Free Image on Pixabay
さよなら、インターネット - GDPR はネットとデータをどう変えるのか という本をご紹介します。
エントリー内容です。
- 本書の内容
- GDPR とは何か
- GDPR は何を意味するのか (思ったこと)
本書の内容
以下は、本書の内容紹介からの引用です。
この法律で、インターネットとデータの世界は、根底から書き換わる――。
2018年5月25日についに EU で施行される 「一般データ保護規則 (GDPR) 」 とは一体何で、なぜいま世界を揺るがしているのか?インターネットの世界を根底から変えるというその本質を、メディア学の泰斗が緊急出版!
GDPR とは何か
GDPR は、General Data Protection Regulation の頭文字です。日本では、一般データ保護規則と呼ばれます。
GDPR における個人データ
GDPR が対象とする個人データは、本書には以下のように書かれています。
GDPR における個人データとは、名前、写真、メールアドレス、銀行の詳細、SNS の投稿やウェブサイトの更新情報、場所の詳細、医療情報、コンピュータの IP アドレス、生体遺伝子情報、思想信条、入れ墨に至るまで、個人に関する広範囲な情報である。
(引用:さよなら、インターネット - GDPR はネットとデータをどう変えるのか)
GDPR によって、EU 市民の個人情報の管理は厳格化されます。EU 市民の個人データが EU/EEA 域外に転送されることは原則禁止され、個人データは、ヨーロッパ全域で安全に扱われることが保証されます。
日本企業 (EU/EEA 域外に本社を置く企業) への適用
本社が EU/EEA 域内になくても、以下のいずれかの活動を行っている場合は、日本企業でも GDPR 遵守義務の対象になります。
- EU 加盟国に物品またはサービスを提供している
- EU 加盟国の居住者の行動をトラッキングしている
- EU 加盟国の個人から生成された何らかのデータを取り扱っている
重要な4つの規制
本書では、以下の4つが GDPR の重要な規制であると指摘します。
忘れられる権利
- 個人がデータの処理を望まず、かつ個人データを企業が保持する正当な理由がない場合、検索エンジンなどの個人データは削除要求に応えなければならない
- なお、個人のプライバシーを保護することが目的で、過去の出来事の消去や、報道の自由を制限することではない
データへのアクセスの容易性
- 個人は、データの処理方法に関する情報をより多く持ち、その情報は明確で、分かりやすい方法で利用できるようになる
- データの移植性の権利により、個人がサービスプロバイダー間で個人データを送信することを容易にする
データがいつハッキングされたかを知る権利
- 企業や組織は、個人を危険にさらすデータ侵害を監督当局に速やかに通知する
- ユーザーが適切な措置を講じることができるようにする
デザインによるデータ保護のデフォルト
- 「デザインによるデータ保護」 が意味するのは、サービスの設計段階からプライバシーを保護する設計にすること (by design)
- 「デフォルトによるデータ保護」 とは、初期設定の時点でプライバシー保護をデフォルト化すること (by default)
- 初期設定では、特定の目的のために必要な個人データのみを取り扱い、必要な範囲を超えて収集し保有しないことが管理者に義務づけられる
データ・ポータビリティの権利
GDPR の特徴の1つで、興味深いと思ったのはデータ・ポータビリティの権利です。
データ・ポータビリティの権利とは、個人が事業者等に提供した個人データは、個人本人が使いやすい電子形式によって取り戻すことができ、他の事業者に移すことを事業者の妨害なしに可能にすることです。
日本には、携帯電話の番号を他のキャリアにも使える 「番号ポータビリティ」 があります。GDPR は、個人データにおいて、事業者から別の事業者への持ち運びを容易にします。
GDPR は何を意味するのか
ここからは、本書を読み GDPR について思ったことです。
個人データを個人が取り戻す
先ほどのデータ・ポータビリティにあったように、GDPR の本質は、個人データの所有権と管理を事業者から個人にシフトすることです。
個人が自分自身の個人データを所有し、プライバシーを管理でき、任意で個人データの一部または全部を事業者の使用に許可を与えます。
GDPR 以前は、個人データは、データを収集した事業者が独占していました。例えば、グーグルやフェイスブックなどは、収集した膨大な個人データを自社のビジネスに活用し、収益の源泉になっていました。プラットフォーム事業者が、ユーザーに無料でサービスを提供できるカラクリです。
GDPR は、この構図を是とせずに、個人データ保護の観点から健全化させようとするものです。
個人データの 「ユーザーファースト」
個人データの帰属が事業者から個人にシフトすることによって、事業者は個人データを使うためには、個人からの明示的な許可 (オプトイン) がないと収集できず、また、使うこともできません。収集した個人データは、個人の承認のもとで借りているようなイメージです。
企業は個人から提供された個人データを、公正に扱わなければなりません。これが意味するのは、個人データにおけるユーザーファーストの徹底です。提供者の個人データの安全を保証し、尊重した上で、GDPR が定める扱いが事業者には求められます。
GDPR はビジネスチャンスなのか
本書の立場は、GDPR はビジネスチャンスであるというものです。
GDPR という法的な拘束力を持つガイドラインによって、個人データの収集から管理・運用の仕組みが統一されます。個人データのセキュリティ対策が向上し、データは所有する個人の許可の下で事業者により適正に利用されます。
データの意図せぬ流出や不正利用による、個人への悪影響や被害の確率を下げられるでしょう。
これらにビジネスチャンスがあるという見方です。
ターゲティング広告への影響
GDPR によって、意図しないターゲティング広告は減ります。
自分が許可した覚えがないのに、一度しか訪問したことがないサイトの関連商品の広告がどのページでも表示され続ける経験は誰にもあります。自分のウェブ訪問や利用履歴が勝手に使われ、自分がウェブ上で追跡されているような、決して良い気持ちにはなりません。
ソーシャルメディアでは、明らかに自分のプロフィール情報が使われた広告が出ます。
こうしたターゲティング広告は、GDPR によって、本人の同意を得たユーザーにしかできなくなります。ターゲティング広告そのものがなくなることはありませんが、GDPR 以前に比べ、導入以後はターゲティング広告は少なくなります。
広告によるフリーミアムモデルへの影響
グーグルやフェイスブックなどのサービスをユーザーが無料で使えるのは、広告がビジネスモデルの鍵を握っているからです。無料と引き換えに収集する個人データを使い、広告収益を得るフリーミアムモデルです。
GDPR が導入されれば、従来通りに広告によるフリーミアムが成立するのかは興味深い論点です。
個人データの収集及び利用の許可が得られたユーザーには、ターゲティング広告からの収益が得られます。一方、同意を得ていないユーザーには個人データを活用した従来の広告は使えません。個人データを使わなくても出せる広告を使うことになるでしょう。
あるいは、許可が得られないユーザーにはサービスレベルを下げることが起こるかもしれません。ログインができるのは同意を得たユーザーのみになるという可能性もあるでしょう。
広告モデル依存への脱却も考えられます。有料サブスクリプションの導入です。
最後に
本書が興味深く読めるのは、以下の観点で書かれていたからでした。
- GDPR の背景は何か
- グーグルやフェイスブックは、個人データをいかにマネタイズしてきたのか
- プライバシーの歴史。いかに生まれ、保護すべき対象となったのか
- GDPR の本質は何か。どんな影響を与えるのか
- 日本企業など、EU 域外の企業はどう対処すべきか
思ったのは、GDPR は、歴史を長い目で見た時に、インターネットのターニングポイントを象徴する出来事になることです。