GDPRから勝手に憶測する、EUの崇高なる野望

先日、オランダの某データセンター内で開催されたGDPRの勉強会に参加してきました。
（少し前よりオランダにて生活している筆者、フランスのネタじゃない・・・のはあしからず。）
「法律とIT」について英語で聞く・・・正直大部分を理解できていないのですが、ただただ面倒だと思っていたこの法律についてパネラーが
「今はEUのみだが、将来的に他の国々もこの法に倣う、他の国も採用していく」
と言い切っていたことが非常に印象に残っており、なるほどと感じたところもあるのでレポートしたいと思います。
（GDPRの詳細や対応対策についての文章ではありませんがご了承をば）

GDPRとはなんなのか

GDPR / General Data Protection Regulation (GDPR)
2018年5月に施行される「EU一般データ保護規則」です。

ざっくり説明すると
「EUの個人情報、諸々のデータを守る、データ元の権利を尊重する」ための法令。
EU内の個人データを収集、処理を行う事業者に対して「データを保護、適切に取扱」し、かつ「データ元からの要求に応えて対応する」等の多くの義務が課されます。
施行まで１年を切った現在、多くの企業が対応に追われている状態です。

このGDPR、違反した場合の罰金は巨額なのですが個人情報を取り扱うにあたっての規定が「絶対無理」に思えるほど厳しいのです。
とはいえ適用されるのは企業だけではないので、どのように中小企業が対応できるのかを以前から追っているのですが、なかなか具体的な対応策については提示してくれているところが少ないというのが現状です。

GDPRの勉強会をブロックチェーンベンダーが提案する意味

今回のmeetupのスピーカーは、ロンドンに本拠地を置くPILLAR PROJECT。
ブロックチェーンの技術を使った「財布」を開発している会社でGDPR対応のサービスも打ち出しています。
今回の勉強会では、最初にGDPRの概要説明があり、その後参加者を小グループにわけて複数の議題についてディスカッション、その後もう１つPILLARのサービスについて説明するセッションがあって終了、という流れでした。

なかなかうまいなあと感心したのは、この勉強会を経てGDPR施行によって課される様々な規定制約は「ブロックチェーンの技術をもってしか解決できないのでは」と認識させられた点です。
ブロックチェーンについて詳しくはとても説明できませんが

• 情報が暗号化されて、再現させるキーを持つものしかその情報を復元できない
• 情報にアクセス、変更などの全ての履歴が記録され可視化される
• バレないように改ざんするのが不可能
• 暗号化された情報は複数の場所に保管される

といったブロックチェーンでうたわれる「透明性・安全性」といった特徴を踏まえるとそう思わざるをえない。
実際、他によい方法があるのか？というのは有識者の方は異なる意見があるのかもしれないのですが・・・

「ブロックチェーンで個人情報を管理」が最適な方法だとすると何が起こりえるのか

仮にブロックチェーンなどの技術でしか個人情報を管理できないとすると、個人情報を扱うにあたって、よほどの技術をもった大企業をのぞいた大部分の企業、会社には無理、ということになり「専門サービス」の出番となります。

各企業はそれぞれの持つ様々なデータの中から少なくとも「個人情報」については切り出して信用できる外部サービスに預けて運用することになります・・・とここで浮かんだのは

「一部の数社に預けて対応するしかないのであれば・・・もう国、EUが管理したらいいんじゃね？」

という極論です。
どちらにしても国は個人情報を管理するのですから。

個人がそのデータを再現させるキーおよび裁量権を持ち、必要な企業やサービスに必要な情報を渡す。渡した情報の内容自体は譲渡先にしか見えないけれど、情報を誰に渡したか、は可視化され改ざん、隠匿が不可能。

このIDインフラが安全および公正に実現すると、
役所や納税だけではなく、銀行、会社、学校、医療、保険、買い物といった個人情報を必要とする全てにおいて「申込み」「登録」「変更」が簡素化されます。

医療の履歴が記録されいつでも確認でき、必要な施設に提供できる。
投票がどこからでも簡単になり、開票の透明性も増す。

・・・メリットの数例をあげてみたのですが聞いたことある話だなと思いつつ。
そう、デジタル国家として有名なエストニアです。

参考記事：電子国家エストニアを支える主要テクノロジー企業 X-Road／ブロックチェーン編

GDPRが布石の１つとなる・・・のかもしれない未来展望

GDPRの施行については、googleやfacebook、amazonなどIT界の巨人企業への嫉妬的横槍、という穿った見方もできなくはないのですが。

ただ、企業の提供する「利便性」と「サービスの魅力」と引き換えに承諾した個人情報の利用許可が実際どのように利用されているか知る術がなく、自分自身についての情報を個人的情報から趣味嗜好、生活リズムについて自分以上にどこかの企業が知っていて、個人の知らないところで自由に分析され利用されているかもしれない、というのはおかしな話でもあります。

技術力をもった企業、ビジネスが個人の権利を完全に凌駕するのを防ぐ。
そのためにこの法律はしごくまっとうであり、「個人個人の生き方、幸せを尊重する」社会政策を行うことの多いヨーロッパらしい法、とも言えます。

ただ、GDPRの施行によってブロックチェーンなどの新しい技術への投資が増え、EUとしてのIT面での競争力が上がっていき、いずれデジタル国家として社会インフラ全体を統制し優位なものとする。
そこまで考えて設定されているとすればなかなかしたたかです。

EU自体存続が大丈夫なのか・・・？といった懸念もありますが。

技術の発達による恩恵は計り知れませんが、ごく一部の人のみに圧倒的富をもたらし、その他はただただ踊らされる社会、になりつつある。
その格差は広がっていくばかりなのは明らかなのですが、ただ「制限」をかけるのではなく密かにゲームをひっくり返す基盤を整えようとしているかのように見えるEUの動き、そう考えるととても興味深いものではあります。

政治家、関連する人だけが恩恵を受ける社会のルールを作るのではなく「民の幸せとより良い社会をつくる」この崇高な理想を揺るがず持ち続けるヨーロッパであって欲しい。
そしてその理想はビジネス、経済界の足かせとなるのではなく、促進する力としてより強固なものとなって世界を牽引するといいなと。
今までもこれからも多分小市民、の自分はそう切に願うのであります。