1.世界で強まる個人データ規制

最近、インターネットで企業などのウェブサイト、とりわけ欧州の企業にアクセスすると、Cookieの利用についてポップアップによる警告が表示されたり、同意を求められたりすることが増えています。(図表 1)

20180601_marubeni_graph01.png

こうしたことの背景にあるのが、本年5月25日に欧州連合において施行されたEU一般データ保護規則(General Data Protection Regulation、GDPR)です。GDPRは企業などに対して、個人データの処理(収集、保存、閲覧、編集)や欧州経済領域(EEA)域外への持ち出しなどについて厳格な要件を課すものであるとともに、データの主体である個人に多くの権利があることを明示しています(図表 2)。また、EEA域内の個人データを処理したり、移転したりするのであれば世界中の企業が適用対象となることや、違反した場合の制裁金の上限額が、当該企業の全世界の売上高の4%、または2,000 万ユーロのいずれか高い方と、極めて高額になることも定められています。企業にとって、GDPRへの対応は非常に重要な課題であるといえるでしょう。

20180601_marubeni_graph02.png

このような個人情報保護の動きは、実は欧州に限ったことではありません。この数年、欧州に限らず多くの国で関連法令の強化が進んでおり、グローバルな流れになっています(図表 3)。

20180601_marubeni_graph03.png

2.拡大を続ける個人データの収集

こうした動きの背景の一つに挙げられるのは、GoogleやFacebookといったプラットフォーム事業者などによる大量の個人データの収集、さらにはデータの支配に対する懸念です。例えばGoogleはユーザーに対して、便利なサービスを多数提供する一方で、①個人の活動(検索内容やアクセスしたウェブサイト、視聴した動画など)、②個人が作成したデータ(Gmailで送受信したメールやカレンダーの予定など)、③個人情報(生年月日やパスワード、電話番号)などのデータを収集、保持しています。また、ユーザーの性別や生活環境、嗜好などが分かれば、それに最適化された広告を配信することができるようになりますが、Googleは上記のようなデータの一部を元に、最適な広告を割り出し、広告主に質の高い広告枠として販売するなどして、自社のビジネスに活用しています。一方、ユーザー自身もそのことについて、利用規約において同意している訳ですが、実際に規約を全て読み、データの取扱いについて完全に理解している人はほとんどいないでしょう。その結果、多くの人が強く意識をせずに、大量の情報を取得されています。

さらに今後、種々の機器に搭載された、あるいはウェアラブル型のデバイスが拡大することに加え、ゆくゆくはインプラント型のデバイスが広がりを見せる可能性もあり、データ通信の頻度は大きく伸びると見込まれています。米調査会社International Data Corporationの調査によれば、1人の人間のデータに関して1日にやりとりされる回数は、今後10年でおよそ20倍に増加することが予想されています(図表 4)。取得されるデータの増加によって、プライバシーへの懸念は今後益々高まると考えられます。

20180601_marubeni_graph04.png

このようなデータは誰のものか、という議論は種々あるものの、実質的にはプラットフォーム事業者に囲い込まれており、ユーザー自らがデータを保管、管理することは極めて困難になっています。データを取得されていることが、直感的にわかりやすい形で行われないために抵抗感を生みにくいかもしれませんが、無料かつ便利なサービスと引き換えに、ユーザー自身もその詳細を知らない膨大な個人データをプラットフォーム事業者に差し出している、というのが現在の状況でしょう。

3.大きな変革の一方で・・・

こうした状況の中で、GDPRはかなり踏み込んだルールを定めました。個人が自らのデータに対しての権利を有していることを認めた点や、"privacy by default"(初期設定の時点でプライバシーを保護するように設定すること)、"privacy by design"(設計の段階からプライバシーを保護する設計にしておくこと)の概念を条文に反映させているという点については非常に大きな意味があると言えるでしょう。

ただ、GDPRにも欠点が無いわけではありません。例えば、データを安全に管理する体制の構築について、大企業はともかく、中小企業にとってそのコストは大きな負担となります。GDPRにおいては「データ・ポータビリティの権利」が謳われており、個人はデータを別の管理者へ移転させる権利を有しています。「データ・ポータビリティ」には、データの一極集中を防ぐ競争政策的な意味合いも含まれているにも関わらず、中小企業が充分にGDPRへ対応出来ない場合、結局は大手企業におけるデータの独占を維持、加速させることに繋がりかねません。また、企業が法規制を順守しようとするあまり、イノベーションが阻害される可能性について懸念を示す向きもあります。

GDPRはインターネットの誕生以来、個人データ保護に関する最大の変革と言われています。本規則がデータの利活用がもはや当たり前となった今日の社会をどのように変えていくのか、個人のデータ保護とイノベーション創出のバランスを見極めながら状況を注視していく必要があるでしょう。

コラム執筆:近内 健/丸紅株式会社 丸紅経済研究所

■ 丸紅株式会社からのご留意事項
本コラムは情報提供のみを目的としており、有価証券の売買、デリバティブ取引、為替取引の勧誘を目的としたものではありません。
丸紅株式会社は、本メールの内容に依拠してお客様が取った行動の結果に対し責任を負うものではありません。
投資にあたってはお客様ご自身の判断と責任でなさるようお願いいたします。