「顧客データ」としての個人情報であれば、その重要性はもちろん、保持するリスクも昔から問題にされてきた。今回の GDPR はEU（正確にはEEA）全体で適用される「法」であり、罰則も（それまでとは）桁違いに重くなったということもあるが、それより重要なのはここでの「個人」には従業員も含まれるということで、しかも生年月日とか配偶者といったスタティックな情報だけではなく「いつどこから誰にあててメールを送信したか」とか「いつ（事業所内の）どこで誰と会っていたか」といった行動データまで含まれることだ。
もちろんそれらをログとして残していれば、だが、セキュリティ的観点からしても、あるいはピープルアナリティクス的にもそういう行動データは残されるようになってきているので、それに対してGDPRが適用されるということは、そういった手法を取っている企業にとってはかなりの負担になる。だからといって、それらのログを取らないと、なにか事故があったときに株主から「セキュリティ的な不備」を指摘されかねない。
「前門の虎、後門の狼」というか、経営者的には「ほんと勘弁してくれ」状態だろう。個人情報保護もセキュリティ保護もそれぞれ重要（正論）であり、やらなければならないのは当然だが、かと言って、これらを全部まとめて見ると「合成の誤謬」のようにも見える。これが指し示しているのは「企業にとって従業員を雇うこと自体がリスクである」になりかねない。じゃ仕事はどうやって回すんだ、そうか！ AI（人工知能）ならGDPRの対象にならないぞ！ ……というような話なのか？

小田急線の自動券売機に付けられていた目隠し。「これからどこに行くか」ってのが個人情報になるのかどうか、よくわからないが、どこに行くか見られて後を付けられるのは嫌だ。