ヨーロッパのGDPR（General Data Protection Regulation、一般データ保護規制）が施行され、約1年5ヶ月が過ぎようとしている。またアメリカのカリフォルニア州では、CCPA（California Consumer Privacy Act、カリフォルニア州消費者プライバシー法）が2020年1月に始まる。世界中でプライバシーに関する意識や議論が高まってきているなかで、どのような潮流があるのか、消費者データプライバシーの現状についてまとめてみたい。

GAFAに対する印象の変化

　この2、3年でデータプライバシーに関する意識や議論は大きく変わったと思う。最も大きなきっかけは、2016、2017年にあるニュースが話題になったことだろう。

　そのニュースとは、政治キャンペーンコンサルティング、データマイニング企業「Cambridge Analytica」が英大学教授の助けを得て、Facebook上での複数のアプリからユーザーの友達のデータを吸い取り、それを使ってどのような政策や政党を支持しているかを理解し、イギリスのEU離脱キャンペーンや米大統領選において、心理戦を仕掛けたという事件だ。

　この大学教授はFacebookに対して学術的な研究のための調査であると語って、データを収集したらしい。

　この事件は、それまであまり一般の消費者に知られていなかった事実を、広く知らせることとなった。GAFA（Google、Apple、Facebook、Amazon）のビジネスモデルは基本的に大量のユーザーデータを収集し、それを利用して非常に大きな企業価値を達成したり、独占的な立場を使って競合排除を行ったり、競合に真似た製品を市場でぶつけることで成長してきたのだ。

　つまりこれらの企業にとっては、自社のサービスを使う「消費者」「ユーザー」が実は広告主やアプリ開発会社、製品メーカーに販売する「商品」であり、その販売効率を上げるために、ますます消費者データが必要になるという構図となっているのである。

　特に米デジタル広告業界での寡占状況はDuopoly（2大企業による寡占）と呼ばれている。下図にみられるように2014-2015年の米デジタル広告はGoogle、Facebookが大きなシェアを持ち、さらにデジタル広告の成長部分のかなりの部分がこの2社により占められている。

　今ではAmazonが積極的にデジタル広告販売を行っているので、3位に入ってくるのもさほど遠くなく、GFAが市場をさらに独占する可能性があるのだ。

　このような背景から、GAFAなどのテクノロジー大手企業が市場を独占し、その力を使って収集した消費者データの利用を広げていき、それをさらに独占的な力にしていくことに疑問を持つ人たちが増えている。2020年のアメリカ大統領選の民主党候補のElizabeth Warren氏は、Facebook、Google、Amazonの分割を選挙公約として掲げている。

　また、Yahoo!やFacebookをはじめ、デジタル企業や金融企業などでデータ漏洩事件が頻発しており、企業の消費者データセキュリティの弱さが指摘され、もっと強い規制が必要という議論も湧き起こっている。

GDPR施行後1年半

　2018年5月、欧州連合（EU）でGDPRが施行された。

　元々、アメリカなどと比べると、ヨーロッパでは企業と消費者や労働者の関係において、消費者や労働者の権利が強い国が多い。その延長で消費者のプライバシーをさらに守る規制が生まれてきたのだ。また、GAFAのようなアメリカ系のデジタル企業がヨーロッパの消費者のデータを使ってさらに力を得るということに対抗する手段であるということを指摘する批評家もいる。

　GDPRでは、企業は消費者のデータを利用することの同意を得る必要があり、またデータ漏洩が起こった場合に告知の義務がある。消費者のリクエストにより、どのようなデータを収集しているかを知る権利があり、またそれを消去して忘れ去られる権利も提供されている。

　また、プラットフォーム間のデータの移動を保証し、Privacy by Designという企業組織・テクノロジーを利用して消費者のプライバシーを守る施策を行わなければならない。そして大手企業ではデータ保護責任者（DPO、Data Protection Officer）と呼ばれる企業の消費者データ管理を行う幹部を置かなければならない、などの条項が含まれている。

　GDPRはEUの規制ではあるが、ヨーロッパ企業だけではなく、ヨーロッパの消費者データを収集する企業は対象になる。それも罰則がその企業のグローバル売上の最大4％となっている。これはヨーロッパでの売上や、ヨーロッパの特定の消費者からの売上ではく、世界全体での売上が対象になっており、非常に大きな罰則となる。

　施行から1年5ヶ月ほど経ったところであるが、すでにイギリスでブリティッシュ航空とマリオットホテルグループがそれぞれデータ漏洩で2億3千万米ドル、1億2400万米ドルの罰金刑が発生しており、Googleもフランスで5700万米ドルの罰金が言い渡されている。

