Facebookのデータ不正利用問題、米国で規制強化の引き金を引く可能性も
欧州連合(EU)在住者のプライバシー保護に関する新たな規則「一般データ保護規則(General Data Protection Regulation:GDPR)が、2018年5月25日から施行される。個人データの利用を巡っては、このほどFacebookで最大8700万人もの大量の個人情報が不正利用された問題が発覚し、同社のマーク・ザッカーバーグ最高経営責任者(CEO)が4月10・11日に米国議会の公聴会で謝罪したばかりである。
公聴会では、IT企業が本人の同意なしに個人情報を収集・利用していることに対する批判の高まりを背景に、規制強化の必要性を問う質疑が長時間交わされていた。本件を機に一定の規制強化が進む可能性は高く、仮に米国で関連の新法規が制定された場合は、GDPRと同レベルの厳しい内容となることが想定される。
広がるデータ利活用と、急速に変わる世界のデータ保護ルール
世界経済フォーラムのテクノロジー・パイオニアを務める起業家のネイサン・イーグル氏によると、世界のデータ市場は2024年までに50兆円規模以上の規模に成長するとの予測が示されている(*1)。データはもはやデジタル社会の基盤であり、収益を生み出す源泉と言える。企業はさらなる付加価値を提供するため、顧客データにどうアクセスし、どのようにビジネス展開すべきか、という命題に日々直面している。
*1:出典 世界経済フォーラム公式サイト「What's the value of your personal data?」(2014年)
今や、私たちの日常生活に不可欠な存在となっているFAANG(Facebook、Amazon.com、Apple、Netflix、Googleの5社)は、無料あるいは低価格の魅力的なネットサービスの提供を通じ、急拡大してきた。彼らはソーシャル・ネットワーキング・サービス(SNS)、電子商取引(EC)、さまざまなアプリ機能、映像配信、検索エンジンや地図案内などのサービスを起点に、億人単位の消費者から収集したデータを軸に、消費者ごとにパーソナライズされた広告や商品サービスを提供し、莫大な収益を生んでいる。
さらに、FAANGの巨大化したデータを軸に、IoTであらゆるモノやセンサーがネット上でつながり、例えば、会話する家電としてのスマートスピーカーや、カメラを通じて人の動きをモニタリングする遠隔監視システム、車載センサーなどを通して、より詳細な個人情報を収集できるようになった。また、データの利活用はもはや一企業グループ内にとどまらず、競争力や付加価値を高めることを目的とした異業種とのデータ連携が加速している。
このように、かつてないほど情報を活用した価値創出が可能になった現代社会において、適切な法規制の下で情報を利活用していくことが不可欠となっている。
前述のFacebookの個人情報の不正利用などの問題を背景に、ネット企業が自社のプラットフォームに集積した個人データを使って広告収益を稼ぎ、そのデータを周辺企業が利用するという仕組みに、人々が疑問を持ち始めている。こうした変化を背景にデジタル社会の信頼性を高めるべく、本質的な取り組みに注力すべき時期が到来したのではないだろうか。
本質的な取り組みとは、個人データ保護規制への対応を単なる負担としてとらえるのではなく、カスタマージャーニー(顧客が購入に至るプロセス)を目的としたビジネス機会として認識することを意味する。つまり、消費者からの圧倒的支持を得る機会として、個人データの規制対応をとらえる視点である。企業はデジタル領域における倫理を戦略の中心に据えなければならない。セキュリティの強化だけでは、もはや不十分である。
GDPRにとどまらない諸外国へ拡大するデータ保護規制
EUが2018年5月25日から施行するGDPRは、基本的人権の保護という理念の下、個人情報の越境移転および域外適用を規制している。このような個人データを域内で管理していく動きは世界的なトレンドであり、GDPRの施行をきっかけに今後データの域内管理の世界的標準が整備されていく可能性がある。
EUは1995年に適用されたデータ保護指令(指令=Regulation)から、執行力を有するGDPR(規則=Directive)へと強化を進めた。その20数年の間、データの越境を禁止する国・地域は拡大しており、日本は2017年の改正個人情報保護法で個人情報の海外への移転を制限する規定を盛り込んだ。現在、越境移転を規制する国は十数カ国に及んでいる。
また、個人データへの規制に加え、対象となる取得データを国内サーバで保管・処理させるデータ・ローカライゼーション規制にも留意する必要がある。対象となるデータは、国別の規制目的により多岐にわたる。例えば、政府や公的機関、情報通信、金融、バイオ・ヘルスケアなどの産業育成や、監視活動を目的とする場合があり、企業ビジネスを行う国・地域別に対策を考慮する必要がある。
最も厳しい規制をかけている国としては、国策・国防の観点から自国の重要機密データ保護を目的としたデータ・ローカライゼーションを求める中国、ロシア、インドネシアが挙げられる。中国は2017年のサイバーセキュリティ法で個人データおよび機密データの国外持ち出しを規制した。ロシアは2016年に電子通信関連データを対象としたデータ・ローカライゼーション規制を制定した。インドネシアでは2012年以降に3種類のデータ・ローカライゼーションに関する規制が出されている。
次に、厳しいと言える規制がGDPRであり、人権保護の観点からプライバシー保護を目的としたデータ・ローカライゼーションを定めている。その次に厳しい規制としては、データ種類や特定の条件を設けた上で持ち出しを禁止とする国がある。さらに移転制限の項目自体を設けていない国もあるが、米国では越境移転に関する法律がない場合でも、連邦取引委員会や業界や州ごとに、事業者へ対する自国内でのデータ保存を求めるケースがある。前述のとおり、Facebookのデータ不正利用問題を機に、法規制強化が進む可能性がある。
このように、各国の情報保護規制は異なり、世界中でデータの争奪戦が激しくなる中、企業は、国外における情報管理上のコンプライアンスを遵守しているかどうかを的確に監視し管理していく必要がある。
なお、APEC(アジア太平洋経済協力)ではプライバシーに関するフレームワークとして、「越境プライバシールール(CBPR:Cross Border Privacy Rules)システム」を構築している。日本は、米国、メキシコに次いで、2014年からCBPRシステムへ参加しており、認証機関より認証を受けた企業などは、APEC域内で個人データの越境移転を行うことができる。
現在、アジア諸国が参加を検討中だが、参加が実現すれば、APEC内での利便性が向上する。さらにEUが、APECのフレームワークを認定した場合は、APECの仕組みを守ることで、EUからの個人情報の移転も可能になるといったグローバルなフレームワークが実現する。
将来的にはデータ管理を巡る大きな枠組みの下、全世界規模で情報管理の標準化が進むことが予見されるが、その先駆けとなる今回のGDPRは、グローバル企業の情報管理における重要なマイルストーンと言える。