欧州の厳格な新しいプライバシー法、一般データ保護規則（GDPR）が本日施行されました。これは、顧客とユーザーのデータに対する、世界史上最も強力な保護を提供します。

顧客のプライバシーを尊重することで知られるAppleでさえ、GDPRが定める極めて高い基準を満たすために、安全対策を強化する必要がありました。この法律はEU加盟国にのみ適用されますが、Appleをはじめとする一部の企業は、世界中で同様のプライバシー基準を展開する計画を表明しています…

その理由はおそらく3つの要因が絡み合っているでしょう。まず、実用主義です。Appleが各国で異なるデータ処理プロセスを適用しなければならないとしたら、複雑で面倒なことになります。特にGDPRは世界中のEU市民に適用されることを考えるとなおさらです。つまり、EU市民が既存の市民権を失わずに米国に移住した場合、Appleは彼らのデータにGDPR基準の保護を適用しなければなりません。たとえ米国のApple IDに切り替えたとしてもです。この地雷原のような状況を考えると、世界中で同じ保護を適用する方がはるかに現実的です。

第二に、広報活動です。EU市民の個人データの取り扱いに関して、各国がいかに慎重さを求められるかを、世界は今やはっきりと理解しています。他国の人々が、なぜAppleが自分たちのデータを軽視して扱うべきだと感じているのかと疑問に思うのは当然でしょう。

3つ目は価値観です。顧客のプライバシーを尊重することは、Appleにとって既に中核的な価値観となっています。GDPRはプライバシーの新たなゴールドスタンダードであり、Appleはこの基準を遵守したいと考えているはずです。

GDPR はどのような保護を提供しますか?

GDPR には 99 以上の個別の条項がありますが、ここでは個人データを保存および処理する企業にとって重要な要件の一部を紹介します。

• データを処理するには、特定の合法的な理由が必要です

法律では、データを保持する正当な理由として6つが定められています。実質的には、データを保持する必要性について合理的な根拠（例えば、注文した商品を配送するためなど）を示すことができるか、またはお客様の同意を得ていることが条件となります。

同意が理由の場合、法律は非常に具体的になります。例えば、企業はあなたのメールアドレスをデータベースに登録した後で、配信停止リンクを提供することに頼ることはできません。メールアドレスを保存する前に、必ずあなたの許可を得なければなりません。また、事前にチェックボックスにチェックを入れておき、オプトアウトを希望する場合はチェックを外すように求めることもできません。すべてはオプトイン方式で行われなければなりません。

• 個人データは暗号化する必要がある

たとえ企業に個人データの保管を許可したとしても、そのデータは匿名化または暗号化された形式で保管されなければなりません。これは、企業がハッキングされた場合でも、あなたのデータが安全であることを保証するためです。また、企業内であなたのデータにアクセスする者は、正当な理由を持っている必要があります。

• あなたにはデータのコピーを受け取る権利があります

企業が保有するあなたに関するすべてのデータを閲覧する権利があります。これらのデータの開示は無料です（最初の請求時のみ。後日再度請求された場合、企業は事務手数料を請求する場合があります）。

Appleは最近、EU市民と欧州関税同盟の加盟国が自分に関するすべてのデータのコピーをダウンロードできる新しいプライバシーポータルを提供することでこの義務を果たした。

• データの削除を依頼することができます

これまでは、Apple IDを不要と判断した場合、Appleはアカウントを無効化しても、その後もすべてのデータを保持し、後日改めて有効化できるようにしていました。しかし、本日から、すべてのデータを完全に削除するよう要求できるようになりました。Appleはこの義務を果たすため、アカウントを無効化するか削除するかの選択肢を提供しています。

企業が GDPR 要件に違反するとどうなるのでしょうか?

この法律には強力な効力があります。GDPRの最も重大な違反の場合、最高額は企業の全世界年間売上高の4%です。

軽微なカテゴリーであっても、世界売上高の最大2%の罰金が科せられる可能性があります。そのため、企業はコンプライアンス確保に躍起になっています。

Google、Facebook、その他の企業は、初日からすでに法律違反を非難され、数十億ドル相当の訴訟を起こされている。ただし、この主張は誇張されているように私には思える。

なぜ一部の企業は電子メールの受信登録を求め、他の企業は登録解除のオプションのみを提供するのでしょうか?

EU在住の人は誰でも、 企業からGDPR関連のメールを数多く受け取っているはずです。中には、ボタンをクリックしてオプトインしない限り、今後メールを送信することはないと記載されているものもあれば、何も変更しないと述べ、単に配信停止のリンクを目立つ場所に表示しているだけのものもあります。

違いは、当初のオプトインがGDPRに準拠していたかどうかです。企業が当初からオプトインを明示的に求め、チェックボックスを事前に選択していなかった場合、その企業は既にGDPRに準拠していました。必要なのは、プライバシーポリシーを更新し、購読解除の権利について注意喚起することだけでした。

しかし、データベースへの登録時点でこれらの基準を満たしていなかった場合、企業はあなたにオプトインを明示的に求める必要があります。今後は、たとえオプトインを促すためであっても、これらの企業がメールを送信することは違法となるため、今後はこのようなメールを受け取るべきではありません。

アメリカ国民はいつ同じ権利を得られるのでしょうか?

Appleは他の国のユーザーにも同様の保護を提供すると発表していますが、期限はまだ明示していません。同様のことを表明している他のほとんどの企業も、時期については同様に曖昧な姿勢を示しています。

Facebook など他の多くの企業は、 他の国々と同様の保護を提供するとしながらも、GDPR 基準を約束していないという弱い声明を出している。

これまでの経験

イギリスの仲間の多くは、GDPR関連のメールが大量に届くことに不満を抱いていますが、私は個人的には歓迎しています。この機会に、どのメールリストに登録し続けたいのか、どのメールリストに登録したくないのかを見直すことにしました。

変わらないものが一つあります。それは、私が受け取るPRピッチの数です。メールを送信するもう一つの合法的な理由は、「正当な利益」と呼ばれるものです。これは最終的には主観的な判断に帰着しますが、企業が製品やサービスの売り込みのためにメールを送信し、それが私にとって関連性があると信じる理由がある場合、「正当な利益」を理由にメールを送信することができます。さらに、個人ではなく企業宛のメールは例外となります。

米国企業がGDPR基準を遵守することを望みますか？ぜひアンケートにご参加いただき、コメント欄でご意見をお聞かせください。

写真: idownloadblog

Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。