GDPR施行から1年

2019年6月11日

2018年5月25日のGeneral Data Protection Regulation (GDPR)の施行から1年が経過した。GDPRに違反していることが判明した企業は、約2,230万ドル、もしくは前会計年度の全世界年間売上高の 4 ％以下のいずれか高い方、という、とてつもなく巨額な制裁金や制裁の脅威から注目を集めた。しかしながら、実際にGDPRの基での制裁金は、フランス規制当局がGoogleに対し約5,900万ドルの制裁金を科した以外は警告程度で終わっており、これまでのところ巨額制裁金は稀である。

がしかし、制裁金や制裁内容は企業の評判に大きな影響を与える可能性がある上に、たとえ制裁金を支払う余裕があっても、一時的、または無期限に業務処理が中断されるリスクは大きい。また、データ管理責任者の設置や、企業組織の変更、データドリブンマーケティングへの脅威などについても、GDPRが企業に与えた影響は大きい。Winterberry GroupとInteractive Advertising Bureauによる、次の調査結果のとおり、確かにアメリカのマーケティング担当者にとって、政府による規制やその規制への脅威がデータドリブンマーケティングを脅かす最大の障害となっている。

• 政府による規制/規制への脅威 :8％
• データ共有のプロトコルの貧弱さ/組織のサイロ化 :7％
• データドリブンプログラムのROI証明の難しさ :3％
• グローバル経験の欠如 :2％
• 経営層による経営方針やリソースの欠如 :0％

(Winterberry Group “The Outlook for Data 2019: A snapchat into the Evolving Role of Audience Insight” 2019年3月)

GDPRは企業のみならず広告業界にも大きな影響を与えている。ターゲティング広告において、第三者機関のデータ利用を極力少なくするよう広告主に求めたり、Consent Management Platform -同意管理プラットフォーム (CMP)の導入を早急に進めざるを得なくなった。

サンフランシスコを拠点とする大手アドテックのQuantcastは、ユーザーから収集したデータを使用して具体的なプロファイルを作成し、それに基づいたターゲット広告のプラットフォームを提供しているが、現在Quantcastはプライバシー情報侵害により、ヨーロッパを拠点とする多国籍テクノロジー企業の主要なプライバシー規制機関であるアイルランドデータ保護委員会による調査を受けている。データ収集とその使用はアドテックにとって必須であり、制裁金を科されることへの懸念から、ヨーロッパから撤退したり、ビジネス変換をしているマーケティングテクノロジーベンダーもある。

ただし、個人データ保護を最優先させることは各国において継続的な課題でもある。

Dentsu Aegis Networkが世界の18歳以上のインターネットユーザーに対し行った「テクノロジー業界への不信理由に関する調査」によると、次のとおり、「個人データの誤った利用」が最たる理由となっている。

• 個人データの誤った利用 :64％
• 自動化、十分な雇用を創出していない :26％
• イノベーションの追求 :26％
• 過剰な富の創出 :20％
• 貧弱な労働環境 :17％

(Dentsu Aegis Network “Digital Society Index 2019: Human Needs in a Digital World”2019年4月)

スイス、ノルウェー、アイスランド、リヒテンシュタインなどのヨーロッパ諸国、アフリカや東南アジアの国々、ブラジルなどが、GDPRとほぼ同内容のデータ保護法の制定を進めている。アメリカでも、カリフォルニア州でCalifornia Consumer Privacy Act

(CCPA)が2020年に施行される予定で、他にもワシントン州、ニュージャージー州、コロラド州などの州議員が独自のデータ規制法案を提案している。その一方で、アメリカでは各州での制定に反対し、連邦での規制を求める声も出ている。

GDPRが世界規模で影響を与えている最も一般的な側面は、データ主体の権利、データ侵害、説明責任の要件に関するガイダンスであり、多くの国が国際的なデータ交換を支援するための法整備を実施している。今後数年間でGDPRの要素を組み込んだより多くの法律の制定が予想される。