GDPR の駆け込みで、データ保護の「偽」専門家がはびこる

DIGIDAY[日本版] / 2018年5月17日 16時50分

欧州の「一般データ保護規則」(General Data Protection Regulation:以下、GDPR)は、パニックになっている企業ばかりではない。この機会に大いに儲けてやろうとしている会社もいる。

5月25日というGDPRの期限が迫り、土壇場になって駆け込む企業たちの悲鳴で、GDPR専門家やコンサルタントの小さな業界が活気づいている。ほぼ全員が曖昧模糊としていると考えるこの規則に関して、間違ったアドバイスが広められている危険があると思わせる専門家が、かなりの数に上っている。2000年問題の際には、最終的に、パニックビジネスに手を染めるコンサルタントやプロバイダーが激増した。

GDPRは、正確には突然、襲ってきたものではない。ニューズUK(News UK)のグループのデータ保護オフィサー(DPO)であるロバート・ストリーター氏は、いわゆる専門家のアドバイスを額面通りに受け取らないように、かねてから警告していた。ところが、多くの企業がGDPRの実施に手間取り、一部の企業は準拠を宣言したいがために、土壇場になって間に合わせの安価な選択肢に飛びついている。しかし、そうした選択肢の一部は、完全なインチキだったり、実はGDPRでは要求されていないものだったりする。少しネット検索をすると、実にさまざまなGDPRコースがいくつも見つかる。情報コミッショナーオフィス(ICO)の裏付けがある比較的しっかりしたものがある一方で、公的機関とは無関係なところもある。

正式な資格はない

問題は、ICOが定めるデータ保護オフィサー(DPO)を雇う場合を除けば、GDPRのための正式な資格がないことだ。その場合、何がGDPR専門家の資格になるのかは漠然としている。たとえば、法律の学位は必要なのだろうか? 米ダイレクトマーケティング協会(Direct Marketing Association)でポリシーとコンプライアンスのディレクターを務めるジョン・ミッチソン氏によると、学位はあったほうが望ましいが、必須ではないようだ。

「GDPRで言及されている正式な認定はまだ設けられていない。では、資格があるとしている企業は、どこから認定されているのだろう。あり得るのは自己証明か、あるいは法律家に確認してもらったということだが、それでは不十分だ」と、アドテクベンダーのスマートパイプ(Smartpipe)で最高マーケティング責任者(CMO)を務めるチャド・ウォーレン氏は語る。同氏はメディア側と広告側、両方で働いた経験がある。

データ保護のトレーナーでコンサルタントである人物が、LinkedIn(リンクトイン)のプロフィールに次のように投稿している。「データ保護のトレーナーでコンサルタント。GDPRの資格はない(そんなものは存在しない)」。また、別の業界幹部も、GDPRは本当の資格はないのに、「たくさんの偽物がいる」と語っていた。

「専門家を自称し、いかがわしい助言をしている人がたくさんいる」と、ロンドン・ メディア・エクスチェンジ(London Media Exchange)のCEOであるダン・ウィルソン氏はいう。「間違った助言をしたことで規制当局から罰せられることはないだろう。それでも、規則の精神に則って活動しようとしてきたと示すことは可能だからだ。問題は、このような場合、企業がまた最初からやり直す必要が出てくる点だ」と同氏は語る。

深刻な専門家不足

助けを求める叫び声がLinkedInにあふれはじめている。そしてLinkedInには、「GDPRコンサルタント」という肩書きのものが何人もいる。先日は、「一緒に仕事をしている小さなエージェンシーが、自称GDPR専門家に完全にたぶらかされた。結果、あと数週間といういまになって、やり直す羽目になっている」というメッセージがLinkedInに投稿されていた。

問題のひとつは、スキルのあるデータ保護専門家の不足が市場で深刻なこと。つまり、DPOが不足しており、しっかりした法務チームがない企業がうわべだけの専門家に案内を求めているのだ。国際プライバシー実務者協会 International Association of Privacy Professionals:IAPP)は2016年、英国では最低2万8000人のDPOが企業に必要になると算出した。しかし、DPOになる人は、特殊な技術スキルと、データ保護に関する深い理解が必要であり、見つけるのは難しい。

「DPOとして採用可能な人がかなり不足している」と、ウォーレン氏。これはリソースが少ない小さな組織にありがちな問題だ。コストを負担して外部DPOを選んだところがある一方で、請求額を減らそうと、ゼロからはじめるのではなく準拠作業にゴーサインを出すことだけを依頼しているところもある。しかし、こうしたスキルギャップによって開いた割れ目を、都合のいい人たちが食い物にしている。

同意確認パニック

「技能のない人々がこのギャップを埋めている」とウォーレン氏はいう。「オンライン試験を受ければ資格ありとする紙をもらえる文化ができつつある。そうしたオンラインコースがいま、大量に出現している」と同氏は語る。

情報筋によると、正当な利益によって同意の必要性を免除されるのかを巡っても、人々を惑わすメッセージが流布している。あらゆる法律と同じく、悪魔は細部に潜んでいるのだが、下調べもやっていない自称専門家たちが、間違った情報を人々に吹き込んでいる。

「免罪符として正当な利益にすがり、『データ利用への合理的な期待がデータ主体にあるのか』という、問わなければならない極めて重要な問題を理解していない人が多い。連絡が一切なく関係性もないとすれば、データ主体が合理的な期待を持ち得るはずがない」と、ある情報筋は語った。

同意を求めるものや、何もしなければ同意したものと見なすと通知するだけのものなど、さまざまな企業からメッセージが届き、そこかしこの受信ボックスで受信音が鳴り響いている。こうした同意確認パニックには、消費者の同意疲れという思わぬ副作用がある。賢いマーケターなら、データベースにある全員に準拠のためのメッセージを放つのではなく、不活発な人々はデータベースから削除するところだ。

長くは続かないだろう

とはいえ、準拠のためのこうしたぞんざいな手法は、長くは続かないだろう。情報筋によると、本物の保険会社が、GDPR準拠の保険を企業に提供するチャンスを嗅ぎつけているのだ。「保険会社が保険を提供する前に企業の準拠状況を詳細に調査するのは間違いないだろう」とウォーレン氏は語った。

望みはある。5月25日の期限によって、無責任な連中から本当のGDPR専門家との仮面がはぎ取られるという声がある。データ保護のトレーナーでコンサルタントのティム・ターナー氏は、「恐ろしい期限がなくなれば、スキルと優れたアイデアを持った新旧の人々が繁栄するだろうし、騒いでいるだけの人々は打ち負かされるだろう」と語った。

GDPRについてより詳細を知りたい方は、無料PDF「GDPR入門ガイド」をダウンロードしてください。

Jessica Davies (原文 / 訳:ガリレオ)

 

digiday_jp

トピックスRSS

ランキング