まであらゆるものが含まれます。欧州にユーザーがいる場合は、これらの新しい規則の対象となる可能性があります。
それで、新しいルールは何ですか?
GDPR の主な目的は、欧州連合諸国間でデータがどのように扱われるべきかについて明確な期待を設定することです (Brexit の大惨事については後ほど説明します)。
おそらく、新規制の最も重要な要素は、インターネット上でEU加盟国の個人データを収集する者は、そのデータをどのように、そしてなぜ「明確かつ平易な言葉を用いて」収集するのかを明確に説明しなければならないという要件である。これは、クラウドサービスプロバイダーが、難読化の技術に長けた法律専門家が作成した定型的なプライバシーポリシーを自社のサイトに貼り付けることができなくなり、データ収集のオプトアウトやアカウントの削除方法を明確に示さなければならないことを意味する。
誰もが注目すべき新たなルールが1つあります。企業は、個人情報が漏洩した可能性のあるセキュリティ侵害について、欧州の顧客に72時間以内に通知しなければなりません。これは、企業が侵害を認識してからの72時間以内です。これは多くの企業が慣れ親しんでいる業務よりもはるかに短い時間です。Equifaxは今年初め、大規模なセキュリティ侵害について米国顧客に通知するまでに数週間を要し、Uberはセキュリティ侵害に関する情報を1年以上も保有していませんでした。
もう一つの重要なルールは、「忘れられる権利」、つまりインターネットサービスに対し、公開されているコンテンツの削除を要求する権利です。サービス側は、この要求と、その情報を知る権利を天秤にかけることができます。つまり、有害な情報を消去しようとする政治家と、間違いを犯したティーンエイジャーに対して異なる扱いをすることが可能になります。しかし、企業はこうした要求を考慮するための方法を確立する必要があります。
これは少し曖昧で複雑に聞こえる
そうなるかもしれません!例えば、新たな要件の一つは、企業に製品開発において「プライバシー・バイ・デザイン」アプローチ、つまり後からプライバシーツールを追加するのではなく、コードの最初の行からプライバシーを考慮することを指示しています。それが実際にどのようなものなのかについて、理性的な人々の間で意見の相違が生じる可能性や、規制当局が新しいアプローチの優位性を理解していないために、新興技術や手法を用いたより新しく強力なプライバシー保護手法の導入が阻まれる可能性も容易に想像できます。
企業はまた、データ処理方法に関する社内記録を保持する義務を負う。これは、国境を越えて事業を展開することに慣れた大企業では一般的だが、明確なポリシーを持たない新規参入企業にとっては問題となる可能性がある。「大規模なデータ主体の定期的かつ体系的な監視を必要とする」サービスを提供する一部の企業は、「データ保護責任者」を任命する必要もあるが、「大規模」とは具体的に何を意味するのかは明確ではない。
しかし、EU加盟国全てが独自のデータ保護法を制定するという選択肢よりはましです。これは2014年の合意以前から始まっており、Amazon Web Services、Microsoft Azure、Google Cloud Platformのデータセンターをヨーロッパで利用するユーザーにとっては日常茶飯事ですが、国境を越えてデータをやり取りするクラウドサービスの運営は、実に厄介な問題になっていたでしょう。
英国のユーザーについてはどうすればいいですか?
Brexit プロセスの混乱が実際にどのような結果をもたらすにせよ、英国は GDPR にほぼ準拠した独自のデータ保護法案を検討しているため、GDPR の要件に沿ってデータ処理戦略に加えた変更は英国でも適用されるはずです。
これは米国のデータ保護法に何らかの影響を与えるでしょうか?
現在の政治情勢、おそらく企業利益のための一世一代の土地収奪とも言える状況下では、新たな米国消費者データ保護法が成立するなど想像しがたい。しかし、GDPR規則は米国の消費者データの取り扱いに微妙な影響を及ぼす可能性がある。欧州で大規模な事業を展開する大企業は、ユーザーがサービスを利用した地域ごとに個別のデータ取り扱いポリシーを維持するよりも、GDPR規則を基準としてすべての顧客を一括りにする方が簡単だと判断するかもしれない。
さらに、ヨーロッパに新しい規制の試験運用を許可することで、米国における将来のデータ保護法の取り組みをより適切に情報提供できるようになるでしょう。技術的な問題、法的決定、官僚的な惰性などが組み合わさって、すべての関係者に最善のサービスを提供するために GDPR 規則を微調整または変更する必要がある領域が明らかになることは間違いありません。
いずれにせよ、データ保護に関する長期的な懸念は確実に消えることはありません。企業がGDPRの要件に適応していくにつれて、これらの懸念がどのように展開していくのか、より明確になってくるでしょう。
(編集者注: この投稿は、GDPR が承認された年を修正するために更新されました。)
