GDPRについて手短かに勉強したい人のための入門リンク集

f:id:orangeitems:20180526191537j:plain

GDPRが施行開始、日本企業も無関心ではいられない模様

2018年5月25日（金）からEU版個人情報保護法であるGDPRが施行されています。日本の企業なんてEU圏の人々とは全く関わりはないし、自分には関係ないだろうと思っていたのですが、アメリカのグローバル企業の日本支社や感度の高い日本企業が情報発信を行なっています。したがって、5月25日のメールボックスはGDPRなんちゃらかんちゃらというメールがたくさん来てしまいました。むしろGDPRの情報提供を偽装したスパムメールがそろそろ出回りそうな雰囲気です。

どうもインターネットに関わるシステムエンジニアにおいて、EUなんて関係ないもんねとは言えない状況なのを感じています。特にクラウドはアメリカ企業がリードしているもののそのサービスはヨーロッパにつながっています。データも簡単に置けます。知らず知らずのうちにGDPR対象となっていて、気がついたら26億円の損害賠償に巻き込まれるなんてこともあり得ます。

少なくともインターネットにWEBサイトを掲載している企業（ほぼ全てだと思います）は、何が起こっているのかを理解する必要があると思います。

影響も出始めた

2日目にしてもう影響が出始めています。

GDPRの施行でアメリカのニュースサイト触法懸念でヨーロッパからの読者を敬遠 | TechCrunch Japan

こちらはアメリカ人らしい話。ヨーロッパからのアクセスを一部のニュースサイトが遮断してしまったそうです。GDPRなんかメンドくさい決まり作ってんじゃないよ、そんなんだから我々のサービスが受けられなくなるのさ、という皮肉を込めているんじゃないかとも言われています。準備期間に2年もあったのに準備せず遮断するとは流石アメリカ。

GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴 | TechCrunch Japan

こちらは、GoogleやFacebookが、GDPR条項に沿って個人情報を扱うことを強制的に知らせて来て、これにユーザーが合意しなければ実質サービスが使えない。そんな不自由なことがあるか、という訴えです。

言いたいことはわかるのですが、GoogleやFacebookも、んじゃーどうすればいいんだよ、とも思っていると思います。最後の手段はヨーロッパではGoogleやFacebookを配信停止にすることになっちゃうんですかね。

[FT]ＧＤＰＲ回避、米スタートアップ企業が欧州撤退（写真＝ＡＰ）：日本経済新聞

よくわからんものに付き合わされてリスクになるのはたまったものではない、撤退、という流れも無視できませんね。

インターネットには国境がないので、グローバルに均一なサービスをしようとすると、今回の場合は全世界のユーザーにGDPRを適用せざるを得ないということなのでしょうね。日本のユーザーになんでGDPRうんちゃらかんちゃらを知らせてくるのかと思いましたが。

日本への影響をどう考える？

今のところドメスティックな日本企業で、インフラにクラウドを使う企業において、そのクラウドがヨーロッパにつながっているときどんな影響があるか、全く想像ができません。ただなんとなくヨーロッパにサーバーを借りたりデータを置くときは、ヨーロッパの外にデータが流れないように設計しないととんでもないことになることはわかりました。

バックアップ設計で遠いところにバックアップを送付するケースなどは要注意ですね。

あとは、自分のサービスが急にヨーロッパで人気が出て、個人情報を取り扱わなければいけないケースも考える必要があります。ユーザー作成ができるサイトで、名前とメールアドレスとパスワードのような管理をしていて、それがヨーロッパのユーザーだともはやGDPR対象に入ってしまいます。