「ほぼ全ての企業がEU一般データ保護規則(GDPR)を破っている」という主張

by Dennis van der Heijden

2018年5月25日に発効したEUの新データ保護規則「GDPR」は、WEBサイトに対して「ユーザーの個人情報利用には同意が必要」と義務づけており、多くのWEBサイトで個人情報の利用に関するポップアップが出るなどの影響が出ています。そんな中、「企業がGDPRの発効に伴って行ったさまざまな変更は、上辺だけのパフォーマンスに過ぎない」という専門家の批判が出ています。

'Everyone is breaking the law right now': GDPR compliance efforts are falling short - Digiday
https://digiday.com/media/everyone-breaking-law-right-now-gdpr-compliance-efforts-falling-short/

複数の専門家らによれば、「GDPRの個人情報保護規制の内容は曖昧であり、WEBサイトや企業ごとに大きな解釈の違いが発生している」とのことで、GDPRにもとづく個人情報利用の同意メッセージの内容もWEBサイト間でバラバラだそうです。

サイト利用前のオプトインを求めるサイトや埋め込みオプションで同意を求めるサイト、「拒否する」のボタンがなく「同意する」のボタンしかないポップアップを表示するサイトなど、サイトによって個人情報保護に関するメッセージは多種多様。中には、「もともと表示させていたクッキーバナーの文面を、単に個人情報に関する文言に書き換えただけ」というパターンもあります。

企業向けに個人情報保護に関するソフトウェア等を販売するCrownpeakの最高技術責任者(CTO)であるエイドリアン・ニュービー氏は、「多くの企業やマーケティング担当者は、意図的あるいは無意識的にGDPRに準拠していない方法で、ユーザーに個人情報利用の同意を求めています」と述べています。WEBサイトを見ている時に個人情報保護の同意を求めるポップアップが出たからといって、「GDPRによって個人情報保護の機運が高まっている」と考えるのは早計だとのこと。

デンマークのメディアアナリストであるトーマス・バクダル氏は、「ほとんど全ての企業がGDPRに違反した状態で運営を続けており、GDPR発効前と同じ方法で運営し続けようとしています」と語りました。一方で、EUは個人情報の保護に対して非常に積極的な動きを見せているため、FacebookやGoogleといった大企業が最初にGDPRにもとづく攻撃を受けるだろうと予測。そこで示された基準に従う形で、他の企業もGDPRにのっとった個人情報保護体制を整えるだろうとしています。

GDPRが定める個人情報保護の規則は非常に曖昧であり、例えばBloombergやForbesといったWEBサイトでは個人情報の利用に厳重な同意アプローチを取っていますが、GuardianやMailOnlineではバナーによって同意を取っています。また、ユーザーの個人情報がサイトの分析に使われていることもあれば、効果的な広告を表示させるために使われていることもあります。ところが、多くの場合ユーザーはどちらか片方だけの利用を許可するといった選択は取れず、どちらの利用も許可するか、どちらの利用も拒否するといった選択しかできないとのこと。

これまでのところ、多くの企業は「誰かが燃え尽きるまで、できるだけ太陽の近くを飛んでいる」状態になっています。このまましばらくは色んな企業がGDPRに違反しているか、違反スレスレの状態でWEBサイトの運営を続けていくとみられており、どこかが摘発された場合、それに応じてサイトデザインを変更するといった形になりそうです。