企業法務戦士の雑感 このページをアンテナに追加 RSSフィード

この日記のはてなブックマーク数

2018-05-26

[][]ありがちなニッポンの反応〜GDPR“プチ”祭りに思う。

年が明けた頃はまだ知る人ぞ知る、の域を出ていなかった欧州発の「GDPR」だが、ここに来て俄然盛り上がってきた。

これまでもちょこちょこと軽いジャブを打っていた日経紙は、24日の朝刊で何と1面にデカデカと「EUデータ新規制 国内企業8割が対応未了」という見出しの記事を掲載。

良く中身を読むと、GDPR(というか欧州法律にすべからく共通する)ルールの不明確さが強調されていたり*1、「どこまで対応しようとしているかきちんと説明できれば、いきなり多額の制裁金を科せられる可能性は低い」というIIJのビジネスリスクコンサルティング本部長のコメントが紹介されていたり、と、一方的に対応の遅れを非難するような記事ではさすがにないのだが、それでも、

「流出問題の大きさなどによっては制裁を回避できるとは言い切れない。専門家は「できる限り早く体制を整備すべき」と口をそろえている。」(日本経済新聞2018年5月24日付朝刊・第15面)

と、最後はやっぱり煽っている・・・(苦笑)。

自分は、この問題に関しては、

EU域内に限定した話だと思っていた」

とか、

GoogleFacebookのような一部の巨大インターネット企業に向けられた法律だと思っていた」

といった(記事の中では、一種Disられている)感覚の方が正しいと思っていて、欧州向けの通販サイトや情報サービスサイトを持っていない会社がわざわざコンサルに大金を講じて対策を依頼するのは愚の骨頂だし、仮に欧州向けのサイトや、欧州域内の事業拠点を持っている会社であったとしても、取得した個人情報を取引の処理以上の目的に使用せず、システム上も一通りのセキュリティ対策が講じられているのであれば、基本的にはこれまで通りの対応で何ら問題ないと思っている。

そもそも、Personal Dataの取扱いなんて、当の欧州の中ですら、米国発のインターネット企業を目の敵にする一部の市民運動家以外は、さしたる関心を持っていない分野の話*2。1年くらい前に、現地の法律事務所に別件ついでに感触を聞いてみた時も、反応はびっくりするくらい冷静だった。

今回の件に限らないが、情報源が限られている“海外発”の概念とか法律が出てくると、ごく一部の“有識者”がしゃしゃり出て、自分のポジションから好き勝手煽る、そして、それを真に受けたメディアがそれを拡散して、本来であれば全く縁のないような人まで騒ぎ出す、というスパイラルが始めることがこの日本という国では実に多い。

そして、今回のGDPRの件にしても、そのうち「全てのWebサイトCookieを通じた情報取得の同意画面ポップアップを設定しないといけない」*3とか、「EU域内から日本にやってきた外国人から個人情報を取得する時は、他の国の人の分とは異なる厳格な同意フォーマットにサインさせないといけない」*4とか、挙句の果てには「欧州に出張して名刺交換するときは、相手から個人情報取得の同意書面をもらわないといけない」*5とかいった話まで出てくるのではないか、と、ワクワク(?)しているのだが、果たしてどうなるか。

あまりに複雑かつニッチな分野ゆえに現在は“プチ”に留まっている祭りが、何かの弾みで大きなお祭りにならないことを、自分は心の底から願っている。

*1:なお、記事の中では、GDPRを「日本の規則と比べものにならないほど細かく、複雑」と評しているが、本文にはほとんど書かれていないことを複数のガイドラインで規定し、かつそのガイドラインも一読しただけではよく分からない、という意味での規制体系の「複雑」さはその通りだとしても、「細かい」というのはミスリードのような気がする。少なくとも日本の規制当局のガイドラインの方がよほど細かく、融通が利かない(それに比べればGDPR自体は、規制というには非常にアバウトなものだ)と自分は思っている。

*2:当事者である著名なインターネット企業に対しては、発効初日から早々に訴訟提起の動きも出ているようだが、そこまでされるほど欧州で名の通ったインターネットビジネス事業者は、日本企業の中にはほぼ皆無、というのが現実である。

*3:少なくとも日本語のサイトにこのような対策を講じる必要はないし、英語サイトでも欧州からのアクセスがほとんどないようなサイトについてまで対策を講じる必要は全くない、と思っている(下手に見慣れないポップアップ画面など設けた日には、あちこちから苦情が殺到しても不思議ではない。

*4:これは「域外適用」の考え方についての誤解で、あくまでGDPRは「EU域内にいる者」を対象にサービスを提供する場合の個人情報の取扱いに網をかける法律だから、日本に入国した後に自社のサービスに接するEU在住者への特別な対策は本来不要である。

*5:全世界的に煽り的な営業をしているコンサルや一部の法律事務所ですら名刺交換については事実上スルーしているように見える。当地の実務家の感覚によれば、「そんなこと法律に書くまでもない常識でしょ」ということらしいが、いずれにしても、「例外規定がない限りクロ」という日本のコンプラ頭で海外の法令を読み解いて対策を講じようとするのは、労多くして実りなし、である。

トラックバック - http://d.hatena.ne.jp/FJneo1994/20180526/1527431791
カスタム検索