GDPRが施行開始、日本企業も無関心ではいられない模様
2018年5月25日(金)からEU版個人情報保護法であるGDPRが施行されています。日本の企業なんてEU圏の人々とは全く関わりはないし、自分には関係ないだろうと思っていたのですが、アメリカのグローバル企業の日本支社や感度の高い日本企業が情報発信を行なっています。したがって、5月25日のメールボックスはGDPRなんちゃらかんちゃらというメールがたくさん来てしまいました。むしろGDPRの情報提供を偽装したスパムメールがそろそろ出回りそうな雰囲気です。
どうもインターネットに関わるシステムエンジニアにおいて、EUなんて関係ないもんねとは言えない状況なのを感じています。特にクラウドはアメリカ企業がリードしているもののそのサービスはヨーロッパにつながっています。データも簡単に置けます。知らず知らずのうちにGDPR対象となっていて、気がついたら26億円の損害賠償に巻き込まれるなんてこともあり得ます。
少なくともインターネットにWEBサイトを掲載している企業(ほぼ全てだと思います)は、何が起こっているのかを理解する必要があると思います。
影響も出始めた
2日目にしてもう影響が出始めています。
GDPRの施行でアメリカのニュースサイト触法懸念でヨーロッパからの読者を敬遠 | TechCrunch Japan
こちらはアメリカ人らしい話。ヨーロッパからのアクセスを一部のニュースサイトが遮断してしまったそうです。GDPRなんかメンドくさい決まり作ってんじゃないよ、そんなんだから我々のサービスが受けられなくなるのさ、という皮肉を込めているんじゃないかとも言われています。準備期間に2年もあったのに準備せず遮断するとは流石アメリカ。
GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴 | TechCrunch Japan
こちらは、GoogleやFacebookが、GDPR条項に沿って個人情報を扱うことを強制的に知らせて来て、これにユーザーが合意しなければ実質サービスが使えない。そんな不自由なことがあるか、という訴えです。
言いたいことはわかるのですが、GoogleやFacebookも、んじゃーどうすればいいんだよ、とも思っていると思います。最後の手段はヨーロッパではGoogleやFacebookを配信停止にすることになっちゃうんですかね。
[FT]GDPR回避、米スタートアップ企業が欧州撤退 (写真=AP) :日本経済新聞
よくわからんものに付き合わされてリスクになるのはたまったものではない、撤退、という流れも無視できませんね。
インターネットには国境がないので、グローバルに均一なサービスをしようとすると、今回の場合は全世界のユーザーにGDPRを適用せざるを得ないということなのでしょうね。日本のユーザーになんでGDPRうんちゃらかんちゃらを知らせてくるのかと思いましたが。
日本への影響をどう考える?
今のところドメスティックな日本企業で、インフラにクラウドを使う企業において、そのクラウドがヨーロッパにつながっているときどんな影響があるか、全く想像ができません。ただなんとなくヨーロッパにサーバーを借りたりデータを置くときは、ヨーロッパの外にデータが流れないように設計しないととんでもないことになることはわかりました。
バックアップ設計で遠いところにバックアップを送付するケースなどは要注意ですね。
あとは、自分のサービスが急にヨーロッパで人気が出て、個人情報を取り扱わなければいけないケースも考える必要があります。ユーザー作成ができるサイトで、名前とメールアドレスとパスワードのような管理をしていて、それがヨーロッパのユーザーだともはやGDPR対象に入ってしまいます。
まずは勉強しよう
ということで、私自身も全くGDPRに頭が追いついていません。
情報ソースを探してみました。
結構「GDPR怖いやろ、ウチの会社に任せとき。コンサルしちゃるけん。」っていうページが多いのに驚かされました。そういうページは除いてあります。
EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の概要(後編) | NTTデータ先端技術株式会社
ちょっと固めだけど始めに読むには必要十分。
今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた | フジイユウジ::ドットネット
柔らかく書いてあります。いろいろ知ってからもう一度読みたい。
無料ダウンロード:PDF「 GDPR 入門ガイド」 | DIGIDAY[日本版]
ダウンロードするためには個人情報入れなければいけないというのが壁。まとまってはいそう。
EU一般データ保護規則(GDPR)入門:EU域外への個人データ移転編」
このプレゼンはなかなか良さそうです。わかりやすい。
日本企業も知らないではすまされない -1年後に迫ったEU個人データ保護法の改正-|リスク管理Navi [コラム]
よくまとまっています。
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月) | 調査レポート - 国・地域別に見る - ジェトロ
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)(2017年8月) | 調査レポート - 国・地域別に見る - ジェトロ
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)データポータビリティの権利(2018年2月) | 調査レポート - 国・地域別に見る - ジェトロ
「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(第29条作業部会ガイドライン編)データ保護責任者(2018年2月) | 調査レポート - 国・地域別に見る - ジェトロ
ジェトロ(日本貿易振興機構)によるありがたいバイブル5冊。最終的にこれらを全部読めば、人に語れるぐらいにはなれそうです。
お金で解決するのもあり。アマゾンのベストセラーです。