EUデータ保護規則について

5/25日にEUデータ保護規則(GDPR)という、かなり厳しい法律が施行された。
アメリカのデータ流出問題に対処するため、EUで2年ほど前から準備が進められてきたが、多くの人に周知されないままこの日まできてしまった。
毎日スマートフォンで各種サイトにアクセスしたり、買い物をしたりするユーザーにとっては朗報かもしれない。
が、事業者にとっては、かなり頭の痛い問題だ。

サイトを訪れたユーザーに対して、クッキーの使用やデータの保護についての規約に同意を求めるように通知する仕組みをとっている。
データ流出の場合は、日本円で26億円、もしくは全世界の年間売上の4%の罰金となっている。
つまりこの罰金規定を見る限り、明らかにビックデータを扱う大手企業を狙っているのだが、この法律は個人から中小企業まで全てのEU顧客を対象にしている会社に適用されている。しかしながら、個人や小規模の事業者が罰せられる確率は低いとみられているものの、対応はしなければならず、大企業のようにIT部門をかかえ、専門の弁護士がついていれば問題なく対処できるが、中小企業がそれにすぐ対応できるかといったら、それは難しい。
2年も猶予があったと言われるが、何をどうしたらいいのか明確ではなく、事業によってそのデータの取り扱いは変わってくるため、一言に規約と言っても統一できるものではない。個人経営の事業者が、IT専門家や弁護士に依頼するとなると、相当な負担だ。何より個人情報を扱って事業を行なっていた、SNSのようなサイト運営者の中には、サイトを閉鎖した人も多くいる。
個人情報は守られなくてはならないが、ここまで厳しくする法律がまだ不透明であやふやなことに、異論を示す人も多い。

スイスはEUではないが、EUの顧客を対象にデータを集めている場合がほとんどで、その対象になる。それは日本にある企業でも同じことだ。EU圏内から日本のサイトに発注や予約があった場合は、それも個人情報の取得とみなされ、この規則の対象となる。しかし、日本では7割の企業が今のところ、対応をしていないか検討中ということだ。
中には、サイトを作成したまま休眠状態のものも多くあり、そこから情報が漏れた場合はどうなるかなど、どこまでカバーできるかも不明だ。

いくつかプロバイダー、IT事業者にも問い合わせたとろ、規約の作成や追記は、通信事業者やウェブ管理者に頼むのではなく、法律家に相談してくれという回答がほとんどだ。
しかし、事業規模も小さくデータの取り扱いも限定されているなら、そのデータの使用についての明記をしておけば、まずは大丈夫だろうということだ。
いきなり罰金を食らうこともなく、まずは注意勧告、警告、と幾つもの段階があるので、パニックにならないようにIT事業者は呼びかけているようだ。
実際にウェブサーバーを運営する事業者でも、はっきり答えられないことが多いということ。最後は法律家に相談してくれというしかないようだ。

今後は、日本でもこのデータ保護の規則が広まって行くのかもしれないが、インターネットの大変革期の到来かもしれない。