データから読み解くGDPRの影響が最も大きなビジネスは?
2020年に入りデータに関する動きは欧州、米国中心に活発になりつつあります。
Techcrunchなどのテクノロジー系の主要メディアで取り上げられる回数も徐々に増えてきており関心の高さは日に日に増してきています。
GDPRに関してはデータ保護当局(DPA)からの監視が厳しくなる一方で、テック企業が集中するアイルランドなどでは監査スタッフが足りなくなる事態まで発展してきています。
年が変わってから約2ヶ月が経ちデータに関するトレンドも大きく変化していきているので、データを元に振り返りたいと思います。
GDPRでの罰則トレンドと新しい動き
昨年末に「2020年のデータビジネスで起きる個人情報の変化とは?」という記事で2019年末までに発生したGDPR関連の罰則事例を数値で取り上げました。(GDPR Enforcement Trackerより)
その際は、2019年12月20日時点で163件の罰則事例が報告されておりブリティッシュエアウェイズ、マリオットなど個人情報流出によって大きな罰則が発生した件に関して紹介しています。
今年に入り、現時点では大きな個人情報流出における事例は報告されていませんが罰則に関しては右肩上がりで事例が増えてきています。
(出典:著者作成グラフ)
2020年1月1日から2月18日までの報告で29件が新しくカウントされており、その中で7割はスペインのデータ保護当局による報告です。
昨年紹介した2019年末までのデータからもスペインのデータ保護当局はかなり積極的に活動を行なっていることがわかります。
(出典:著者作成グラフ)
昨年末時点でもEU全体で約2割弱の罰則がスペインを中心に報告されており、今年に入ってから積極的に取り締まりを行なっています。
一方で個人に対する罰金を発表するなど保護当局が行き過ぎではないのかという意見も上がっています。
スペインで気になる罰金例としては2019年7月に被害者の女性が男性を訴えた問題で、男性が女性の許諾なく写真をWhatsAppを通じて公開したとして当局に訴えた例があります。
この件に関して女性の訴えを当局は認め男性に対して1万ユーロ(約120万円)を罰金として請求しています。
ここで問題になっているのが、GDPRは個人にも適応されることになるのかという議論です。
女性が個別に男性を訴える例は今回が初めてでありデータ保護当局がこれを認めた事が非常に大きな争点になっています。
デジタル分野の法律で有名なBorja Adsuara氏の主張では、GDPRは特定の企業に対して課されるものであり、個人に対しては関連性がないと主張しています。
実際に決着はついていませんが、今後判例として個人間での個人情報の取り扱いにも適用されることになればさらに判例が増えてくることに加えて、企業だけでなく、個人でも対策が必要になります。
テクノロジー大手を巡るGDPRの動き
今年に入ってからテクノロジー大手企業への風当たりはGDPR以外のところでも激しくなってきています。
特にFacebookやGoogleに関しては、データ保護当局だけでなく欧州議会全体での指摘が数多く見られています。
DPIA(データ保護インパクト評価)と呼ばれる個人情報プライバシーに対する評価が不十分であるなどの理由でFacebookは新たなサービス展開の中断を余儀無くされています。
さらに欧州各国ではFacebookの個人情報の取り扱いに対する不透明性から訴訟が数多く始まっています。
イタリアの公正取引委員会は罰金500万ユーロ(約6億円)を要求し、ドイツの消費者団体vzbvは既に26件の訴訟を行なっており、風当たりはさらに増すばかりの状況です。
ドイツの司法に関してはこれまでFacebookが主張してきた "アイルランドに本部があるため欧州域内加盟国の裁判所には司法権がない" という主張を覆すもので、国内の裁判所での訴訟を認める事例となっています。
今後、Facebook関連の訴訟が域内でのGDPR対応に加え各国の裁判所での対応に追われることになれば欧州内でのビジネスにさらなる影響が及ぶことになります。
Googleに関しては昨年2300億円で買収したウェアラブルデバイスFitbitに対する懸念が欧州域内で盛り上がっています。
医療系のハードウェアビジネスへの展開を進める同社にとって、個人の健康情報の取り扱いは非常に重要なポイントになります。
懸念を巡り同社は欧州の規制当局との協力などを進めていくと発表していて、引き続き注目が必要な動きの一つです。
GDPRによってテクノロジー大手にどのような影響が発生するか?
