今年6月にEUでGDPR(General Data Protection Regulation)という法律が施行された。

要は「個人のデータを守る権利を保護」するという趣旨の法律。

個人のデータを預かる企業は、データ保護最高責任者という役割を定めて、委託先も

含めた取扱の管理を厳重に行う事が求められ、何らかの情報漏えいがあったら、

委託元の企業が責任を問われる。

 

今までは、ネット上での振る舞い(アクティビティ)を上手に集めて分析して広告主に

販売してきたのがFacebookやTwitter。

同様に、そうした振る舞いを広告宣伝や販売に活かしてきたのがAmazonなどの販売サイト。


もちろん、個人を特定する情報についての保護規定は整備されていたけれども、

「個人の行動履歴など」を守るべきデータを定義したというのが今回の重要な点。

好き勝手に活用してきたこれまでのようにはいかないよ! と考えていい。

 

今までは、好き勝手できたんです。Facebookしかり、Amazonしかり。

でも、これからはそうはいかないし、データを取り扱う以上は最終委託先も

含めて厳重に管理しておかないと漏洩したら莫大な賠償金と共に責任を問うよ、と

EUは世界に向けて宣言したのが、この法律。

 


この流れは1995年にも同じことが起きています。

インターネットがWindows3.1によって幅広く使われるようになり、

Windows95で爆発的に広がった1995年、イギリスでBS7799という

情報セキュリティマネジメントシステムに関する取り決めができました。

最初はイギリス国内だけでしたが、EU全体で利用できるようになり、

その後、世界標準のISO17799として整備されました。

 

こうした歴史的な流れを見ると、アメリカが仕組みを作ってビジネスを

爆発的に広めていくと、ヨーロッパがそれに危機感を持って個人を保護

する法律を整備するという流れが今回も起きています。

日本でも恐らく、今回EUで整備されたGDBRに沿った法律が整備されて

くるでしょう。

「個人にまつわる情報は、行動履歴も含めて全て責任を持って保護する」

この大前提を踏まえた上で、商売に様々なデータを活かしていく時代が

やってきます。

すでに、こうした情報管理自体をひっくるめてアウトソースできる

サービスも生まれていますが、何か事故が起きた時に最終責任を取るのは

情報を活用したビジネスを行っている事業者です。

 

今後、インターネット上で行動履歴も含めて個人情報を扱う為にも基本的な

情報セキュリティに関する基本的な考え方・行動指針は持っておく方が

いいのかも知れません。

さよなら、インターネット。この本はGDBR施行後のインターネットの未来像を描いています。私にとって衝撃的な1冊です。