世界で広がる「プライバシー保護規制」
私たちが取るべき対策は？

皆さん「プライバシー」って普段意識されていますか？例えばWebサイトを回遊していて、「自分の興味のあるバナー広告がよく出てくるな」と思うこともありますよね。
自分自身の興味の範囲や利便性の向上のために個人データが使われることはおそらく問題ないと思われる方がほとんどだと思いますが、自分の知らないところで勝手に位置情報や、検索エンジンに入力したキーワードを他人に知られて使われてしまうとしたら恐怖を感じませんか？

インターネットにすべてがつながり、日々皆さんがネット上で行動することで、ネットの向こう側の企業や公的機関にいる「知らない誰か」に個人データを勝手に知られ、使われることで、実際に精神的苦痛や金銭的被害を受けるという事態がこれまでも発生してきました。 このようなプライバシーの侵害がないように、世界各国では法律の整備を進めてきました。

EUおよび関連諸国の動き

特にEUでは、ヨーロッパ大陸で過去1000年以上に渡って為政者の暴走で、異教徒や異民族の大量虐殺など人権が踏みにじられる行為が行われてきた反省をもとに、第三者機関が民間のみならず公的機関も監視できる枠組みを法律に組み込んでいます。
そして「人権」の1つである「プライバシー」の保護に関してGDPR（General Data Protection Regulation：一般データ保護規則）が2018年5月に施行されました。GDPRは2012年のファーストドラフト以降議論を重ね、極めて迅速に可決・施行されました。その後、ヨーロッパの旧植民地を中心に、世界中にGDPRを真似する動きがでてきています。 この法律は、個人データの管理主体を企業側・公的機関側から個人個人に取り戻すという思想が根底に流れています。私自身もIIJ Europeに赴任した2014年からGDPRの研究をはじめ、IIJではいち早くGDPR対応を行ってきました。

UNCTAD Data Protection and Privacy Legislation Worldwideより:
（https://unctad.org/en/Pages/DTL/STI_and_ICTs/ICT4D-Legislation/eCom-Data-Protection-Laws.aspx）

米国の動き

そのような折、2018年3月にはケンブリッジ・アナリティカ事件^*が起き、2016年の米国大統領選挙や英国のEU離脱に関する国民投票の際に、Facebookを通じて世論操作を行っていたことが内部告発で発覚しました。
この事件がきっかけの1つとなり、「身勝手で行き過ぎた個人データの利活用は、民主主義の根幹を揺るがしかねない」と、これまで個人データの利活用を自由奔放に行わせ巨大企業を生み出してきた米国も、「個人データ保護」の方向へ舵を切り、2020年1月には、カリフォルニア州消費者プライバシー法（CCPA）が施行されました。また現在連邦法の成立に向けて議論が活発に行われています。CCPAは施行からわずか4か月の間に既に集団訴訟が30件以上起きており、企業がプライバシー保護規制を遵守しなければ、数百億円から数千億円という損害賠償を個人個人に支払わなければならないという大きな経営リスクとなっています。

世界へ広がる個人データ保護法整備

また、個人データはもはやデジタルデータとして国境に関係なく流通するため、通商交渉上、強固な個人データ保護法を持たないと不利になるという背景から法整備の動きは世界中に広まっており、現時点で世界の約76％の国々が何らかの個人データ保護法を保有/作成している状況です。また、この動きは今後も止まらず全世界に拡がると考えられています。

各国毎に定義は微妙に異なりますが、一般に個人データは直接的に個人を特定できる氏名、住所等だけではなく、それに紐づくありとあらゆる情報を個人データとして扱います。
このような個人データは本来個人個人が自分自身でどこまで事業者や公的機関側に開示するか？開示を止めるのか？ということを、いつでも自由にコントロールできるのが筋です。しかし現時点では、個人データを個人側が強固に管理できる社会的な仕組みは十分に確立されていません。各企業や公的機関は個人データの取得にあたり、

• 取得目的や手段、第三者提供や削除基準などを明確に説明
• 目的外の利用を行わないことをプライバシーノーティス等の規約で明言（透明性の確保）
• 規約への同意を記録（個人データ利用の適法根拠が同意の場合）

が求められていますが、個人はそれを信用するしかありません。そのため透明性の高い情報開示を行っている企業や公的団体は個人からの信用力があがっていく仕掛けになっています。
また、同意は個人の意思でいつでも撤回することが法律上許されており、同意を撤回された際、データ提供を受けていた企業や機関は個人データの削除や同意をしていたサービス（例えば、メールマガジンの送付など）を停止することが義務となっています。

このように世界中でプライバシー保護規制が広がっているのですが、各国における法律には違いがあります。例えば

• 個人データを当該国に保存しなければならない
• 第三国には原則として個人データを移転してはいけない
• 個人データの侵害が発生した場合、当局へ一定時間内に報告しなければならない

など細かな点で違いがあります。
さらに、法律はどんどん改訂されていきます。
このような世界中のプライバシー保護規制の最新情報を自社で全て追いかけるのは非常に大変です。IIJでは、1600社を超えるお客様に対して情報提供サービスを行っており、世界中のプライバシー保護規制を毎日追いかけ最新情報を提供しています。

プライバシー保護規制対応は新たな経営リスクということを少し述べましたが、大別すると以下の7種類のリスクになります。

1. 1当局による制裁金リスク
2. 2集団訴訟による損害賠償リスク
3. 3消費者へのレピュテーション低下・不買運動等による売上減少リスク
4. 4取引先へのレピュテーション低下。取引停止リスク
5. 5上場企業の場合、取締役の善管注意義務違反に対する訴訟リスク
6. 6上場企業の場合、株価低下、格付け低下による財務リスク
7. 7スマホアプリで商売している場合、Google、Appleの配信停止により販売チャネルを失うリスク

事業者の規模や個人データの取得内容・数によりますが、1兆円企業の場合、制裁金のリスクはGDPRで最大400億円ですが、集団訴訟や財務リスクを考えると数千億円規模になることが想定され、企業の存続に関わるリスクになるのです。

IIJビジネスリスクマネジメントポータル（https://blog.bizrisk.iij.jp）

このようなリスクを低減させるためにIIJでは、次のサイクルでフルラインナップのサービスを提供しています。

1. A常に最新のプライバシー保護規制の情報を収集（IIJビジネスリスクマネジメントポータル）
2. B各国法への初期対応（コンサルティングサービス）
3. C運用による継続的なプライバシー保護レベルの向上（DPOアウトソーシングサービス、EU代理人サービス、有事対応支援サービス）

また、最近では、お客様がAIを使ったサービスやConnected Carなど新規ビジネスを検討する際に、設計段階から世界各国のプライバシー保護規制に対応する支援を行っています。設計段階からプライバシー保護を意識することで、コストダウンを行いながら効率的な運用の仕組みを構築することが可能となります。

今後もますますデジタルトランスフォーメーションが進む中で、個人データの利活用が進みますが、プライバシー保護を重視する企業だけが消費者から信頼され、生き残れるのです。我々はそのような企業や機関を支援し、透明性の高い社会の実現をこれからも支えてまいります。