2018年はデータプライバシーとデータ保護の基準に関する規制が変更された年として記憶されるでしょう。もちろん、GDPRが2018年5月に施行されたことを指しています。
GDPRは昨年から施行されていますが、どの程度効果的なのか、そしてコンプライアンス違反が認められたときどのような結末になりどのような波及効果があるのかについては、まだ不明瞭な部分が多々あります。知られている限りでは、大企業の中にはすでに精査が進行しているところもあるようですが、中小企業に関してはどうなのでしょうか?GDPRは本当にそれほど広範囲に及んでいますか?そもそも監督当局(SA)には、GDPRに関するあらゆる違反行為を調査するためのリソースは十分にあるのでしょうか?
2018年がGDPRが施行された年であるなら、2019年はGDPRが実際に適用され効力を発揮した年になるのではないでしょうか?2019年の終わりまでには訴訟が起こされると予測されます。
各EU加盟国は、データ保護基準に関して企業を監督し、GDPRを適用するために独自のSAを保有しています。イギリスのICO (個人情報保護監督機関:Information Commissioner Office) も、少なくともEUを離脱するまでは、イギリスでGDPRを執行する責任があります。ICOは、以前の1998年のデータ保護法のコンプライアンス違反に対してもまだ罰金を科しているようですが。
筆者が考えるGDPR違反が疑われる三大企業は以下の通りです。
1. フェイスブック
ケンブリッジ・アナリティカのスキャンダルを受けて、フェイスブックはGDPRコンプライアンス違反に対するICOの最初のターゲットの1つになるでしょう。スキャンダル自体は、GDPR施行以前に発生しているので、フェイスブックのこのユーザーデータの扱い方はGDPR下での調査の対象にはならないかもしれませんが、フェイスブックのずさんな個人データ処理方法についてはしっかり精査する必要があるでしょう。
実は、ICOは、フェイスブックにすでに50万ポンドの罰金を科しています。誤った情報が流れているようですが、これはGDPRとは無関係で、GDPRに移行する前の1998年のデータ保護法のコンプライアンス違反に対する課徴金です。
もし、フェイスブックが、意図的にデータをマイニングし、それを広告の形で販売し、資金を提供する誰かのために誤った情報を広範に公衆に流すことができるとしたら、どうでしょうか?彼らにはそれが可能です。また、彼らはAPIをうまくコントロールできていないようです。最近の調査結果は、ハッカーがいかに簡単にアクセストークンを使用してユーザーのフェイスブック・プロファイルに不正にアクセスすることができたかを報告しています。
データを使って何をするのかをユーザーに伝え、ユーザーがそれを拒絶できる方法を明示的に与えられていれば何も問題はありません。言うまでもなく、フェイスブックは、個人データを実際にどのように使用するかについて完全に明瞭な説明は行っていません。この点が、フェイスブックがGDPRコンプライアンス違反に問われる理由であり、筆者は近い将来訴訟が起きると予測しています。
するべき正しいことを行っていないという実績を積み上げてきたフェイスブックは、信頼を失いつつあるようです。
2. ブリティッシュ・エアウェイズ
2018年9月、ブリティッシュ・エアウェイズがセキュリティ侵害にあっていたことが判明しました。大部分において、彼らの対応は上出来でした。問題を速やかに報告し、新聞広告を掲載して可能な限り多くの人に自分たちの過失を周知しました。
EU在籍者の個人データを保護するために全力を尽くしている限りは、データ侵害それ自体だけでGDPR違反の制裁金を科されることはありません。速やかに報告し、データ侵害をタイムリーに公表したことは、ブリティッシュ・エアウェイズが誠意を持って行動したと評価され、心証は良くなります。
ただ、問題は、ブリティッシュ・エアウェイズが、データ侵害が確認される少なくとも1年前に、サードパーティーのプラグインが原因で自社のWebサイトに脆弱性があることを知っていた点です。ウェブサイトのこの脆弱性問題を解決するための対策は何もなされていませんでした。ブリティッシュ・エアウェイズは、この点を重く見られてGDPR違反を追及されるかもしれません。どのようは判断が下されるのか、注目されるところです。
3. グーグル
グーグルは、根源的に、GDPRにとって不都合な存在です。彼らはすべてを集めて、最近はインターネットを運営しているようです。グーグルは、本人自身が知っている以上にユーザーのことを知っています。どこかのタイミングでグーグルが調査され、制裁金を科されることになる可能性があります。
GDPRによる制裁金という厳しい制圧に対して、グーグルがどのように対応するかは、誰にもわかっておらず推測の域を出ません。お仕置きがあるからと言って、グーグルが最強の得意技であるデータ収集を断念するとは思えません。検索フィールドに何かを入力する前にチェックボックスが表示されるようになるかもしれませんし、あるいは制裁金を完全に無視して様子見をするのかもしれません。
問題は、グーグルがユーザーのデータを必要とし、ユーザーがグーグルを必要としていることです。そのため、どこかに落としどころを見つける必要があります。ちょっと面白いのは、グーグルも問題の根源を作り出しているのに、フェイスブックが受けた反発を他山の石として、反発を回避する方法を模索しているらしい点です。
グーグルは、少なくとも、GDPRの下である種の制裁金を科されるか、何らかのアクションを要求されることになるであろうと、筆者は予測します。しかし、お断りしておきますが、筆者は以前間違った推測をしているので、保証の限りではありません。
Greg Mooney
Greg is a technologist and data geek with over 10 years in tech. He has worked in a variety of industries as an IT manager and software tester. Greg is an avid writer on everything IT related, from cyber security to troubleshooting.
