TOUCH THE SECURITY Powered by Security Service G

ナレッジ

2022.10.24

データ保護規制のGDPRとは?概要や欧州発祥の背景を徹底解説!

「GDPR」という言葉を知っていますか?言葉は聞いたことがあるが、意味を理解していないという人もいるのではないでしょうか。

GDPRは、「General Data Protection Regulation」という言葉の頭文字を並べたもので、日本では「EU一般データ保護規則」と訳されます。本記事ではこのGDPRについて、どのような規制なのか、誕生した背景、今後の可能性などについて詳しくご紹介していきたいと思います。

GDPRとは?

そもそもGDPRとはどのような規制なのでしょうか。先ほども少し説明したように「EU一般データ保護規則」のことです。EU(欧州連合)とアイスランドやノルウェー、リヒテンシュタインを含む欧州経済領域(European Economic Area = EEA)で2018年5月25日から適用がスタートし、個人データの保護を目的としています。

EEAに参加する国。青はEU加盟国、緑はEUには非加盟であるもののEU市場に参画している北欧の国々。
By CrazyPhunk (self-made - based upon: Image:EEA.PNG) [Public domain], via Wikimedia Commons

GDPRは基本的人権である

欧州で始まったこの規制は、「個人のデータ保護は基本的人権であり、個人データは企業のものではなく、個人のものである」と明確にしています。その上で、EEA域外へのデータの持ち出しを原則禁止したり、プライバシーの保護を行うよう求めているため、世界中の企業は、EEA域内での個人データの取り扱いに十分な配慮が必要になります。

日本にとっても無関係ではありません。EEA域内に現地法人や事務所を置く日系企業や組織だけでなく、欧州でネット取引する人たちなどにも、EUはEEA域内で取得した個人名や電子メールアドレス、クレジットカード番号などの個人情報を扱うための厳しいルールを課すからです。

GDPRの背景

GDPRのような措置はなぜ欧州から始まったのでしょうか。ここでは、GDPRが導入された背景についてご紹介します。

そもそも欧州では、GDPRの前には、欧州の「データ保護司令」という個人情報を扱う概念が存在していました。この司令は現在のネット環境には追いついていないものであり、欧米のメディアにはこの司令が、「まだ”クッキー”が美味しいビスケットとだけしか広く認識されていなかった時代の代物」と指摘している者もいます。

またこの保護司令はあくまで、各国の法規制整備を求める「概念的」なものでした。その一方で、今回始まったGDPRはその考え方を実現するために、罰則のある規制にしたのです。

現在の、ネットワーク化・デジタル化が進んだ世界では、ユーザーの個人データが巨額の富を生むようになっているといえます。世界的IT大手のグーグルやフェイスブックなどといった企業は個人データをすくい上げて広告に活用するビジネスモデルで莫大な利益を上げています。例えばフェイスブックは売り上げのほとんどすべて、年間400億ドルをそうした情報を使うことで稼いでいるのです。

近年、個人データというのは、国家を揺るがしかねないほどの影響力を持つようになっています。

誰もが気軽に参加できるプラットフォームメディア。
自覚の無いまま、恣意的、且つ扇情的な情報を拡散してしまう人々も多い。

GDPRは未来を見据えた整備事業

5G(第5世代移動通信システム)時代が到来すれば、今以上に世の中の多くのものがデジタル化してネットワークに繋がれ、全てがデータ化されると予想されています。

5Gとは「5th Generation」の略称で、携帯電話などに用いられる次世代通信規格の5世代目という意味です。高速大容量、高信頼・低遅延通信、多数同時接続という3つの特徴があります。

IoTやAIなどが日常生活の中で当たり前の存在となり、個人の生活情報や趣味嗜好までが今以上にデータ化されるでしょう。そうした潮流の中で、個人のデータの保護は、欧州を中心に基本的人権であるという認識がこれまで以上に高まってきました。EUの制作執行機関である欧州委員会は、デジタル経済の成長を推進するのに消費者の信頼は欠かせないものであり、その信頼はデジタルサービスの利用者にもっと情報を与え、ユーザー自身に彼らのデータが、どのように使われるのかをコントロールする大きな権限を与えることによって得られる、という声明を発表しています。

サービス提供者とユーザーがともにその恩恵を最大限に享受し、ますます発展するためには、ユーザーの個人情報を提供者側が独占して乱用してはならないのです。

このような理念を背景にGDPRがスタートしました。この規制は世界的に広がりつつある、未来を見据えた「整備」事業なのです。

欧州という地域性と歴史がもたらすもの

GDPRの誕生の背景について触れてきましたが、ではなぜGDPRの概念が欧州から誕生したのでしょうか。それは欧州という地域における人権意識の高さが考えられます。

欧州では17~18世紀ごろから、信仰の自由などを背景に、哲学者などが人権についての概念を議論するようになりました。それ以降、人権に対する意識は徐々にその地に根付いていきます。

個人と社会・国家の在り方など、近代の人権思想に言及した「社会契約論」の著者、哲学者ジャン=ジャック・ルソー(18世紀)。
専制君主の時代に終わりを告げた、後のフランス革命にも大きな影響を与える。

近代になり、EUが作られると、加盟国には人権的な意識が求められるようになりました。EUは新たに加盟を望む国々にも表現の自由や死刑廃止など、彼らの考える基本的人権を満たすよう求めています

移民問題や民族紛争をはじめ、人権に対する議論とジレンマは、欧州の国々において常に大きな政治論点である。
(写真:メリケルのプラカードを掲げる、CDU支持者と思われる市民)

そのような環境下で、インターネットが普及しユーザーの権利が注目されるようになりました。インターネットを取り扱う企業はユーザーの個人データを活用していますが、ユーザーはそれを知る権利もコントロールする権利も保障されていません。近年、注目されている以上のような問題にEUが対策を考えることは自然の流れだったといえます。

GDPRの前の規制「忘れられる権利」とは?

2014年、欧州連合司法裁判所(EUの最高裁判所)は、インターネットで自分の名前を検索すると過去のネガティブな報道記事が見つかることを不当だとしたスペイン人男性の訴えを認め、検索エンジンを運営する米グーグルに個人情報を削除するよう命じる判決を下しました

この判決は大きく報じられたため、この判決の後、Googleへの検索結果の削除依頼は2019年4月の段階で240万件以上にのぼるといいます。企業がコントロールする個人データをユーザーがコントロールするという考え方は、後のGDPRに繋がっているといえるのではないでしょうか。

まとめ

GDPRとは欧州で適用が開始された「EU一般データ保護規則」のことです。欧州で始まったのには、欧州に住む人々の人権意識の高さが背景だと考えられます。今後、GDPRは米国など欧州以外にも広がっていくと予想されています。日本国内でも規制の導入を検討しているという話も出ています。今後、データ保護規制の影響を日本が受ける日も近いかもしれません。

記事一覧に戻る