Watch

GDPRゴールラインへの競争:米国のテクノロジー企業は欧州の厳格な新プライバシー法にどう備えているか

GDPRゴールラインへの競争:米国のテクノロジー企業は欧州の厳格な新プライバシー法にどう備えているか
EUの一般データ保護規則(GDPR)が金曜日に発効する。(BigStock Photo)

シアトルを拠点とするモバイル決済の新興企業、レミトリーなどの企業は、数か月間、ユーザーデータの全インベントリをマッピングし、プライバシーポリシーを更新し、顧客が個人情報にアクセスし、それを削除し、他のサービスに移動できるようにするツールを構築してきました。そして、すべては今週の金曜日、5月25日を念頭に置いて行われています。

レミトリーの法務顧問アーロン・グレゴリー氏。(レミトリーの写真)

ちょうど、欧州連合(EU)の新しい一般データ保護規則(GDPR)が発効する時期です。期限が迫る中、土壇場での慌ただしい対応に追われ、長時間労働を強いられる企業もあります。一方、Remitlyのような企業にとっては、規制の厳しい分野で既に培ってきた専門知識を活かし、数ヶ月にわたる努力の集大成と言えるでしょう。

レミトリーの法務顧問アーロン・グレゴリー氏は、これを規制版エベレストと表現した。企業は現在、26マイルのマラソンの最後の4分の1マイル地点にいるが、ただのマラソンではないと彼は述べた。「まるでアイアンマンだ。マラソンのゴールラインを越えたら、すぐに自転車に飛び乗るんだ」

GDPRは世界で最も厳格なデータプライバシー規則の一つです。EUに顧客を持つあらゆる企業に適用されるため、多くのアメリカのテクノロジー企業は、自社製品がGDPRに準拠していることを確認するために、多額の資金と長時間の労力を費やしています。私たち一般の人々がその影響を目にするのは、主にプライバシーポリシーの更新やデータ共有のオプトインを求める大量のメールという形です。

しかし、GDPRへの対応は、これらの企業にとって水面下で膨大な労力と費用を要してきました。IAPPとEYは、フォーチュン・グローバル500企業がGDPRへの対応に約78億ドルを費やすと推定しています。

GDPRへの対応は、グレゴリー氏と彼のチームにとって決して容易なことではありませんでした。しかし、初めての経験でもありません。Remitlyは、米国などの国で働く人々が発展途上国に送金できるモバイルアプリです。金融サービスであるため、Remitlyには既に、複雑な規制遵守業務に慣れた専門家チームがいます。グレゴリー氏は、ソフトウェアのように規制の緩い分野にとって、GDPRは「素晴らしい新世界」のように感じられるに違いないと述べています。

ボナンザ・プロジェクト・ディレクターのエイミー・ベル氏。(ボナンザ写真)

ポネモン研究所が4月に発表した調査は、この説を裏付けています。研究者たちは、9業種にわたる1,000社以上の企業に対し、5月25日の期限までにGDPRへのコンプライアンスに「満足」できる見込みがあるかどうかを尋ねました。「はい」と答えたのはわずか52%でした。最も自信を持っているのは金融サービスセクターで、63%の企業が対応可能だと回答しました。テクノロジー・ソフトウェア企業では、この数字は60%です。最も遅れをとっているのは小売業で、期限に間に合うと回答した企業はわずか43%でした。

シアトルのeコマースマーケットプレイス、Bonanzaのプロジェクトディレクター、エイミー・ベル氏は、チームがGDPRコンプライアンスに向けて数ヶ月間共同作業を行ったと見積もっています。「概要レベルです。最初の最大の課題は、GDPRの基本要件を理解することでした」と彼女は言います。

「要件は非常に複雑で、多くの法律用語が満載なので、要件が何であるかを理解することが最大の法的課題の1つでした」とベル氏は述べた。

ヨーロッパにユーザーを持つ企業に適用される主要な GDPR 要件の一部を以下に示します。

  • 企業はユーザーが保存した個人情報を確認できるツールを構築する必要がある
  • 企業はユーザーがデータを削除、修正、または移動できるようにする必要があります。
  • 企業はデータ侵害を72時間以内に当局に通知する必要があります。
  • 企業はユーザーデータの収集について、明示的な同意を得るか、「法的根拠」があることを証明する必要がある。
  • GDPR を遵守しない企業には、年間収益の 4% または 2,000 万ユーロのいずれか大きい方の罰金が科せられる可能性があります。

この最後の項目こそが、多くの企業が金曜日の期限までにコンプライアンス遵守を徹底しようと徹夜で取り組んでいる理由です。具体的に言うと、マイクロソフトの2017年の売上高900億ドルに対して4%の罰金を課すと、36億ドルになります。アマゾンの2017年の売上高は1779億ドルです。4%の罰金を課すと、同社は70億ドルの損失を被ることになります。

クラウドコンピュータ業界の大物であるAmazon Web Servicesを運営するAmazonは、3月にGDPRへの対応が完了したと発表した。

マイクロソフトの副法務顧問であるジュリー・ブリル氏のブログ投稿によると、同社は1,600人以上のエンジニアをGDPRプロジェクトに投入している。マイクロソフトは、欧州向けに開発中のGDPR準拠ツールを世界中の顧客に提供すると表明している数社のうちの1社である。マイクロソフトの顧客は、ここで個人データを閲覧、削除、移動することができる。

「EUのお客様と米国のお客様に対する対応の違いは、ほとんどの場合、それほど大きくありません。主な要件の多くは透明性に関するものであり、お客様についてどのようなデータを収集し、どのように使用しているかをお客様に理解していただくためのものです」と、ボナンザのGDPR責任者であるベル氏は述べています。「お客様に対して高い透明性を保つことは、私たちにとって非常に価値があると考えています。」

一部の企業がGDPR基準を欧州以外にも拡大している理由は他にもあります。EUや米国のような大規模市場では、データ利用基準が大きく異なるため、維持管理が困難になる可能性があるからです。

GDPRは金曜日に発効しますが、多くの専門家は、規制当局が施行前に企業に猶予期間を与えると予想しています。この種の法律には前例がほとんどないため、GDPRの実態は、規制当局が違反者への取り締まりを開始するまで明らかになりません。

「この複雑な規制枠組みは、プライバシー規制当局にとっても、私たちにとっても同様に新しいものです」とブリル氏はマイクロソフトのブログ投稿で述べています。「この規制の詳細な側面の継続的な解釈によって、コンプライアンスを維持するために私たち全員が取るべきステップが決まるでしょう。」