欧州のデータ保護規制施行　米国のユーザーにも恩恵

最近は、「プライバシー・ポリシーの変更について」という内容のメールがたくさん届く。差出人は、オンラインショッピングやSNS、アプリの開発会社などだ。これらは、欧州の一般データ保護規制（GDPR）が5月25日に施行されるのに際しての変更だ。メールではGDPRには触れていないことがほとんどだが、米国のユーザーに対しても欧州連合（EU）と同等の保護を与えようとしているということがわかる。

これまでも無数に受信した「プライバシ・ポリシーの変更」メールは、改悪が多かった。今回は、ユーザーのコントロール範囲を拡大し、企業側が順守しなければ大きな罰金を払わせるという、厳しいEUの基準が米国のユーザーにも恩恵を与えている。

この手のプライバシー・ポリシーは、長々とわかりにくい文章が続くのが当然で、それ自体が太刀打ちできないという気分にさせた。

一方でEUのサイトは、GDPRに関する説明は平易な表現が使われていてわかりやすい。不正確だったり不必要だったりする個人データは訂正や削除を求められるとか、自分のデータは競合サービスに移せるデータ・ポータビリティーが保証されるとか、ユーザーとしてできることがはっきりしている。

2008年時点の調査によると、プライバシー・ポリシーを一つ読むのに10分かかり、当時の平均的な米国人が利用しているサービスのポリシーを全部読めば1年で200時間を必要とし、これは3000ドルの生産性の損失だったという（カーネギーメロン大学調べ）。GDPRによって、そんな悪習も変わればと願うばかりだ。

GDPRが米国の企業やサービスに与える影響は、決して小さくないと思う。

昨年、あるオンラインマーケティング関係者の会議に参加した際、GDPRに関するセッションでは企業の参加者がかなり熱心に聞き入っていたのを覚えている。何よりも登壇者が強調していたのは、2000万ユーロか年間売り上げの4%かどちらか高額な方という、罰金の大きさだ。GDPRのプライバシー・ポリシー自体が、これまでのアメリカでは考えられないほど厳しい上に、厳格な罰則があるというので、登壇者は「これは大変なことです」と繰り返していた。

データ・ポータビリティーが可能になるため、欧州のサービスにとって今後チャンスが大きくなることも考えられる。例えば、米国のSNSの個人情報の扱い方に不満があれば、ユーザーは自分のデータを欧州の競合サービスにさっさと移してしまうこともできる。プライバシー・ポリシーに関しては、厳しいことがユーザーにとっては利点のはずなので、米国のサービスはユーザーを奪われる危険性もあるのだ。

そんなわけで、GDPRのおかげで、米国のユーザーはついでに得をしているというのが共通意識だ。とは言え、米フェイスブックや米リンクトインは、GDPRの対象にならないよう、欧州以外のユーザーのデータを米国に移した。一見、同じように見えても、やはり欧州以外のユーザーは、本格的に守られるわけではないと覚えておくべきだろう。

さて、それでは米国にもGDPRのような新規制ができるのだろうか。残念ながら、そんな話題はまだ聞かない。フェイスブックのマーク・ザッカーバーグ氏の公聴会でも明らかになったように、IT（情報技術）先進国でありながら、米国の議員はテクノロジーとプライバシーのカラクリがほとんど理解できていないのだ。

［日経MJ2018年5月14日付］