【経済】サイバーセキュリティ専門家 足立照嘉氏：GDPRの理解とその影響 vol.2【フィスコ 株・企業報】

◇以下は、FISCO監修の投資情報誌『FISCO 株・企業報 Vol.7 －米中冷戦の行方と日本の未来』（3月29日発売）の特集「GDPRの理解とその影響」の一部である。全2回に分けて配信する。


2018年5月25日、EUは2016年に制定したプライバシー保護の法律「GDPR(一般データ保護規則)」を、2年間の周知期間を経て施行した。GDPRの登場は何を意味し、企業にどのような影響を及ぼすのだろうか。サイバーセキュリティ専門家の足立照嘉氏が解説する。

■GAFAキラーとしてのGDPRの登場

データが価値を持つ層（4月17日配信の「GDPRの理解とその影響 vol.1」で言及）に「待った」をかけるのが、2018年5月25日に欧州経済領域（EEA）で施行された、「EU一般データ保護規則（GDPR）」である。

2019年1月にはフランスのデータ保護監督当局CNILから、Googleに対する制裁が発表された。その制裁金額はなんと5,000万ユーロ、およそ62億円に相当する。個人データ取り扱いに際しての透明性欠如と同意の不備が制裁の理由だ。

そして、このような話は日本企業にとっても対岸の火事ではない。2019年2月1日からの日欧経済連携協定（EPA）発効に合わせ、2019年1月23日には欧州と日本との個人データ域外移転を認めるという発表が、欧州委員会と日本の個人情報保護委員会の双方から発表され、即日効力を発した。日本側に欧州からの苦情を受け付けるための機関が設けられるため、日本企業への苦情申し立てを行い易くなる。

また、日系企業も多く進出している米カリフォルニア州では、2020年1月1日よりカリフォルニア消費者プライバシー法（CCPA）が施行される予定だ。CCPAではペナルティとして、情報漏洩一人あたり100ドルから750ドルの制裁金が課されるため、10万人規模の情報漏洩が発生してしまえば、GoogleがCNILから求められたのと同規模の制裁金額に達してしまう可能性もある。

データ保護法の整備が急速に進んでおり、日本企業も遵守していかなくてはならないのだ。

なにもデータが価値を持つ層だけで、特別なことが起こっているわけではない。国境線を勝手に引き直し主権を主張してしまえば、国際世論からの批判を浴びることになるし、お隣さんの庭に勝手に自宅を拡げてはならない。このようなことは国際間の取り決めや、国土に関わる関連法例で決められていることだ。

そして、ソフトウェアの層であれば独占禁止法や知的財産権などが強い力を持ってきたし、データが価値を持つ層では、データ保護法が力を持っている。

■個人データの価値の高まりとレギュレーション対応

2017年にベライゾンによって買収された米ヤフー（現アルタバ）は、2014年の個人情報漏洩が発覚したことで最終的には買収額が3億5,000万ドルも減額されて買収合意に至った。およそ400億円だ。更にはこの件で投資家をミスリードしたペナルティとして、米証券取引委員会（SEC）からアルタバに3,500万ドルのペナルティが2018年に課されている。およそ40億円となる。

つまり、個人データの取り扱いが企業の価値を決めることもあるし、投資家に莫大な損失を与えてしまうこともある。

GDPRのような規制は、えてして市場の成長を抑制してしまうネガティブなものとして捉えられかねない。ところが「ベストプラクティス」として活用することができる企業は、成長を後押しするものとして活用することもできる。

企業がレギュレーションに反してでも利益を追求することで制裁を課されるということも、レギュレーションを活用することで追い風を受けて更なる成長をするということも、その取り組み次第ではどちらの立ち位置にも行けるのだ。

そして、この一年あまりの間にもGDPRの施行、日欧のデータ移転に関する合意、カリフォルニア州での法案成立など、データ保護法は現在進行形で強化されている。EEA域内ではGDPR施行からの8カ月で、9万5,000件以上の苦情申請が行われたが、個人データの価値が高まることに比例してその数は今後も増え続けるだろう。

企業価値はイノベーションだけではなく、レギュレーションへの対応が決めていく。そして今日もパイの奪い合いが行われ、その層を積み上げながら続いていく。

【足立照嘉　Profile】
サイバーセキュリティ専門家。 欧州を中心に北米や日本でもサイバーセキュリティ事業を展開。 日本を代表する企業の経営層からも信頼が厚い。

《HH》

　提供：フィスコ