規制当局の動きが活発になることによって、テクノロジー大手企業はコンプライアンスコストや訴訟対応などが求められるようになります。
一般的なGDPRへの対応コストに関しては以前の記事で紹介しました。
テクノロジー大手企業は一般の企業と比較すると取り扱う情報量、及びステークホルダーの数や訴訟件数が異なるためより大規模な対応コストが発生していると考えられます。
一方でコストに対しての収益面(売上)を数値で見てみると大きな変化は現時点で起きていないと考えられます。
(出典:Facebook asks for a moat of regulations it already meets)
実際の数値で確認するとFacebookに関しては一部ウェブサイトへの集客が減少しているものの、その他のアド系企業に対する影響と比較すると大幅に影響は出ていません。
2019年には180億ドルの収益を広告を通じて計上しており、対策費用と比較しても収益源としては安定基調にあります。
一方で、Facebookに関しては広告全体の伸び率が上げ止まりの状態に来ており、全体の成長率は2018年の61%と比較して2019年は7%成長と大幅に減少しています。
コストに関しても訴訟費用やプライバシー関連のエンジニア1000人雇用で51%増加しており、引き続き難しい対応を迫られる事になります。
GDPR対策が序章である理由
テクノロジー大手企業は既に巨額の費用、対策コストを支払いGDPR対策を進めています。
スタートアップを含めた大手以外のテクノロジー企業に関しても引き続き対策が求められるだけでなく、安定的な収益化も必要になります。
さらに2018年と2019年を比較すると訴訟関連リスクが高まる可能性がデータで証明されています。
(出典:著者作成グラフ)
データに関連した問い合わせとデータ漏えいの被害を比較すると、2018年から2019年にかけて双方で70%以上増えている事がわかります。
これはテクノロジー大手が拠点を置くアイルランドのデータ保護当局の調査結果ですが、2020年も引き続き拡大していくだろうと予測されています。
(出典:Lack of big tech GDPR decisions looms large in EU watchdog’s annual report)
問い合わせに関する内容としてはデータアクセスに関連したものが最も多く、データ公開、データ処理やマーケティングなど多岐に渡ります。
データ漏えいに関しては非権限者による開示事例が最も多く、紙の書類の紛失などを除くとハッキングなどの事例も今後増えて行く可能性があります。
データから読み解くGDPRの影響が最も大きな企業は?
2020年の約2ヶ月間でGDPR関連では数多くの動きがありました。
特にテクノロジー大手企業を中心とした厳しい調査や訴訟に関する動きは今年年内続いていきそうで、GDPR以外にカリフォルニアでも同様の動きは少しづつ動き始めています。
一方でテクノロジー大手企業は十分に収益を上げている面もあり、ロビーイング対策やプライバシー、セキュリティチームの組成など急ピッチで取り組み始めています。
ここで問題になるのはテクノロジー大手企業のエコシステムによってビジネスを拡大したアドテク系の企業です。
(出典:Facebook asks for a moat of regulations it already meets)
GDPRが施行される2018年半ばからアドテク系の企業は徐々にサイトリーチ数を下げておりビジネスモデルの見直しを求めれる状況にありました。
Googleは第三者にCookie情報を開示しない動きを見せるなど、広告モデル自体の見直しは既に始まっています。
これまでのビジネスモデルが大きく変化して行く中で、GDPRやカリフォルニアのCCPAによってさらにアドテク系企業は大きな転換を迫られるようになるだろうと予測されます。
アドテク系のビジネスモデルの変化は前回紹介したGoogleの対策にも如実に現れ始めています。
2020年は広告業界にとって大きな一年になりそうなので、引き続き動きに注目です。
※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。
来年もCOMEMO記事を読んで頂けると嬉しいです。
↓↓↓
記事の内容やブロックチェーン×ビジネスに関するご質問はこちらまで!!
ブロックチェーン技術は世界中の人たちが注目している新しいビジネスのタネの一つです!気になったら気軽にメッセージください!