どうしてこうなった? GDPRめぐる「混乱」狂想曲 —— 欧州では風刺楽曲やTシャツまで登場

GDPR

shutterstock

  • 5月25日からEUでは個人情報保護を目的とする「EU 一般データ保護規則(GDPR:General Data Protection Regulation)」が適用される
  • GDPR とは個人情報の処理と移転に関する法でEEA(欧州経済領域)域内で取得した個人情報を処理してEEA域外の第三国に移転する上での法的要件の規定
  • GDPR施行に合わせて各社がプライバシーポリシーを変更、5月後半からユーザーに大量の通知メールが届いている
  • GDPRの原則からするとこういった内容でのメール通知そのものがユーザーの同意を得ていないため違法である可能性も

一体あと何通届いたら、終わるのだろう。EUの一般データ保護規則「GDPR」の施行日5月25日に合わせて、5月後半から我々に届き始めた「プライバシーポリシー」についての通知メールのことだ。

EU域外へも適用されるためEU内の国からだけではなく、日本やアメリカを拠点にしている会社からも次々と通知が送られてくる。EUが世界に与える影響はそんなに大きかったのかと驚きつつ、私はJETROのHPで提供されている「実務ハンドブック入門編」を読み始めたが、PDFで提供されている入門編は49ページ。あまりに読み応えがある法令関係の内容の文書を前に、途中で諦めた。ネットにもGDPRについて端的に説明している記事は出ているが、網羅するには内容が多いのだ。

最初に断っておくが、この記事はGDPRについて明晰にわかりやすく解説するための記事ではない。ずっと「お知らせ」され続けているのに、個人情報を保護される側の我々が実はよくわかっていない、この興味深い現状について切に取り上げたいと思ったのだ。

それにしても入門ハンドブックというものは、もっとサクッと読めるように作るものではないですか?

そもそも多くの通知メールが「不要」または「違法」?

GDPR関連のポリシー変更を伝えるメール

GDPRに合わせて意思確認を伝えるメール。

大量に届くメールだが、The Guadiani newsの記事によると、既に個人情報の収集・利用に関する規則にユーザーが同意しているのであれば、GDPRをきっかけにユーザーに改めて通知する必要はない。

では、もしもユーザーが同意していなかったとすると? 個人情報の収集・利用について同意を得ていないユーザーに対して「同意しますか?」とメールを出すこと自体がGDPRの規則に違反していることになる。ユーザーである我々がそういったメールを受け取ることへ同意していない、あるいはそれを確認できないからだ。

つまり、多くの通知メールは不要か違法であるのだ。

ちなみにGDPRに違反した場合は高額な制裁金が課され、次のような2通りの制裁金の上限額が設けられている。

  • 1000 万ユーロ以下または、企業の場合には前会計年度の全世界年間売上高の2%以下のいずれか高い方
  • 2000 万ユーロ以下または、企業の場合には前会計年度の全世界年間売上高の4%以下のいずれか高い方

経営を揺るがすような高額な制裁金を背景に、我々のメールボックスにはFacebookやグーグルのような大企業はもとより、大小さまざまなWebサービスからGDPRに関連したメールが続々と送られて来るが、ほとんどは不要か違法。中には一度サインアップして、すっかり使わず忘れ去っていたサービスからもメールが届いて「あのサービスはまだ存続していたのか」と驚かされることもある。

大手企業からのニュース配信の再確認を装ったフィッシング詐欺のメールもあるというから注意が必要だ。

GDPRに翻弄される一般市民、逆手に取る人々

データを保護される側のEU加盟国市民にも影響は出ている。GDPRに違反することを懸念して、Los Angeles Times, New York Daily Newsなど米国の一部ニュースサイトがヨーロッパからのアクセスを遮断しているという。

大量のメールなどに翻弄される一方で、当のEU加盟国の市民たちもGDPRによってデータを保護される側なのだが、その多くは一体何が起きているのかピンと来ていないようだ。さらに拍車をかけるようにそんな混乱を逆手に取って楽しんでしまう人々もいる。

GDPRを風刺したシャツ

早速作られたGDPRエキスパートTシャツ。裏面は「I DELETE DATA(私はデータを削除する)」。

GDPRを風刺したアルバム

音楽配信サービスSpotifyでは「I Love GDPR」というプレイリストが人気を博している。楽曲リストには「What’s your name?」「I know what you like」「Text me」といった個人情報に関連した曲名が並ぶ。

英国のDJ、Mr. Scruffは自身のファンたちにGDPRをマンガで説明したニュースレターを送った。

gdpr03

「コールセンターの知らない人から定期的にかかってくる電話を楽しみましょう」「企業はこれからデータをレモン汁で紙に書いて記録します」「今のところ、97%のメールは10年前に台所用品を購入した会社からニュース再購読を呼びかけるものです」といった内容はポスターとして10ポンド(約1500円)で販売され、即完売になった(現在は在庫あり)。

商魂たくましいというか、さらにニュースレターには配信の個人設定ページへリンクがあり、情報配信を許諾する3つの方法が書かれた次のようなチェックボックスが並んでいた。

「メール」

「カスタマイズされたオンライン広告」

「鳩」

私は3つの配信手段すべてに同意のチェックを入れ、保存ボタンをクリックした。運が良ければ、英国のマンチェスターから私の家に鳩が飛んでくるかもしれない。

筆者である私はバルセロナを拠点にしているが、いつの日かGDPRへの理解を深めるために私も大量のドキュメントを精読して、欧州社会で個人情報保護がいかに尊重されているか今後もヨーロッパから遠く日本へ伝えていきたいと願っている。

(文・類家利直)

ソーシャルメディアでも最新のビジネス情報をいち早く配信中

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい