【元記事をASCII.jpで読む】

:D

 欧州連合(EU)が現地時間5月25日に施行した一般データ保護規則(GDPR)は、企業の個人情報利用を規制するものだ。違反企業には最大2000万ユーロ(約25億9000万円)または全売上高の4%という巨額の制裁金を課す。GDPRは欧州だけの話ではなく、グーグルやアマゾン、フェイスブックなど巨大資本の支配状態にあったインターネット業界が大きく変わっていくはじまりだとする見方がある。情報インフラに詳しいIT企業プラネットウェイの平尾憲映代表が語る。

●GDPRでインターネット市場は拡大する

 GDPR施行初日、グーグルとフェイスブック、同社傘下のインスタグラムとワッツアップが提訴されました。新しいプライバシーポリシーに同意するよう利用者に強制したという理由で、認められれば合計9000億円規模の制裁金が課されます。GDPRは欧州が対象ですが、今後同様の考え方は世界標準になるでしょう。

 GDPRの本質はデータの主権を巨大企業から個人に返すことです。

 現在インターネットの世界ではグーグルやアマゾンなど巨大化した企業が力をもっています。当初インターネットは公共性があり、誰が・いつ・どこからデータをアップしていたかが分かっていましたが、巨大企業の機能(サービス)が上乗せされたことでデータが中央集権化してしまいました。それが根本的な要因です。

 企業は力をつけて掌握できる分野を広げてきたため、インターネット業界はいまや、グーグルやアマゾンなしでは成り立たなくなってしまいました。それは彼らを超えようとするスタートアップが登場しないことにもつながっています。スタートアップはあわよくば彼らのプラットフォームの中で使ってもらおうとか、彼らに事業を売却したいということ(バイアウト)にばかり興味をもってしまっています。

 グーグルやアマゾンが資本主義の次の形を考えているならいいですが、彼らは昔ながらの資本主義の王者でしかありません。彼らが国家レベルの力を持ちつつあり、個人がもっているデータの価値を縛ってしまうことは、これから人類が進歩をしなくなり、状況が硬直してしまうことにもつながりかねないと感じています。

 GDPRが目指しているのは、企業ではなく個人がデータを公開する範囲を決める権利を持つようになる時代だとわたしはとらえています。悪質な広告ビジネス、サイバー犯罪などからデータを守るとともに、データを個人が求める形で利活用できるようになる時代です。逆に、変わっていかなければ、すでにインターネット産業が成り立たなくなってきているといえるのではないでしょうか。

 インターネットは従来、究極的に中立的でありフラットであるべきでした。しかし、かつてないほど中央集権的なグーグルやアマゾン、フェイスブックなどがデータ主権を持っていることが現状の課題です。逆に、個人の主権に基づくデータを公開する社会を実現できれば、個人の許諾ベースでデータを企業と共有できるようになります。企業は共有されたデータを活用し、今までアクセスできなかった領域間で、今までなかったサービスをつくれるようになります。

 結果、インターネット市場は今まで以上に拡大するとわたしは考えます。

●自分のデータは自分で管理

 GDPRの要点はプライバシーコントロール、自分のデータをどこに出すかは自分自身で決められるんだよという考え方です。技術的には、本来ひとつであるデータが複数のデータベース上に複数保存されていることが現在の問題です。

 たとえば電子国家エストニアでは「X-Road」という技術を使っています。

 X-Roadは複数のデータベースにつながっていながら、おなじデータを複製保存しません。たとえば運転免許のデータが複数データベースに登録されることはありません。かつ、データが更新されるとどこからでも最新版として見られるようになっています。個人情報を住民票のような紙で管理している日本などで、X-Roadは大きな役割を担えるのではないでしょうか。

 ただ、X-Roadには自分以外の第三者もデータにアクセスできてしまうという課題もあります。

 X-Roadは医療情報のようにセンシティブなデータも見られてしまうほどオープンな仕組みです。またビッグデータにも対応していません。X-Road自体はとても良い技術ですが、GDPRが目指す個人情報保護の理想には不十分で、X-Roadを活かした新しい仕組みが必要です。

●国をまたぐ新たな基盤が必要

 国家規模で考えれば、GDPRは中国と真逆のやり方です。

 中国は国家がデータを管理し、監視社会をつくっているような状態。一方のGDPRは個人がデータをコントロールできるようにする考え方です。両者は今後コンペティションをくりかえすことになるでしょう。構図としては「アメリカ、ロシア、中国、EU」という4勢力に分かれることになるのではないでしょうか。

 GDPRによって巨大企業は活動を制限されます。しかし、データの主権を個人に戻すことでインターネットそのものは今よりさらに市場を拡大する可能性があります。中国のようにデータの制御権が奪われてしまっている場所からも、新しい環境に移行したいという流れが必然的に出てくるのではないでしょうか。

 今後グローバル企業はインターネットを通じて世界展開するにあたって、GDPRのような体制に対応した新しい情報インフラを使う必要が出てくるでしょう。

 グローバルで、さまざまな業種で使えて、データに透明性があり、今までのシステムもすべて変える必要がないインフラ。巨大企業は自社でインフラを設計したがるでしょう。しかし、そんなインフラを作ってしまったら、彼らの今までのビジネスモデルは崩壊してしまいます。利用者からの同意を得られるとも考えにくいです。インフラはおそらく、彼らとは違う第三者がつくることになるしょう。

●日本版GDPRは地方から生まれる

 日本ではGDPR以前に、大企業にデータを独占される意味が理解されていません。サービスが便利に使えるとしか感じていない人がほとんどでしょう。

 逆に電子化された個人情報を自分でコントロールできることのメリットがわかれば意識が変わっていくとも考えられます。面倒な役所の手続きがなくなるとか、大量のポイントカードがなくなるとか。もちろん個人情報が勝手に使われる危険性についても知る必要があると感じますが、「守り」と「攻め」の両面が必要です。

 「日本版GDPR」をつくることは個人的には賛成です。

 ただ、国単位でGDPRのような制度がすぐにできるとは思えません。これから日本全体を変えようと考えると5〜10年以上はかかってしまいます。まずは政府ではなく民間から、地方自治体など小さな単位で実験をして、コミュニティーレベルでGDPRのような事例をつくっていくことになるのではないでしょうか。



グーグルの支配が終わる GDPRで変わる世界