5月下旬にヨーロッパで事業を行う企業からプライバシーポリシーの変更に関する電子メールが届いた人は多かったと思う。これは、欧州連合(EU)加盟国に適用されてきた「データ保護指令」に替わり「一般データ保護規則」(GDPR)が同25日に施行されたことに対応するものだ。
GDPRの定める制裁金は1000万~2000万ユーロ(約13億~約26億円)、または前年売上高の2~4%と極めて高額であることや、プライバシー保護のためのNPO団体が同日付で米フェイスブックとそのグループ企業やグーグルをGDPR違反で提訴したこともニュースとなった。
もともと個人情報保護の枠組みは、個人情報がコンピューターのデータベース上で管理されるようになり、本人が望まない形で利用されるリスクが高まったことに対応するために始まった。
その後のITの進展によって、カードやスマートフォンアプリを通して、商品やサービスの購買履歴、位置情報、趣味嗜好(しこう)、顔写真、交友関係に至るまで個人情報とひもづいたあらゆる情報が取得されるようになった。加えて、収集された膨大なデータは日々進歩する人工知能(AI)技術によって商用利用目的で解析されている。
個人はプロファイリングされ、日々ターゲッティング広告にさらされる。人間は、提供される情報が偏っていれば、それを前提とした選択しかできない。
自由意思によって自らのライフスタイルを生きていると思っていても、客観的には、地域、性別、年齢、家族構成、購買行動、趣味嗜好などによってプロファイリングされレコメンド広告のシャワーを浴び続ける。常に好ましいと感じられるイベント、旅行、食事、製品、映画、本までも勧められる。
その結果、見知らぬものに出合う時間も奪われてしまう。これでは、特定の餌を食べ続けるようにしつけられた家畜みたいなもので、自由という人間の基本的な尊厳は危ういものになる。
GDPRは、このような情報技術の進展に対応するように、データ・ポータビリティーに関する権利(個人がフェイスブックなどに提供したデータを受け取って他のサービス事業者に移転する権利)、ダイレクトマーケティングに対する拒否権、プロファイリングによる判断を受けない権利などを明記した。
GDPRはEU域内に拠点のない日本企業についても、EU域内で商品・サービスの提供に関する処理を行う場合には適用されるが、これらの権利が人間の基本的な尊厳にかかわるものとして要求されている以上、全ての企業が前向きに取り組んでいくべき事柄だと思う。
また、このような配慮のない企業は、顧客を人として真摯(しんし)に尊重する姿勢を有しているか疑問だ。
□
GDPR・個人データの取り扱いに係る自然人の保護および当該データの自由な移転に関する欧州議会および欧州理事会規則。参考URL:JIPDEC。(一般データ保護規則)(仮日本語訳)https://www.jipdec.or.jp/archives/publications/J0005075
【プロフィル】
古田利雄 ふるた・としお
弁護士法人クレア法律事務所代表弁護士。1991年弁護士登録。ベンチャー起業支援をテーマに活動を続けている。東証1部のトランザクションなど上場企業の社外役員も兼務。56歳。東京都出身。
「フジサンケイビジネスアイ」