GDPRの施行まであと数ヶ月！　EUの本音はなんなのか？

GDPRについて「IT小僧の時事放談」で取り上げたのが昨年の10月
GDPRとは、EU一般データ保護規則と訳されています。
詳しくは、過去のブログをみていただければ幸いです。

簡単に言えば
EU市民の個人情報保護のためEUの外に出他個人情報を持ち出すのは、原則　禁止
これは、欧州以外の以外の企業にも適用されます。

今回の「IT小僧の時事放談」では、

「GDPRの施行まであと数ヶ月！　EUの本音はなんなのか？」と題して
無茶振りな規則に見え隠れするEUの本音を勝手に考えてみました。

スポンサーリンク

GDPRとは、おさらい

GDPRとは、EU一般データ保護規則と訳されています。
正確には
「個人データに関する人の保護および同データの自由な移動に関する規則 (General Data Protection Regulation)。」
のことになります。

GDPR基本原則

1.「忘れられる権利」
個人がデータの処理を望まず、かつ個人データを企業が保持する正当な理由がない場合、検索エンジンなどの個人データは削除要求に応えなければならない。
これは、個人のプライヴァシーを保護することであり、過去の出来事の消去や、報道の自由を制限することではない。

2.データへのアクセスの容易性
個人は、データの処理方法に関する情報をより多く有し、その情報は明確で分かりやすい方法で利用できるようになる。
データの移植性の権利は、個人がサーヴィスプロヴァイダー間で個人データを送信することを容易にする。

3.データがいつハッキングされたかを知る権利
企業や組織は、個人を危険にさらすデータ侵害を監督当局に速やかに通知し、ユーザーが適切な措置を講じることができるようにする。

4.デザインによるデータ保護のデフォルト
「デザインによるデータ保護」と「デフォルトによるデータ保護」とは、サーヴィスの設計段階からプライヴァシーを保護する設計にすること（by design）や、初期設定の時点でプライヴァシー保護をデフォルト化すること（by default）を意味する。
具体的には、個人データと接触するサーヴィスを構想し実装する双方の段階において、適切な措置を実施しなければならない。
初期設定では、特定の目的のために必要な個人データのみを取扱い、必要な範囲を超えて収集・保有しないことが管理者に義務付けられており、現在、EUのデータ保護規則に不可欠な規定となっている。

また
日本はEUからデータ保護に関する「十分性認定」を受けていないため、データ保護に関しては米国と同様、世界の無法地帯とみなされています。
そのためターゲットにされる可能性が高いと推測されます。

その他にも規定が多いのでこのあたりは、本家のページで確認するのが正確です。

EUデータ保護のウェブページ

GDPRの個人情報範囲

かなり広範囲です。

名前
写真
メールアドレス
銀行の詳細
SNSの投稿やウェブサイトの更新情報
場所の詳細
医療情報
コンピューターのIPアドレス
生体遺伝子情報
思想信条
入れ墨

顔認証も含まれることになります。
AppleのFaceIDもターゲットになりそうですね。

メールアドレスもとなると問い合せのメールも範囲になります。
コンピューターのIPアドレスとなるとサーバ会社のログも対象になるかもしれません。

GDPRについてさらに詳しくお知りになりたい方は、ぜひ読んで下さい。

[amazonjs asin="B075YTJMYV" locale="JP" tmpl="Small" title="日欧　個人情報・個人データの国際移転の実務　第2版: 改正個人情報保護法とEU GDPR"]

厳しい制裁

1. 初回かつ意図的でない違反の場合は、書面による警告
2. 規則に基づく定期的なデータ保護監査
3. 企業の場合、10,000,000€、または、前会計期間の全世界の売上高の2%のうち、いずれか大きい方の過料 (第83条4項[16])
4. 企業の場合、20,000,000€、または、前会計期間の全世界の売上高の4%のうち、いずれか大きい方の過料 (第83条5項および6項[16])

というように４段階になっていて最悪の状況で

20,000,000€＝26億５千万
売上高の4%

これは、かなり巨額ですね。

影響

こうなると　面倒くさいから　EU市民の情報削除
小さな旅館、ホテルなどは、EU宿泊者の個人データを即削除したほうが、システムに関する費用がかからない。
というわけでEU市民の情報削除が手っ取り早い。

と言っても中小企業などは、ターゲットにしづらいでしょうから大手企業にターゲットを絞って規制がかかりそうです。
※その方が、社会に対する影響や制裁金が多く徴収できるし社会運動にも発展するかもしれません。