　さらにイギリスでは国のプライバシー機関「ICO」が、オンライン広告業界に向けてプログラマティック広告の売買において、個人情報の利用についてのレポートを2019年6月に公開。アドテクノロジー企業など業界プレーヤーが多数介在して、個人情報を取引する状況に対して懸念を表明したり、情報開示がなされていないことや、データ漏れが起こっていることを指摘したりしている。すぐに規制が行われる訳ではないようだが、業界でのGDPRへの対応を求めている。

　このようなリスクに対応するために、元々ヨーロッパにユーザーが少ないアメリカの媒体社などでは、すでにヨーロッパからのトラフィックに関しては、コンテンツを表示することを止めたり、CookieやデバイスIDのトラッキングを止めてGDPRに抵触しないようにしているところもある。

CCPA来年1月施行

　さて、アメリカに話を移すと、2020年1月に施行になるのがCCPAである。カリフォルニア州は、アメリカ全体の12％の人口を抱え、その規模から、ほかの州や全米での規制に影響を与えるので、その動向が非常に注目されている。

　CCPAはGDPRと近い形態であるものの、プライバシーデータとして個人を認識するメールやCookieなどだけではなく、サイト訪問や検索履歴、態度、嗜好、行動、心理など他のデータの組み合わせで推測・予測したデータも含まれる。さらに規制の中には消費者データの「販売禁止（Do Not Sell）」というオプトアウト（個人情報の第三者提供に関し、データ提供を本人の求めに応じて停止すること）条項が入っている。

　ここでの「販売」の定義にはデータの販売はもとより、データを貸し付けたり、ほかの企業に開示したり、利用できる状態にしておくことなども含まれている。またオプトアウトは、その企業のシステムだけではなく業務委託しているパートナー企業などへ提供されたデータも含まれるため、その対応が必要となる。

　対象企業としては、カリフォルニア州で消費者のデータを収集したり、取引したりする企業はもちろんだが、カリフォルニア州外の企業でも2500万ドルの売上を持つか、5万以上の消費者・世帯・デバイスからのデータを収集しているか、その企業の売上の50％が消費者データから得ている企業も対象になっている。

　違反があると一件あたり2500ドル（意図的な違反には7500ドル）の罰金が用意されており、対象人数が増えると、一気に金額が大きくなると考えられる。

全米の動向

　アメリカの消費者データのプライバシー規制を施行しているのはカリフォルニア州だけではない。2018年にバーモント州でデータブローカーを対象にした規制が施行されたり、ネバダ州では10月1日に限定的なものではあるが実施されている。その他にもコネチカット州、ハワイ州、イリノイ州、ルイジアナ州などで州規制に対しての議論が行われているのが現状である。

　ただ、このように各州でまったく別々のレベルのプライバシー規制ができると大手企業側からすると、その対応に費用や手間がかかりすぎることになる。

　そこで米デジタル広告業界団体「IAB」は、米広告主協会（ANA）、米広告代理店協会（AAAA）などと協力して、全米レベルで統一したプライバシー規制を設ける「Privacy for America」というイニシアティブを発表している。

　消費者データで医療や個人財務、バイオメトリック、正確なロケーションなどの慎重に扱うべきデータの利用を厳しく管理し、仕事、与信、保険、医療、教育、住居に関連のあるデータの利用をやめ、米連邦取引委員会（FTC）にデータ保護局を設置し、規制を行うというのが骨子であり、現在ロビー活動が行われている。

プライバシーはグローバルで対応が必要に

　ヨーロッパ、アメリカの状況を説明したが、プライバシー規制は他の国でも進んでいる。ブラジルでは来年2月に施行される予定であり、インドではデータ保護局を設立し、ペルー、チリ、ウルグアイ、インドネシア、ケニアなどで消費者データ保護法の検討に入っているようである。

　グローバル企業としてはこのような各国、各州・県などでの対応が必要になってきており、法律企業などに対応策を求めている。

　例えば、イギリスに本社を持ち40ヶ国にオフィスを抱える法律事務所「DLA Piper」は、データ保護規制の世界の状況をマップ化し、リスク分析をしたり、国別の対応などをアドバイスしたりしている。

　プライバシーに関する対応でFacebookが叩かれるような記事を毎日のように見るようになったが、これもGDPRやCCPAなどの規制が施行され、消費者データを保護することの重要性が社会的にますます認識されてきたからと考えられる。この動きは世界の多くの国に広がっていくと考えられ、グローバル企業にとっては組織、戦略、テクノロジーを含めて、消費者データ保護にどう対応するかが問われる時が来たと言えるだろう。