欧州で新しい個人データの保護規制「一般データ保護規則」（ＧＤＰＲ）が５月２５日に導入された。ＧＤＰＲは個人データの処理や移転を規制する法律で、国籍を問わず欧州で取得した名前やメールアドレス、クレジットカード情報など個人に関する情報を保護するのが目的だ。欧州でビジネスをする企業の対応ばかりが注目されがちだが、一人ひとりのネット・ユーザーにとっても、大きな意味を持っている。欧州連合（ＥＵ）の欧州委員会の委員で、この問題を担当するベラ・ヨウロバーさんに聞いた。

――ＧＤＰＲは、私たちにどんな影響がありますか？

「まず、現実的な影響から見てみましょう。皆さんは最近、多くの企業からメールで、個人データの取り扱いに関して『同意』を求められていませんか。ＧＤＰＲは、事業者に対して個人データを取得するにあたり、きめ細かく同意をとることを求めています。みなさんは、どんな事業者が自分たちのデータを持っているのか、よく分かったでしょう」

「ＧＤＰＲは、ネット上に流通する膨大な個人データについて、情報の所有者である個人がコントロールできるように様々な権利を盛り込んでいます。たとえば、いったん提供した個人データの削除を求めること、『忘れられる権利』です。人々が、こうした権利を行使してこそ、ＧＤＰＲは成功したといえるのです」

「なお、規制は公的機関も対象にしています。個人データの収集は、法律で許されている範囲で行い、必要なくなったら削除する。私たちは、国家が個人の履歴をすべて握るような状況を望んでいないからです」

――なぜ、新しい規制が必要になったんですか？

「人々のプライバシーやアイデンティティーに関する情報がデジタルの領域で流通するようになり、人々は個人データに対するコントロールを失いました。それを取り戻す時が来たというのが欧州の考えです」

「フェイスブック（ＦＢ）のマーク・ザッカーバーグＣＥＯ（最高経営責任者）がＧＤＰＲを順守するといったのは予想外の宣伝となりました。（ＦＢを通じて個人情報が不正利用された）スキャンダルの影響は大きく、ＦＢは世界最高水準の規制、すなわちＧＤＰＲに従って個人情報を保護すると宣言する必要があったのです」

――個人情報の流通に規制をかけると、ＡＩ（人工知能）の開発を妨げるなど経済に悪影響を与えませんか？

「欧州において個人情報の保護は基本的な権利。データはカネにかわります。我々は、個人データを高い水準で保護することと、データを活用して企業が成長することのバランスをとろうとしているのです。プライバシーを十分尊重するようにビジネスをデザインするという考え方が広がっています。個人情報の保護によって、イノベーションはむしろ促進されると考えます」

――違反すると、最高額として２千万ユーロ（約２６億円）か、全世界の売り上げの４％という厳しい制裁金が科されるそうですね。大企業は対策がとれるけれど、中小企業は制裁を恐れて萎縮してしまうようなことになりませんか。

「まず、規制の主な対象は、個人データを処理してマネタイズ（収益化）する企業です。そうした企業は必要な投資をしてもらいたい。制裁は、違反行為による被害者の人数などによって個別に判断されます。なお、中小企業にとってはむしろビッグチャンスだと考えています。人々が、巨大ＩＴ企業による個人データの取り扱いについて不安を感じているからです。ＦＢのスキャンダルは氷山の一角だと。だから、中小企業も、しっかりとした個人データの保護を保障すれば、競争上、有利な地位を確保できると思います」（編集委員・浜田陽太郎）

◇

〈欧州連合（ＥＵ）の一般データ保護規則（ＧＤＰＲ、Ｇｅｎｅｒａｌ Ｄａｔａ Ｐｒｏｔｅｃｔｉｏｎ Ｒｅｇｕｌａｔｉｏｎ）〉

個人が特定可能になる情報（個人データ）を保護するため、ＥＵが定めた法律。企業などのデータ管理者が個人データを収集、活用、移転するにあたって適正な同意の取り方などを細かく定めている。同時に、プライバシーを基本的人権と位置づけ、データが属する個人（データ主体）が、企業などがどのようなデータを保有し、どう活用しているか情報提供を求める権利（アクセス権）、不正確な場合に修正を求める権利（訂正権）、情報提供の同意を撤回して削除を求める権利（削除権、忘れられる権利）、他の管理者に移転する権利（データポータビリティー権）などを保障している。

欧州経済領域（ＥＥＡ、ＥＵ２８カ国にノルウェー、アイスランド、リヒテンシュタインを加えた３１カ国）に拠点があったり、域内の個人のデータを処理したりしていれば、日本の企業であってもＧＤＰＲは適用される。意図しないところで個人データが勝手に使われるといった違反があった場合には、その規模や悪質性に応じて、最高で２千万ユーロ（約２６億円）または企業の前年度世界売り上げの４％相当のいずれか高い金額の制裁金が科される。

ＥＥＡ域内であれば、個人データの流通は自由に行えるが、域外への移転は原則禁止される。ＧＤＰＲと同レベルの保護措置があるとＥＵが決定（十分性認定）した１２の国と地域であれば移転できるが、日本は認定されていない。このため、データ移転には個別に契約を結ぶなどの措置が必要となる。現在、日本（所管は個人情報保護委員会）とＥＵの間で相互に十分性を認定するための協議が進んでいる。