適用開始

2018年5月25日

もう３ヶ月ほどしかありません。

日本は、仮想通貨と同様に無対策状態
もっともEUの狙いは、米国IT巨人達でしょう。

その前段階で見せしめのため狙われる企業があるかもしれません。

施行される前から訴訟の嵐

GDPRが施行される前からすでに訴訟の嵐状態です。

2017年5月
欧州委員会はWhatsAppの買収について、「誤解を招く間違った情報を意図的に提供した」として、Facebookに1億1,000万ユーロ（約146億円）の罰金刑を命じた。

2017年6月
検索の独占権を乱用したとしてGoogleに24億ユーロ（約3,194億円）という巨額の罰金を課した

2017年11月
Googleが11年6月〜12年2月に、iPhoneのプライヴァシー設定をバイパスして不法に540万人の個人データを蒐集
540万人分とすれば27億ポンド（約4,099億円）という額

お金を持っている企業に狙い撃ち状態です。
Appleは、税金問題で訴訟されているようです。

個人情報の委託と管理で「個人情報ルネッサンス」

この法案のターゲットは、米国IT企業です。
特にGoogle、Facebook、Appleあたりが、徹底的にやられそうです。

EU市民の個人データの推定資産価値は、どのぐらいでしょうか？
おそらく数百兆円レベルかと推定されます。

この巨大な資産をITの巨人たちが独占させるのを防ぎ、個人に戻させるのがこの規制の趣旨になります。
最終目標は「個人データの所有権変更」です。

とここまでは、建前で、ここから私が勝手に考えた妄想です。

個人が取り戻した個人情報を、EUに移管させて管理したいというが本音ではないでしょうか？
名目は、国家の安全保全とかなんとか理由はいくらでも付けられます。

仮にEUの「個人情報管理団体」とでもしましょうか・・・
「個人情報管理団体」は、集めたEU市民の個人情報で取引を始める。

つまり
他人に集めさせた金づるを奪い（失礼！　取り戻し）、情報を欲しがる相手に高く売りつける。

まさに「個人情報ルネッサンス」が始まろうとしています。

簡単にやられるほど甘いやつらじゃない

個人情報を検索サイト、無料メール、無料マップ、無料カレンダーなどを駆使して集めてきたGoogle
今は、集めたデータとAIの技術で次の広告モデルを作成していると想像できます。

現在主流のWEB広告ではなく、もっと個人にターゲットを絞った広告を実施するはずです。
検索ビジネスからターゲット広告に移るためには、膨大なデータを処理するAI技術が必要になるはず
とするとGoogleがAIに力を注ぐ理由が納得できます。

おそらく、最終目標としてAI＋個人情報の収益でしょうから、このGDPRは、やっかいな代物です。

FaceBookもAppleもMicrosoftも何か対策を練っているのでしょうから
そんな簡単にやられるほど彼らは、甘くはない。

正直　どんな手段で対応するか凡人の私には想像できません。
どこかで手打ちをするのでしょうか？

まとめ

こうして考えると個人情報を合法的におカネに結びつけることを考えたGoogleは、凄いというか、未来が予測できていたというか
凄い人たちがいるんだな　と感心します。

さて、一方、GDPR　日本の対策はどうするんでしょうか？

これまでやり方？だと
まず影響の大きい日本企業に「いちゃもん」をつけて　最終ターゲットにプレッシャーをかけるのではないか？
と勝手に予想しています。

仮想通貨でも世界中が規制に走っているのに日本は、ユルユル状態
そのおかげでおカネが集まってきましたが、最終的には、日本の一般の人々のおカネが海外に持って行かれるというシナリオになりつつあります。
引き際と考えてCMで最後にお金を集めた作戦だったとしたら
「買えば儲かる風な」「インチキな情報」でお金をつっこんだ人が損をしています。
「億り人」などと祭り上げたマスコミは、反省すべきです。

これは、「投資」という学問を学校で教えてこなかった「つけ」です。
個人情報についても　学校できちんと教えないし、せいぜい「名簿をつくるのは辞めましょう」程度で止まっています。
おそらく、GDPRが施行される１ヶ月前ぐらいで騒ぎ始めるでしょうか、すでに遅い

彼らは、既にターゲットを絞っていることでしょう。

その時、このブログで書いてきたことが当たっているかどうか
検証してみたいと思っています。

※最後に、このブログは、個人的な妄想と見解で書いていますのでどこかの団体等を誹謗中傷するものではありません。

スポンサーリンク