欧州連合の包括的な個人情報保護ルールである一般データ保護規則(GDPR)は、GoogleやAmazon、Facebookなど、巨大ITプラットフォーマーの特に広告事業に対して、プライバシー保護の観点から制約を加えました。

2021年7月16日、欧州当局はAmazonに対して、約970億円(7億4600万ユーロ)と、Amazonの昨年度の利益4.2%分にもなる巨額の罰金を科す決定をしました。GDPRの定めでは、プライバシー規制当局は違法行為に対して企業の世界全体の年間売上高の4%を上限に罰金を科すことができるようになっています。

Amazonは、違法とされた行為について、以下の説明をしています。

・消費者に適切な広告を表示する方法であり、プライバシー規制当局の決定にまったく同意しておらず抗議する
・当局の決定は欧州プライバシー法の主観的で未検証の解釈に依存している
・提案された罰金額はその解釈にさえ全く比例していない
・データ侵害はなく、顧客データが第三者に漏洩したこともない

ITプラットフォーマ以外が個人情報を扱っていないわけではありません。今回の巨額罰金は、事業がグローバルに展開し、顧客情報を扱う企業であるならば、欧州当局からプライバシー保護の罰金を科された場合の対応を真剣に考える機会であると捉えることができます。

プライバシーとは何なのか

プライバシー権とは、私生活上の事柄をみだりに公開されない法的な権利です。そして情報化が進む中で、積極的プライバシー権として自己に関する情報の保有者に対して、情報の訂正・削除を求める権利へと発展しています。

プライバシーが議論できるようになるには、私生活の秘密が発生し、保持できなければなりません。そのためには、住居を部屋単位で区切って鍵を掛けられるようになることが必須です。安全に部屋の単位で暖房、換気ができるようになったのは、18世紀からです。

そして、プライバシー権が、理論的に作り上げられた起源は、米国の弁護士ウォレンとブランダイスが共著で書いた「プライバシーへの権利」という論文で、1890年の19世紀末にハーバード・ロー・レビューに掲載されました。

経営者は、今こそ個人情報と向きあうべき

人類が木の上から降りてきて、地上で共同生活を始めてからの100万年の歴史に比べると、プライバシーは発生から高々100年、200年でしかなく、非常に新しい概念であることがわかります。つまり、これまでの人の常識に則って、感覚だけで乗り切れる問題ではありません。

一方で、デジタルトランスフォーメーションを推進し、デジタルサービスやデジタルチャネルを通じて顧客との距離を縮め、より価値の高いサービスを提供しようと考える企業にとって、ユーザデータの活用は避けては通れません。サービス品質の継続改善を担い、競争力の源泉となっていくことは間違いないため、あらゆる企業がデータと向き合う必然性が高まっています。

収集された個人情報や行動データは、その個人に属するものだと考えられます。もちろん、データの保護強化や遵法は前提です。そして、データを活用する側、企業の義務として、活用活動の許可を得た上で、確実にその人にとっての不利益を排除し、利益につながる活用方法のみが求められます。

ただし、今回のAmazonの抗議が示すように、法的解釈には幅があり、どう解釈すべきか不明確な項目も多く残されています。

各社が、自社が提供すべき価値の根幹を捉えなおし、何を守り、どういった方針で活動すべきかをしっかり定義しなければなりません。

プライバシー保護は、現代の重たい経営課題であると認識すべきです。