EU一般データ保護規則施行から３年（CSISの記事）

写真出展：Pete LinforthによるPixabayからの画像https://pixabay.com/ja/users/thedigitalartist-202249/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=3246979

　CSISは2021年9月13日に、EU一般データ保護規則施行後の動向に関する記事を発表した。内容は、EU一般データ保護規則施行の現状、EU域内の変化及び今後の見通しについて論じるものである。デジタル経済圏の構築や、データドリブンエコノミーなどに非常に参考となる内容であることから、その概要を紹介させていただく。

↓リンク先（3 Years Later: An Analysis of GDPR Enforcement）
https://www.csis.org/blogs/strategic-technologies-blog/3-years-later-analysis-gdpr-enforcement

１．記事の内容について
　　・EUが、2018年5月にEU一般データ保護規則（GDPR）を施行してから３年が経過した。この規則はEU域内の国民のデータを収集、処理、保存する全ての企業に適用される規則であり、デジタルサービスの信頼性を回復し、未来の成長のけん引役になると期待されてきた。利害関係者は規則の曖昧さやコストなどを懸念しており、PwCの調査によると、各企業は規則遵守のため、130万ユーロ以上を費やしているとされている。
　・GDPRを遵守するため、強固な合意要件、プライバシー設計、法令違反に関する義務的通知などの各種ルールに、各企業は従わなくてはならない。本規則は更に個人の権利拡大にも寄与しており、本人による個人情報のアクセス、制御、データの持ち出しや「忘れられる権利」なども含まれている。各国はデータ保護管理者を設置し、法の執行状況を監視する義務を負うことになる。より効果的な施行のためにはいくつかの課題があるものの、セキュリティ慣行を大幅に改善することになったのである。
・GDPRに違反した企業は、売上高の4%に相当する金額ないしは2000万ユーロのいずれか高額となる方の罰金を支払うことになる。規則施行後、839件の事例が発生しており、2020年において高額な事例を列挙すると、グーグルの5000万ユーロ、H&Mの3530万ユーロ、テレコムイタリアの2780万ユーロ、マリオットインターナショナルホテル1840万ユーロ、ブリティッシュエアウェイズの2000万ユーロである。例えば、スウェーデンの衣料小売りのH&Mは、従業員の個人情報を、本人の同意なく監視、収集し、プロフィールの作成や雇用の資料として使用していたことから、規則違反とされた。罰金のみならず、各種改善措置も講じており、データ保護調整者を任命し、データ保護に関する計画を提出することとした。GDPRの罰金は、前向きな効果があった。規則違反の通知漏れに伴う違反は20件程度であるが、通知件数自体は昨年度と比較して増加している。
　・国によっては、罰金を課す事に積極的である。スペインは277件、イタリアは88件、ルーマニアは62件、ハンガリーは44件、ドイツは32件である。罰金の合計額は、イタリアが8400万ユーロ、フランスが5700万ユーロ、ドイツが4900万ユーロ、イギリスが44万ユーロ、スペインが3200万ユーロである。一方でアイルランドは積極的ではなく、罰金を科すのが遅いと批判されている。
　・GDPRは、各企業が本拠を置いている国家の監視当局が、プライバシーポリシーを先導することを求めている。フェイスブック、ツイッター、グーグル、アップルはアイルランドを本拠として主張しているが、アイルランドの規制当局は組織が脆弱であり、人員も不足しており、有効な対処ができていない。このことから、欧州議会はアイルランドに対して侵害措置手続きを取っているほどである。また、欧州司法裁判所の判例も複雑さをもたらしている。この批判を受け、EUデータ保護委員会は、各国のデータ保護当局の間を取り持ち、254件の最終決定の合意を取り付けた。その他の障壁としては、規制当局、企業間の格差がある。大企業はその豊富な資源を活用して、罰金の減額を勝ち取っており、過去6ケ月間で15件も提訴されている。
　・EU一般データ保護規則の行方については、各国が見守っている。オーストラリア、日本、韓国、ブラジル及び中国はGDPRを模範として独自のデータ保護法制を確立している。GDPR制度により、企業のセキュリティ及び個人情報保護が改善されているが、規制当局は地域の一貫性の確保、増大する要請に対処するための人的資源の拡充などに尽力している。地域で調和のとれた基準が確立されるには、あと数年を要することになるだろう。

２．記事読後の感想について
　　EUはルール作りが得意であり、多少損をしてもルールの面から世界をリードしようとする。この点、日本はルールに追随するばかりであり、何とも羨ましいというか、立ち回りがうまいというか、見習いたい所である。
　　ただ、EUはドイツやフランスが中心であることから大陸法的な条文に何でも盛り込む傾向があり、こうした煩雑な部分を嫌う国も多く、基準の採用をためらう国を英米法的なやや融和的な基準で取り込むことは可能だろう。
　　日本は大陸法と英米法の双方の性格を受け継いでいるため、基準や規制などが世界有数の複雑さ（煩雑さ）になってしまいがちだが、アメリカやイギリスなどとは親和性が高い国でもあることから、より代替に基準作りに取り組むべきだろう。
　　ではどこから取り掛かるのがいいのかというと、やはりアジアだろう。アジアは自由主義体制と権威主義体制のはざまにある国が多く、お互いが取り込みに躍起になっている地域である。日本はクアッドで地域の大国を取り込むことに成功しつつあることから、クアッドをテコとしてASEAN諸国の取り込みに尽力するべきである。
　　ただ残念なことに、日本ではこの手の基準作りの先導役がなかなか見当たらない。各省庁縦割りで権限が分散してどうしようもなくなる、と言ったことを繰り返すわけにはいかない。今後は対外交渉窓口を一本化するなどの措置が必要になって来るだろう。今度の自民党総裁選挙でも、通商代表部の設置について言及した候補もおり、こういった流れを意識した政策が表に出てくることは、素直に歓迎すべきことだろう。コロナ対策のためにこのような論点に日が当たらないが、こういった地味な政策についても丁寧に取り扱う政権が誕生して欲しいものである。
　　
　英文を読んでわからないという方は、メールにて解説情報をご提供させていただきます。なにぶん素人の理解ですので、一部ご期待に沿えないかもしれませんので、その場合はご容赦願います。当方から提供した情報については、以下の条件を守ったうえで、ご利用いただきますようよろしくお願いいたします。

(1) 営利目的で利用しないこと。
(2) 個人の学習などの目的の範囲で利用し、集団での学習などで配布しないこと。
(3) 一部であっても不特定多数の者が閲覧可能な場所で掲載・公開する場合には、出典を明示すること。（リンク先及び提供者のサイト名）
(4) 著作元から著作権侵害という指摘があった場合、削除すること。
(5) 当方から提供した情報を用いて行う一切の行為（情報を編集・加工等した情報を利用することを含む。）について何ら責任を負わない。