2018年5月に欧州連合(EU)域外への個人情報の持ち出しを原則禁止とする「EU一般データ保護規則(GDPR)」が施行された。その施行前にIIJは、独自に実施した調査を基に、「EUに拠点がある1700社のうち、日本企業で対応策に着手しているのは200社ほど」と指摘していた。規制の施行からもうじき4カ月が経過するが、いまも対策に追われている企業は少なくないだろう。

 こうした中で欧州委員会は2018年9月5日、「日本に対してはEU域内からの個人情報の持ち出しを例外的に許可する手続きに入った」ことを発表した。年内中には正式承認されるとの見通しを示している。

 これにより、制裁リスクや事務負担の軽減を期待できるようになり、EU域内から日本への個人情報の持ち出しは円滑になると考えられている。だがもちろん、日本企業がGDPRについて全く考えなくてよくなったというわけではない。

 今回認められようとしているのは、あくまでも個人情報の「持ち出し」である。取得や処理などは、GDPRによって定められた義務の履行が必須となる。

 そして海外向けにデジタルマーケティングを展開している企業は、GDPR以外にも対策を考えなくてはならないことが二つある。その一つが、EUが正式採択に向けて審議している「Regulation on Privacy and Electronic Communications(eプライバシー規則)」である。

 これはGDPRを補完するものとして位置づけられ、「クッキー(Cookie)法」とも呼ばれている。現状の提案内容で可決された場合、Webサイトを訪問するEUのユーザーに対しては、Cookieの利用にかかわる同意を“オプトインで”得ることが義務付けられるようになる。

 つまりWebサイトを訪問したユーザーがCookieを許可することを能動的に選択しない限り、Webサイト側では使えなくなる。つまり、Webサイトが現行の技術で実現しているトラッキングやターゲティングができなくなることを意味している。

 もう一つは2020年1月に米国で施行される「The California Consumer Privacy Act of 2018.(2018年版カリフォルニア州消費者プライバシー法)」だ。この法律は「一般消費者が企業の収集したデータやその持ち出し、そして販売先を確認できるようにする」ものだ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。