Julie Brill – Corporate Vice President 兼 Deputy General Counsel、マイクロソフト
(本記事は米国時間 2019 年 5 月 20 日に公開されたブログの抄訳となります。)
欧州連合 (EU) の一般データ保護規則 (GDPR) が正式に適用開始されて 5 月 25 日で 1 周年を迎えます。GDPR は画期的なプライバシー フレームワークで、EU の居住者がそれぞれの個人データを管理できるようにすることで、彼らがデジタル テクノロジを使って、EU 内および世界中の人々と自由かつ安全にかかわりを持つことができるようにするというものです。
GDPR の適用開始以来、プライバシーをめぐる世界の現場は大きく変わりました。全体的には、EU 居住者の個人データを収集および処理する企業は、居住者が収集される個人データの内容を理解できるようにし、そのデータが不正確である場合には修正したり、希望する場合は削除または移動できるようにするために、新しいシステムおよびプロセスを導入および整備してきました。
これにより、企業による顧客の個人データの管理方法が改良されました。それはまた、世界中の国々が GDPR をモデルとした新しいプライバシー法を導入するという世界的な流れにつながっていきました。ブラジル、中国、インド、日本、韓国、およびタイなどの国が、新法を成立させ、新法案を提出し、プライバシー規制が GDPR に沿ったものとなるよう既存の法律を変更することを検討しています。
プライバシー ダッシュボードで顧客による情報管理を可能に
テクノロジによって人々が情報を作成、共有する方法が変化する中、プライバシー法を時代に合ったものに改めるという世界的な動きの原動力となっているのは、プライバシーが人の持つ権利であるという新しい理解、考えです。誰もが個人情報をコントロールする権利を奪われることなく、デジタル テクノロジの恩恵を受けられるようにすることへの期待が世界中で高まっています。これこそが、マイクロソフトが、ヨーロッパだけでなく世界中のお客様にデータの管理権を提供した最初の企業となった理由です。データの管理権は GDPR の核となる要素でもあります。
それから 1 年後、さらに多くの人がマイクロソフトのプライバシー ダッシュボードを利用しています。これは、人々がデータの管理能力を持つことを願っていることを示す明白な証拠です。GDPR 適用開始以来、世界で 1,800 万人以上のお客様が、当社のツールを使用して個人情報を管理しています。人口比においても、絶対数においても、最も高いエンゲージメント数が見られるのは 引き続き米国で、約 670 万人がダッシュボードを使用してきました。当然のことですが、GDPR の対象となる EU の居住者も、プライバシー ダッシュボードにアクセスしたユーザーの大きな割合を占めています。現在までに EU 内の 400 万人以上のお客様がログオンしてデータを管理してきました。
しかし、このダッシュボードは世界中で需要があります。プライバシー ダッシュボードの使用において第 2 位は日本、第 5 位はカナダです。トップ 10 に入るその他の国々には、ブラジル、中国、メキシコ、およびオーストラリアが含まれます。
文化を変革しプライバシーを推進
プライバシーの重要性を高め、それをオペレーショナル システムに組み込むために、マイクロソフトのように GDPR を完全に導入した企業は、幹部レベルから始まり組織全体に到達するような企業文化の変革を行いました。今日マイクロソフトにおいて、お客様のプライバシーを保護するという責任は、私たちが行うすべてのことの出発点となっています。ユーザーコントロールを可能にする仕組みの強化。そのことに対する私たちの取り組みは、かつてないほど強いものとなっています。
この文化の変革がもたらしたものは、当社の製品およびサービス全般に表れています。たとえば、お客様が当社の製品を使用したときに収集されるデータに関する透明性を高め、データがどのように使用されるかについてより大きな決定権をお客様に付与するために、先月マイクロソフトは新しい措置を発表しました。これらの措置には、マイクロソフトが収集するデータを明瞭でわかりやすい表現で説明し、お客様が自分の個人データを制御しやすくすることが含まれています。透明性を高めるため、マイクロソフトはドキュメントを改良し、当社のデータ収集手順についての年 2 回発行の新たなレポートを導入します。
