EU一般データ保護規則GDPR(RGPD)が5月25日の本日より施行されます。最近フェイスブックの個人情報スキャンダルが騒がれただけに、この新たな個人情報保護ルールの施行が注目をあつめています。
たくさんの「同意しますか?」メール
本日の施行以前から、オンラインサイトやメルマガを発信する企業より多くのメールがユーザー宛に送られています。
新ルールによる「個人情報の取得に本人の同意を得ること」を遵守するため、「GDPR施行後も、つまり本日以降もメルマガや宣伝のメールを受け取りたいですか?」というお伺いメールを数多くの企業が送り始めたからです。本人が同意しなかった場合や拒否した場合、宣伝やメルマガを送り続けることはできません。
今まで、知らない間に見覚えのない企業や団体から広告メールが来ていることが多々ありましたが、「これでスパムメールが無くなる日が来る」と伝えるIT専門誌もあります。
個人情報保護さらに強化
すでにフランスの個人情報保護は十分行われているものの、今回の新規則によりEU域内での足並みが揃うこと、そしてデジタル情報の管理義務が強化されたところが歓迎されています。
情報取得への同意、告知義務など多岐
欧州域内に在住する個人は、たとえば
- 個人情報の利用規約を知る権利
企業や団体が、取得した個人情報が何のために利用され、その情報はどのぐらいの期間保管されるのかを知る権利があります。
- 個人情報の閲覧、変更、削除の権利
自分の個人情報を閲覧し、変更、削除する権利があります。また、企業や団体に対し、個人情報の利用を許可していたとしても、後から取り消すことができます。
- 忘れられる権利
すでに存在する権利ですが、検索結果に出てくる、つまりインターネット上で公開され続けることが、個人に著しく迷惑や損害を与える場合に適用されます。しかしながら、言論や表現の自由の規制とは異なり、その情報が公益となる場合は適用されません。
- 個人情報を移行できる権利
Eメールを管理するプロバイダーを変更した際に、以前のメールを移行することができるようになります。これは、たとえば電力会社や銀行を変更した場合にも適用され、過去の記録を次の電力会社や銀行に移行するか、本人に過去のデータをすべて渡す義務が発生します。
企業への試練
上記の内容の他、新規則は88ページにも及び、欧州域内企業や欧州域内に商品を販売したりする企業すべてに適用されます。
該当企業は、
- 個人情報の取得に対し個人の同意を得る
- 閲覧や変更削除に応じる
- 取得した情報をEU域外に持ち出すことに本人の許可を取る
- データ保護管理者を配備
する義務があり、違反した場合の制裁金は最高で20万EUR(約2550万円)、もしくは連結売上の4%と重くのしかかります。
大企業はすでに対応済が多いが・・・
フランスの大手企業はすでに1年以上前から準備を開始、施行前に対応をしている企業がほとんどです。
たとえば、フランス郵政公社(La Poste)は1年半前から準備を始め、個人情報を600カテゴリー(人事、顧客、広告など)に分けて検証し、400人の社員が研修するなど行い対応は完了している、とル・モンド紙のインタビューに答えています。
しかしながら、中小企業などはGDPR対応を放置していた企業も多く、今月に入って慌てて対応を始め、悪質業者などに騙されるケースも発生しています。
GAFAを狙った欧州の反撃?
GAFA(Google、Apple、Facebook、Amazon)が欧州域内のみならず、その情報量で世界を制したと言われて久しいですが、今回の新規則がそもそもこれらのアメリカ企業を牽制するためと言われています。
しかし、これら巨大グローバル企業はすでにGDPR対応をしており、逆に欧州域内の中小企業の競争力を削ぐのではないかと危惧する声も上がっています。
「同意」のクリックにはご注意を
フェイスブックなどは今回の施行を逆に活用しています、つまり本人同意確認メールの中にある「標準(スダンダード)利用規定」の中に、「顔認証の許可」を巧みに織り込んでいます。面倒だからと同意してしまうと、顔認証にも許可を与えたことになってしまいます。利用規定を読まずにクリックせず、規約を注意深く読んでから同意する必要があります。
厳しすぎて欧州ユーザーを拒否
欧州域外の企業にも適用となるこの厳しい規則に対し、欧州域外の企業の中には欧州ユーザーを諦める企業も出てきています。たとえば、韓国のゲーム会社が制作した、ラグナロク(Ragnarok)というオンラインゲームは、フェイスブック上で「欧州域内在住ユーザーを拒否」すると発表し、欧州域内在住ユーザーの怒りを買っています。
執筆:マダム・カトウ
