GDPRはビジネスの足枷ではない
欧州で進む個人データのビジネス活用

GDPR（EU一般データ保護規則）が2018年5月に施行されました。違反すると多額の制裁金を科せられることから、日本企業にも大きな影響を及ぼすと受け取られています。GDPRは「ビジネスの足枷になる」と考えていませんか。実は、きちんと守ればEEAのどの国でも個人データを活用したビジネスができる可能性もあるのです。欧州富士通研究所の武仲正彦が、欧州でGDPRがどう捉えられ、ビジネスにどのような影響をもたらしているのかを解説します。

日本とは異なる、欧州でのGDPRの捉え方

私が欧州に渡ったのは2018年5月、折しもGDPRが施行された時期でした。GDPRは、EEA域内（EU加盟国＋アイスランド、リヒテンシュタイン、ノルウェー）住人の個人データを保護する目的で制定されたものです。施行当時は、テレビやネットのニュースでもGDPRを取り上げ、WebサイトではCookieの利用に関するアラートが表示されるようになりました。

GDPRに関して、日本と欧州の企業では反応の違いが感じられます。日本企業は「対策を済ませ、準備万端で法律の施行日を迎える」と考える傾向があるのに対して、欧州の企業は「施行日までに最小限の対策だけを行い、施行した後で、運用しながら整備していく」というスタンスです。

日本国内では巨額な制裁金が注目され、ビジネスの足枷になるとも考えられがちです。しかし、GDPRの目的は、個人データ保護に関する共通ルールを設けることで、EEA加盟国全域でビジネスを展開しやすくすることでもあります。これまで個人データに関するルールは国ごとに違っており、それぞれの国のルールに準拠する必要がありました。GDPRに統一されたことで、各国のルールの違いに煩わされずに、個人データが活用しやすくなるのです。

AIを活用したビジネスとGDPRの関係性

このことは、AIやIoTなどを活用し、個人データを多く扱うビジネスを展開する上で、大きな意味を持ちます。特にAIは、データをどれだけ学習させるかによって、分析精度が変わります。入手できるデータをすべて投入すればAIの精度は上がりますが、GDPRに違反するリスクも高まります。

しかし、現時点では、多くの企業が「GDPRに対応するには何が必要か」を把握できていません。集めたデータがGDPRに違反するようであれば、それを使ったAIの開発は進められないので、欧州富士通研究所にも「このデータがGDPRに違反していないか、リスクはないかを評価してほしい」という相談が増えています。

例えば、医療やヘルスケア分野におけるビッグデータをAIで活用する場合は、GDPRに準拠した上で、さらに各国ごとに施行されている、より厳しい規制にも対応しなくてはなりません。富士通には、各国ごとに規制が異なる医療やヘルスケアの分野におけるビッグデータ・AI活用のノウハウがあります。法律の要件を踏まえつつ、AIが十分に学習できる為のデータはどういうものかを提案し、お客様が安心してデータを活用できるようサポートしています。

富士通には、リスクが高い個人データを活用する際の技術もあります。データを必要最低限のものに加工する最小化技術や、個人を特定できないように処理する匿名化技術です。こういった技術を活用することで、GDPRに違反せず、個人データをビジネスに活用してくことができます。

積極的に個人データを生かす欧州企業

欧州に渡ってから感じていることの１つは、ビッグデータやAIを活用したビジネスの展開が日本と欧州では違うということです。日本では、AI活用も十分に精度が高まってから実用に入ります。しかし、海外の企業やスタートアップは、PoC（概念実証）で実践し、運用しながら改善していく、「走りながらビジネスを形にしていく」パターンが多い、ビジネス展開のスピード感が違うのです。

巨大な制裁金をおそれて消極的になるのではなく、GDPRを正しく理解し、準拠すれば、個人データを安心してビジネスに活用していくことができます。守ることだけを主目的にせず、安全を担保しつつも個人データをビジネスに積極的に活用していくにはどうしたらいいか。これからのビジネスはそういうバランス感覚が重要になってくるでしょう。

2018年9月26日