また、お客様が GDPR に基づいて負うプライバシー責務を果たせるよう支援するツールも提供しています。ゲーム開発者が GDPR に準拠することを容易にするため、マイクロソフトはゲーム プレーヤーが自分たちに関して保存されたデータを表示または削除できるようにするツールを開発しました。私たちは、企業が機微データを守り、従業員や顧客のプライバシーを保護する方法を改良する手段を提供しています。私たちは暗号化手段を提供して、企業がクレジット カードや米国の社会保障番号などの国民 ID を含む機微データを保護できるようにしています。企業がモバイル デバイス上の機微情報を保護できるようにするために、マイクロソフトは一連の高度なプライバシーおよびセキュリティ機能を発表し、企業の IT 管理者がプライバシーおよびセキュリティ保護ポリシーをより適切に適用できるようにしました。そして 4 月には、Office365 ProPlus 向けの新しいプライバシー ツールを発表しました。これは、マイクロソフトに送信される診断データと機能性を強化するための Office のオプションのクラウドベースの機能に対して、より大きな制御をお客様に提供するものです。
米国の新しいプライバシー保護法と他国との相互運用性に向けて
マイクロソフトのような企業がいかに組織による機微データの保護を支援し、個人のデータ管理能力を強化するとしても、プライバシーに対する確固たる権利の確立は、根本的には常に法律の問題であり、政府にかかっています。米国の消費者が自己の個人データの管理の強化に高い関心を寄せているにもかかわらず、米国はいまだ EU やその他の国々のように、今日の生活で人々がどのようにテクノロジを使用するかを規定する統一的な国内法を通過させていません。
連邦政府による行動が取られない中、カリフォルニア州はプライバシー保護を推進するうえで重要な最初の一歩を踏み出し、2020 年 1 月 1 日より施行される、カリフォルニア州消費者プライバシー法 (CCPA) を通過させました。米国のプライバシー法における重要な分岐点として、CCPA は GDPR に影響を受けた権利を含む米国で最初の法律となりました。
今度は連邦議会が、米国および世界中で進んでいるプライバシー権に関する新しい理解を反映する新しいフレームワークを採用する番です。GDPR と同様にこのフレームワークでは、人々に自分のデータを管理する権限を付与し、収集した個人情報の使用について企業により大きな説明責任と透明性を求めるルールによって、プライバシーに対する基本的な権利が支持される必要があります。
カリフォルニア州の法律はすばらしい出発点です。しかし、連邦法はもう一歩踏み込んで、企業が消費者の個人データの責任ある管理者として行動することを確実にすることを盛り込む必要があります。これを実現する 1 つの方法として、データの持ち主にとって、データが処理されるメリットが潜在的なプライバシー リスクを上回るかの評価を企業に義務付けることが挙げられます。
このことが重要であるのは、米国で現在一般的なオプトイン/オプトアウト プライバシー モデルでは、消費者がアクセスするすべての Web サイトやオンライン サービスについてそれぞれ、強制的に決断を下すことを求められるためです。これは不合理で、実現不可能な重荷を個人に負わせることになります。強力な連邦プライバシー法では、消費者が自分のデータについての権限を強化するだけでなく、機微な個人情報を収集および使用する企業に対する説明責任を定めることが必要です。
連邦法には、強力な執行規定も含める必要があります。連邦取引委員会に奉職していたときに実際に見たことですが、現在有効な法律は、今日の複雑なデジタル エコノミーにおいて同委員会がプライバシーを効果的に保護できるほど強力なものであるとはいえません。
最後に、連邦プライバシー法は、米国の判例、および米国社会の文化的価値や規範を反映したものであるべきですが、その一方で GDPR と連携している必要があります。米国の企業にとって、米国の法律と GDPR との相互運用性は、コンプライアンスのコストと複雑性を低減するものとなります。それによって、企業がビジネスを行う国々において、さまざまに異なり、互いに対立することさえあるプライバシー保護要件を満たすために別個のシステムを構築する必要がなくなるためです。
GDPR は、適用開始以来、プライバシー保護の進歩のための重要な触媒となってきました。世界の国々は、デジタル時代において人々がプライバシーに対して抱く新しい理解を反映する新しい法律を導入しました。いくつかの企業は、機微な個人情報の取り扱いを改良し、人々が自分たちの個人情報の管理およびコントロールを容易にできるようにする新しいツールを提供しました。
今度は、連邦政府が世界の他の国々に倣って、GDPR のプライバシー保護を米国市民にも拡大する連邦法を成立させるときです。
関連情報: プライバシー保護: 収集データの透明性と顧客によるデータ制御の向上
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
