GDPRが生まれた背景と目指す先/Background of GDPR and what it aims for

Transcript

1. GDPR が生まれた背景と目指す先 2018-07-06 avcdsld

2. きっかけ • GDPR について説明したウェブ記事を読んで、コトの重大さを感じた • 「いま何かできることがあるんじゃないか？」と思った • 注目しているブロックチェーンプロジェクトも、ブログで取り上げていた • GDPR

   の本はたくさん出ているが、どれも法的要件の話ばかり • GDPR が生まれた背景や、目指している先について知りたくなった

3. 参考文献：よくある GDPR の書籍とはちょっと視点が違う読み物 GDPR ｜シリーズ（連載）｜WIRED.jp https://wired.jp/series/gdpr/ さよなら、インターネット | 武邑 光裕

   (2018/06/21) https://www.amazon.co.jp/dp/4478105847

4. 目次 • GDPR とは？ • GDPR の背景 • GDPR の狙い

   • GDPR の潜在的な可能性

5. GDPR とは？

6. GDPR ＝ General Data Protection Regulation （一般データ保護規則） • EEA（欧州経済領域）の個人データ保護が目的 •

   欧州議会、欧州理事会、欧州委員会が 2016年4月27日に制定、2018年5月25日より実施

7. GDPR の基本骨格 1. 「忘れられる権利」 2. データへのアクセスの容易性 3. データがいつハッキングされたかを知る権利 4. デザインによるデータ保護、デフォルトによるデータ保護

8. GDPR 遵守の対象者 1. EU 加盟国に物品／サービスを提供している 2. EU 加盟国居住者の行動をトラッキングしている 3. EU

   加盟国内の個人から生成された何らかのデータを取り扱っている ※ 守らなければ、最大 2000 万ユーロ（約 22 億 6000 万円） 　 または前年度売上の 4 % の制裁金

9. GDPR の背景

10. GDPR が生まれた背景 • Google Books 世界の著名な図書館の電子図書館化を Google が サポートしたが、電子化された膨大な著作物は、 Google

    の AI 開発の「知性の源泉」に利用された → 欧米の図書館同盟は法廷闘争に踏み切った • スノーデン事件 2013年6月、米国家安全保障局（NSA）が 極秘に世界中の個人情報を収集していたことを CIA 元職員のエドワード・スノーデンが告発

11. さらに歴史をさかのぼると… • シュタージ（旧東ドイツの情報機関） 1989年にベルリンの壁が取り壊されるまで、 旧東ドイツの国民はシュタージにより監視されていた。 体制の敵と判断された市民は刑務所に投獄された。 GDPR の議論には、かつてシュタージの日常的監視 を受けた旧東ベルリン出身の議員も参画していた。

12. GDPR の狙い

13. GDPR の狙い インターネットを1995年段階にリセットすること つまり、個人データやプライバシーが企業の商品になる前に立ち戻り インターネットを個人データ保護の観点から健全化することが狙い

14. データ可搬性：GDPR の革新的な権利 • 事業者は、蒐集した個人データを、申し出により返還しなければならない → 個人データは本来の所有者に返還される → 別の事業者に移管もできる • データ可搬性の最初の事例：

    　ナンバーポータビリティ

15. • 企業に提供した個人データ ※企業が解析した結果は対象外 IT 巨人の強力なアルゴリズムや解析能力は、他のサービスには移行できない ＝ 依然として IT 巨人は優位なまま？今後の動向に注目 データ可搬性の対象となるデータ

    対象外

16. DECODE：分散型市民所有データエコシステム • データ主権を個人にもたらすための欧州委員会のプロジェクト • 重要情報は特定の状況でのみ公開されるようにする （例）医療緊急時の健康データ • 企業はこのシステムを使うことで GDPR がもたらすリスクに晒されずに

    個人データを運用できる • AI、ブロックチェーンを利用予定

17. GDPR の潜在的な可能性

18. サービスとしての国家 • エストニアの電子住民登録 e-Residency （2014年―） エストニア出生者と同じ方法で、エストニアに会社を登記できる • 将来的に通貨・教育・医療などにもサービス拡大する可能性がある （例）フィンランドで子どもを教育し、マレーシアで医療を受け、 　　　ニュージーランドでビジネスする

    ふるさと納税の拡張版みたいな感じ どこの国のサービスを受けるか、個人が選べる時代に！？

19. まとめ • GDPR は過去の惨劇を繰り返さぬよう、生まれるべくして生まれた • 「データ可搬性」は GDPR の革新的な権利で、これにより個人データは 本来の所有者に還元され、大企業と個人の経済的な非対称が是正される ※ただし対象に解析結果は含まれない。これが今後どう影響するか…

    • EU は個人データを管理する基盤を作ろうとしていて、 そこには AI やブロックチェーン技術が使われる • GDRP によって将来的には国家がサービスとして機能するかもしれない

20. さいごに • GDPR の法的要件は満たさねばならないが、そこばかりみていては、 今後出てくるかもしれない新しい規則に対応できない可能性がある • お金になるデータは何か、そのデータは本来誰が管理するものかを考えると 自ずと適切なシステム設計ができるだろう • モラルある開発を！

21. Appendix

22. 個人データは多大な富を生み出す • 個人データを蒐集・解析 → 高い精度のターゲット広告 → 売れる • 米国のデジタル広告収益は、Google と

    Facebook でほぼすべてを占める 　　例えば Facebook は、ブラウザに「追跡クッキー」を挿入し 　　ユーザが訪れる全サイト情報を蒐集している

23. 欧州委員会からの断罪 • 2014年: Google に「忘れられる権利」を遵守する必要があると命じた • 2017年: Facebook の WhatsApp

    買収に対して「誤解を招く間違った情報を 　　　 意図的に提供した」として約 146 億円の罰金刑 • 2017年: Google に検索の独占権を乱用したとして約 3194 億円の罰金 • 問題視されていること： ◦ Google や Facebook のビジネスシステムは、 ブレグジットや米大統領選挙で政治アクターに利用された ◦ 個人データ蒐集と錬金術は、データポリティクスやサイバー犯罪に転用されるリスク ◦ 膨大な個人データをもつエンティティは、想定外の問題を引き起こす火種

24. データ可搬性の基本的権利 1. データ主体は、一般的に使用される電子的および構造的な形式で処理される個人 データのコピーをコントローラーから入手できる。 2. データ主体が個人データを提供し、その処理が同意または契約に基づいて行われ る場合、データ主体によって提供され、かつ自動的な処理によって一般的に使用さ れる電子フォーマットに基づいて保持される個人データは、コントローラーからの妨 害なしに取り出し、その他の情報システムにおいて使用できる。 3.

    欧州委員会は、第1項に規定する電子形式及び第2項に規定する個人情報の伝達 のための技術基準、様式及び手順を特定できる。

25. データ可搬性の考え方 • 「データ保護権」だけでなく、より経済的な権利であるべき • ユーザーが機械読み取り可能な形式で個人データに直接アクセスできる ことで、大企業と消費者間の経済的な非対称性を是正できる • 大規模なデータによって作成された富を共有することで、開発者に 追加の機能やアプリケーションを提供するインセンティブを与える

26. “ GDPRは悪法でも法外な規則でもない。重要なことは、この規則による 　前進的な可能性を長期的な観点から熟考してGDPRに対応することである。 　だから、GDPR準拠を法務部門だけに任せるのではなく、 　これからの企業活動の根幹に作用する可能性として捉えることが肝要である。 　顧客の個人データと関与しない企業はまず存在しないし、 　行政や非営利組織においても、個人データとの関わりは必須である。”