ICHIRO BLOG引っ越しました

いよいよEUにおける「一般データ保護規則（GDPR：General Data Protection Regulation）」施行まで約1カ月というタイミングになってきました。さすがにGoogle親会社のAlphabetになると決算発表の場でかなり自信満々な感じでGDPR対応に言及していたりするようです。

Alphabet、Googleの広告好調で増収増益、GDPRについては「18カ月準備してきた」（ITmedia 18/4/24）

スンダー・ピチャイCEOは、「われわれは過去18カ月かけてGDPRに準備してきており、問題はない」と答えた。ITmedia

しかし、いかにGoogleといえども現場レベルではやはり今後揉め事が起きそうな不安要素を抱えており、実際にGDPRが施行されてみないと何が起きるのかはよく分からない雰囲気です。

Googleの GDPR 対策に、不満を募らせるパブリッシャー（DIGIDAY 18/4/23）

GDPR合意への高い障壁をパブリッシャーにそっくりそのまま押しつけるというGoogleのアプローチによって、パブリッシャーは「見捨てられたも同然」の状態だという。
（中略）
パブリッシャーからかき集めた個人情報の使い道に関する決断を、Googleが一方的に下す権利がある、というのは言語道断だ。DIGIDAY

立場によって、どのような対策を行うのか、そのコストは誰が払うのかで「何が公正なラインか」が異なるのは当然とはいえ、やはり調整がなかなかつかず、結局はパブリッシャーに責任が返ってきてしまうというのは趣深い議論であると思います。

GDPR対応がさらに厄介なものとなりそうなのは、大量のユーザー個人情報を抱えるFacebookでしょうが、やはり対応をどうするかでそれなりにごたごたしている気配がうかがえます。当初はGDPRに準じる形で全世界のユーザー個人情報保護を実施する意向を表明しておりました。

Facebook、EUの新規則に備えプライバシー強化--世界中に展開へ（CNET Japan 18/4/19）

同社は米国時間4月17日遅くのブログ記事で、まずはEU各国で変更を導入した後、同じ保護機能を世界中のすべてのユーザーを対象に拡大すると述べた。CNET Japan

しかし、その後ロイターによってそうした方針は実行されない可能性もあることが報じられます。

米フェイスブック、規約変更でＥＵデータ保護規則の影響抑制へ（ロイター 18/4/19）

米フェイスブック(FB.O)は、欧州連合（ＥＵ）が企業に個人情報の利用を厳しく制限する「一般データ保護規則（GDPR）」を５月に施行するのに対応し、サービス利用規約の変更を通じて同規則の対象となるユーザー数を大幅に抑える方針だ。
（中略）
この規約を来月からは、欧州の利用者のみに限定して適用する方針で、アフリカやアジア、オーストラリア、中南米の利用者は米本社の規約に同意する形に変更するため、５月２５日に発効するＧＤＰＲの対象外となる。

フェイスブックは１７日、ロイターに対してこの方針を確認した。ロイター

Facebookはロイターに対して「利用規約は変更するが、ＧＤＰＲが定めるプライバシーの管理や設定を他の地域にも導入する予定」という説明もしており、同社の真意がいまひとつよく分かりません。世間でよく言うところの「予定は未定」という言い訳の類なのでしょうか。このあたりの事情については以下の論考記事も参考になりそうです。

フェイスブックが１５億人のプライバシー管理をＥＵから米国に移す理由（新聞誌学的 18/4/21）

１５億人ものユーザーを他の司法管轄に移動するというのは、単なるコピー＆ペーストとはわけが違う。

これはデータプライバシーの見地からいって、空前の大規模な変更だ。この変更によって、プライバシーの保証やユーザーの権利は低減し、ユーザーへの同意取得の要求など、多くの点で取り扱いに違いが出てくるだろう。米国の基準は欧州よりも低いため、ユーザーは今あるいくつかの権利を失うことは明らかだ。新聞誌学的

こうしたやり口は従来のFacebookのビジネスのあれこれから察するにとても同社らしいと合点もいくところですが、だからといってそのまま「はい、そうですか」と受け流すのもどうなんでしょうか。さすがに全世界で15億人という規模のユーザーが一斉に異を唱えればこうしたやり方は通用しなくなる可能性も高いと思われるのですが、しかし、一方で平均的なFacebookユーザーの多くの感覚というのは以下の記事にあるようにプライバシーがそのまま誰かの商材となっている可能性があっても誰も気にしてないのが実情であり、今後も大きな問題になることはないということなのかもしれません。

それでも広告主はFacebookを手放せない――「ユーザー20億人」という抗いがたき魅力（WIRED 18/4/24）

ほとんどの人はフェイスブックがどうやって金を稼いでいるかについて、深く掘り下げたり、気にかけたりしたことがない
（中略）
データのすべてが、包括的な目的のために使われる。人々を世界とつなぐという目的も、もちろんあるだろう。しかしそれだけではなく、広告主が、興味をもちそうな人に広告を届ける手助けにもなっているのだ。WIRED

かなり乱暴な言い方をすると、GoogleやFacebookのような規模のプラットフォーマーになれば、たとえGDPR違反でEUからなんらかのペナルティーを受けたとしてもそれで一気に事業が潰れるようなことはまずないでしょう。しかし、他の一般企業などがもし同様な処罰をEUから受けると事業継続に大きな支障をきたす可能性はありそうです。そういう意味ではGoogleやFacebookのGDPR対応のやり方は他の事業者にはまったく参考にならなそうな気はします。

また、日本が例によってこの手の話から蚊帳の外だ、というのはある意味で仕方がないとして、問題はかなりの勢いで「データ大国」になっている中国の動向です。EU各国において、とりわけドイツは主要な貿易国が中国であり、欧州経済と中国の関係は非常に深いものになっている一方、諸制度の「設計思想」は欧州と中国の間で大きく異なり、むしろ得意先中国との制度差を欧州がどう埋めていくつもりなのかは、非常に大きな課題として横たわってきます。中国国内でしか運用されないゴマ信用が中国人向けにサービスされている分には、中国流のプライバシー無視でも統制と安定が実現できるわけですが、その一枚向こう側には中国人にとって便利な支払いや銀行システムはアメリカ人や欧州人、日本人にはすべての機能が公式に開放されているわけではないことでバランスを取っています。

また、中国国内の許認可や情報統制の仕組みは強権的で、個人情報の取り扱いにおいて欧州各国の運用レベルとは異なるだけでなく、間を取ったり、調整することが不可能なぐらい開きがあります。いみじくもオバマ前大統領が「（国民の）プライバシーは民主主義の原点」という演説をされるぐらい、おそらく民主主義の普遍的な価値観にプライバシーがあるという認識で欧米（と日本）は動いています。この辺を、商業的な現実と、技術革新で「倫理的には問題だけど、商業的・技術的に実現できてしまうこと」がこれらのプリンシプルと正面からぶつかっている、というのが実情なのではないでしょうか。