前回はEUの一般データ保護規則（GDPR）の概要に関してご説明いたしましたが、今回はその画期的な点に関しての解説です。

まず、GDPRの特徴は、EUでビジネスを行う海外企業にも従うことを要求している点です。グローバル展開しているIT企業の場合は、EUユーザーに対してはアジアや北米夜遥かに厳しいデータ管理を行わなければならない点です。

例えば日本の会社や個人事業主で、EU加盟国の人に対して以下のようなビジネスや活動を行っていてもGDPRに従わなければなりません。

・ユーザーのGPSデータを使う様なスマートフォン向けのアプリを提供している

・ネット経由で物を売っている

・ボランティアをやってもらっていて団体として連絡先等を集めている

従業員5000人の企業でも、従業員は自分と友達数人というベンチャーでも同じです。

第二に、これまでは企業には自分の個人情報開示を要求できない、もしくは要求できても費用がかかったり返答に大変な時間がかかったのが、無料になったり、以前よりも早く回答をもらえるようになったことです。さらに「忘れられる権利」が実装されるのも凄いですね。イギリスの場合は、以前は30日以上かかることもありました。

三つ目は罰金に関してです。企業としての最大の懸念点は、GDPR違反による風評リスクだけはなく、ずばり罰金額です。施行後の罰金の金額は各国により異なってくるのですが、最大でどの程度になるのかが不明な点です。

例えばイギリスの場合は、GDPR以前でも、政府は情報漏えい等の法令違反に対して最大で50万ポンド（約7500万円）の罰金を課す事が可能でした。これまでの最大学はTalkTalkというプロバイダの15万人のユーザー情報の漏えいに対する約6千万円だったわけですが、GDPRの方が遥かに高いので戦々恐々としている企業が少なくありません。

PwCの「調査」によれば、92％のアメリカの多国籍企業がGDPR対応をトッププライオリティと回答し、77％は100万ドル以上を対応に投入すると答えています。つまり、それだけ罰則を恐れているということです。

四つ目は、企業や団体は、個人情報を集める際にユーザーの承認を得なければならない点ですが、アプリやサイトを使う場合に、単に長々とした「但し書き」を提示すればよいという話ではなく、承認を得る仕組みを実装する必要があります。

さらに、例えばユーザーの位置情報などを細かく取得するサービスやアプリの場合は、取得する度に承認を得なければならない可能性もあります。この実装はけっこう大変です。

五つ目は、企業や団体は情報漏えいがあった場合、ユーザーに72時間以内に通知する点ですが、これは多くの企業で情報漏えいがあった場合、数ヶ月、ひどい場合は数年放置されている場合を考えると画期的でしょう。

例えば、記憶に新しいのは米Yahoo!の30億人のユーザー情報漏えいですが、発生が2013年で報告が2017年と数ヶ月どころか4年も放置されていましたね。GDPRは厳しいようには思えますが、ユーザーのデータと権利を守る点では素晴らしいです。

六つ目ですが、企業や団体はきちんとした目的がなければ個人情報を集めてはならないという決まりがあるということは、「念のため」とか他のサービスや商品のマーケティングのために個人情報を集めることができなくなる、という点です。つまり、個人情報集めのためだけのキャンペーン等はやりにくくなるわけですね。