世界タイムズ

インターネットビジネスの真理を探る

Webサイトの実装を修正しただけで、GDPRに対応したと言い切るのは浅はかな考えである

法律がつくるインターネットビジネスのお作法

f:id:world-times:20210313221834p:plain
そもそも、法律違反というものに対して、日本とそれ以外の国・地域では考え方が違います。まず、そこを理解しないことには、GDPRに対する考え方を誤解することになりあます。

中国の場合: 中国は全てのビジネス活動は「共産党から指示された法律で定義されたものしかやってはいけませんよ」という、建前が存在しています。全ての生産活動はあくまで政府の指導の下でやっているのだという、共産主義国という体が守られているんですね。

新しいビジネスは法律で定義されていないので、基本的には法律違反の状態でやっているということになります。法律として整理し、政府がコントロールできるようにした方が得られるものが大きいと合理的に判断出来た時、後付で法律が作られるというやり方が主流です。道徳的に考えて、別に悪いことをしていないこともあるんですね。社会への影響力が大きくなければ、犯罪という意識になっていくでしょう。

欧米の場合: 特にアメリカは、新しいビジネスはすぐに法律になりますし、法律を守ってビジネスをしているという状態を保ちます。連邦政府・州・自治体などで法律が細かく変わってくるので、完璧に守るのが難しいという課題があります。

一方で、アメリカやEUには「Selective enforcement(選択的強制)」という考え方がベースにあります。行政は法律という強制力を持ちつつも限られたリソースしか持たないのだから、これを合理的に行使するようにちゃんと選択せよと、国民から睨まれているわけです。

交通違反を取り締まっていてはきりが無いから悪質なものから順に取り締まろうだとか、逮捕しなくても更生できる方法があるならばそちらを選ぶべきだとか、法の悪用を許さないというスタンスがあります。そうしないと、人種差別をするためにワザとやっているんじゃないかと、そういう風に見られるんですね。

行政の判断に合理性を求めるところは、一見すると中国と似ているようには見えますが、判断の主体が政府なのか国民なのかという違いがあり、法律の立ち位置も全然違うものにしています。社会への影響力が小さい法律違反は、見逃されるのが普通になっていますが、故意でやったならば立派な悪事です。

GDPRに対応すべきなのか?

海外にサービスを提供するつもりが無い、どうみたって日本人にしか提供する気が無いようなサービスがあったとして、そこにEUの法律であるGDPRに対応すべきでしょうか。少なくとも、EUのどこの国も母国語として扱っていない日本語しか対応していなかったら、そこに何か文句を言うのは合理的とは言い難いでしょう。しかしEUにいる日本人をターゲットにしていたり、EU母語が多い英語(13%)・ドイツ語(16%)に対応するとなると、事情は変わってきますよね。

善か悪かを白黒はっきりつけるのは難しい問題なのですが、EUの人々に使ってもらうつもりがあるのかどうか、少なくとも英語が使える人に使ってもらうつもりがあるのかどうかは、基準として重要視されているようにみえます。

判断基準は専門家に意見を聞くのが適切ではありますが、とはいえ世の中の多くのサービスは限られたユーザーのために何百万円もかけてコンサルを雇えるような状況にないのも事実です。アメリカの弁護士は$500/hを越えることもあり、日本と比べてもかなり割高で、気軽に手を出せるようなものでもないでしょう。

サービスの規模もそこまで大きくなく、専門家を使うことが難しいと感じるならば、上記の基準で対応を決めてしまうのも手であると私は考えています。

GDPRに対応しなかったらどんなリスクがあるのか?

違反時の決まりとしては、内容に応じて以下のような罰金が定められています。

  • 1,000万ユーロ、または全世界売上高の2%、いずれか高額の方
  • 2,000万ユーロ、または全世界売上高の4%、いずれか高額の方

この手の情報をまとめたブログでは、よくあることとして「こんなに大金が請求されるんだから、危ない、対応しないといけないよね」なんていうことを言って不安を煽るようなことをしてしまうこともあるようですが。その判断は表面的であり、もうすこし包括的に課題へ対応することが求められています。

リスクというのは、見つかったら全て潰さなくてはいけない、というものでは無かったりします。リスクにどうやって対応するのか、その手法はリスクマネジメントと言うのですが、これはJIS Q 31000という標準にまとめられています。JISがどうかに関係なく、リスクへの対応というのは、合理性を追求するのが大原則になります。

リスクが顕在化した時の損失が大きかったとしても、発生率が0%だったら、対応すべきでしょうか?また、発生率が100%だったとしても、損失が0だったら、これに対応すべきでしょうか?

GDPR対応に対する一般的なリスク評価

リスク対応モデルというものがあり、ここに分類して対応方針を決めるのが、適切な判断ということになります。

f:id:world-times:20210313234939p:plain

GDPR対応というのは「個人情報に該当する情報をEUにいる人から取得するなら、ユーザーから許可をとりましょう」「許可がとれないのならば、Cookieなど個人情報の取得に必要な技術を無効にした状態で使えるようにしましょう」というものです。上記には4つの対応方針が上がっていますが、これを今回の事例に当てはめるのならば、以下のような戦略が考えられるでしょう。

  • リスク軽減: GDPR対応、完璧ではなくとも簡易な程度にはやってしまう(ユーザーから許可が貰えるもという前提の実装にしてしまい、許可すること以外の選択肢をユーザーに与えない)
  • リスク回避: GDPR対応を、ほぼ完璧といえる状態にまで実装を仕上げる(許可がもらえた場合と、そうでない場合の両方を完璧に作り込む)
  • リスク移転: 保険に加入し、GDPR対応でトラブルが発生した場合、その費用を保険会社に委ねる
  • リスク保有: 何もしない

GDPRは、損失は大きく少なくとも一番右のレーンに対応することになります。しかし、日本特化のサービスにおいて、前例はゼロですので、発生率は実質ゼロ。区分はHやIよりさらに下ということになります。それが、英語対応とかになるとIあたりにかかってきて、ヨーロッパ向けと言い切ってしまうとHやGまで行ってしまうことになります。

実際のところ、英語対応サイトでよく見るのは、許可をとることを前提とした実装です。許可しないと言われたら、対応しようがないという状態に推移します。ただ、これは表面上見えている範囲で、実際ちゃんと海外をターゲットにして運営にしているサービスのオーナー企業は、保険へ加入することが一般的です。

日本では馴染みが薄いですが、訴訟社会で一度や二度の訴訟を経験することが当たり前なアメリカでは、そのための保険に入っておくのがとても普通なことです。そして、大抵の保険にはいろんなリスクに対する保障を包含して扱っており、ネット業界だと「サイバー保険」という、とりあえず入っておけみたいなノリの保険に含まれるのが一般的です。GDPRに関しては、あまり保険の存在を意識していない経営者の方が多いという印象です。

コンサル会社に頼むと高いので、こういう会社に直接頼むのも手で、例えばこういう会社が提供しています。

www.beazley.com

申し込むとインタビュー表みたいなものを渡されるので、それに答えると見積もりがでてきます。相見積もりしやすいので、このあたりまではノウハウが無い人でも対応ができるかと思います。