GDPR から 2 周年:成功か失敗か?

よく議論されている欧州連合の一般データ保護規則 (GDPR) は今月末で 2 歳になります。その遺産はどのようなものでしたか?また、デジタル プライバシーを強化するための実装が全体的に成功したのでしょうか?それとも、非常に失敗して EU 市民のプライバシーを悪化させたのでしょうか?その影響を詳しく見てみると、後者であることがわかります!

一般データ保護規則 (GDPR) フレームワークの主な焦点は、 組織によって保存された個人のデータを危険にさらすことなく、個人のプライバシーの権利を保護することです。機関、公益事業 . GDPR が施行されたとき、数年間の審議の後、規制当局は、組織が準拠するのに十分な時間 (2 年) を与えました。しかし、滑走路の最中と滑走路の後では、納税申告書の遅れや期末レポートなど、現実はすでに混乱していました.

用語に慣れていない場合は、「一般データ保護規則」について詳しく知ることができる以前の記事をいくつか紹介します。

• GDPR について知っておくべきことすべて
• グローバル レベルでの GDPR の影響
• GDPR はあなたのビジネスにとって真の課題ですか?

GDPR は失敗するリスクがありますか?さて、この厳しい質問は、プライバシー主導のブラウザ - Brave によって提起されます。 .「事態は非常に悪化しており、規制が適切に実施されていません。欧州委員会は、データウォッチドッグに専用の個人、ツール、およびその他のリソースを装備していない加盟国を調査する必要があります。」 最近の Brave のレポートの主張。

ホワイト ペーパーのリリースと EU 委員会への苦情の提出により、Brave は一般データ保護規則の失敗の潜在的な理由をすべて明らかにしました。要点として、「GDPR が衰退しつつある唯一の理由は、データ保護機関 (DPA) によるものではなく、中央政府の取り組みが少ないためです。責任のある機関は、これらの当局に十分な資金とリソースを向けていないため、GDPR の施行に大きな失敗をもたらしています。」 、Brave のチーフ ポリシー &インダストリー リレーションズ オフィサー、Johnny Ryan 氏は次のように述べています。

彼らの研究を詳しく見てみると、政府は政策を遵守していないようです.

Brave が実施したレポートで特定された GDPR 失敗の主な理由は次のとおりです。

1. GDPR の第 52(4) 条によると、各国政府は、規制当局が任務を遂行するのに十分なリソース (人的および財政的) を提供する必要があります。 (Brave の調査によると、これは現在発生していません)。

2. 堅牢で敵対的な施行は典型的なものです。規制は、腹立たしい上訴を恐れることなく、「ビッグテック」を適切に調査し、反論できなければなりません。しかし、ヨーロッパ諸国の政府は、そうするのに十分なリソースを提供していません.

3. EU 加盟国政府は、GDPR の要求を満たすために必要な技術施行能力を開発できていません。

• わずか 6 つの国の DPA (データ保護機関) で 10 人以上の調査員がおり、7 つの機関では技術専門家が 2 人以下しかいません。
• DPA 予算の増加は、GDPR の実装のために 2019 年に 24% でピークに達しました。しかし、現在、政府はこの配分プロセスを 15% まで遅らせています
• 英国の ICO (情報コミッショナー オフィスは最も重要で最も費用のかかる DPA ですが、スタッフの技術専門家は 3% しかいません。
• アイルランドのデータ保護委員会は、Facebook と Google のヨーロッパにおける主任機関である GDPR 規制機関です。ただし、統計は、割り当てられた予算と比較して、苦情の数が増加するだけであることを示しています。

• エストニア政府は、GDPR の実施のために 3 番目の小規模予算を 750,331 ユーロに割り当てました。

• ポルトガルは、データ保護機関の予算を 203,000 ユーロ大幅に削減しました。 (下の図を参照して、DPA の予算が他の国でどのように機能しているかを確認できますか?)

4 .ヨーロッパ全体で、DPA のために専任で働いているテクノロジ スペシャリストは 305 人しかいません。ヨーロッパのデータ保護機関の半分は、年間予算が 500 万ユーロ未満です。

5 .統計によると、2018 年 6 月に、企業は 1,700 件を超えるデータ侵害を自己報告し、2019 年には 36,000 件に大幅に増加しました。これは、以前の年間報告率から大幅に増加しています。

6. 法律事務所 DLA Piper が発表した調査によると、ヨーロッパ全体で、GDPR の実装からわずか 8 か月で 60,000 件近くの侵害が報告されました。

7. 見出しを飾った最悪のデータ侵害事例は、Ghostery がプライバシー ポリシーの変更についてコミュニティに通知する電子メールを送信したときでした。電子メールは GDPR に関連しているようです。ただし、各ユーザーに電子メールを送信する代わりに、Ghostery はメッセージをまとめて送信し、他の受信者に BCC を送信しませんでした。したがって、保護されるはずの何千ものメール ID が公開されました。結果？ユーザーのプライバシー ポリシーに違反しています!

8 .数パーセントの技術調査員が、民間部門の GDPR 問題の調査に熱心に関与していることが判明しました。専門家は、GDPR の減少はデータ保護当局ではなく EU 政府に起因するに違いないと主張しています。

9. プライバシー法に該当する組織は、消費者と従業員に関して保持する個人データのフットプリントの記録を維持する必要があります。しかし、GDPR の対象となる企業の 33% と、CCPA (カリフォルニア州消費者プライバシー法) の対象となる 25% の企業のみが、データ共有をまったく追跡していません。

10. ドイツは、GDPR の施行に関して比較的うまくいっている唯一の国です。ヨーロッパのすべての DPA 技術スペシャリストの 29% 以上を雇用しています。年間 5,890 万ユーロが DPA に投資されており、ドイツは英国の 61 ユーロに次いで先頭を走っています。

EU の技術スペシャリストの 29% 以上が、ドイツの地域および連邦の DPA で働いています。残りの EU 諸国は、技術専門家の任命に対する貢献が大きく遅れています。

11. デジタル時代のデータ保護法は厳しいハードルに直面しており、ビッグデータの出現が最大の要因となっています。インターネット技術がもたらす様々なメリットを大衆が享受している時代。同時に、彼らは潜在的な侵害にも対処しており、その結果、プライベート データや機密データが失われます。

たとえば、中国では、ユーザー情報の管理に関して、特定の規則や規制が遵守されていません。さらに、ビッグデータの時代には優れた監視システムさえありません。

12. テクノロジーが COVID-19 の影響との戦いにどのように役立っているかについては、すでに多くのことが語られています。しかし、パンデミックにより最も打撃を受けた国の 1 つであるフランスは、まさにハッカーに門戸を開き、ユーザーの個人データを危険にさらすことを行っています。

Bluetooth 接触追跡を使用してコロナウイルスの拡散を追跡するために開発されたアプリケーションは、ユーザー データを保護しながら設計されており、Apple のセキュリティ機能によって保護されています。ただし、ブルームバーグの報道によると、フランス当局は、アプリケーションを適応させてプライバシーを確​​保する代わりに、フランスのセキュリティ機能をオフにするよう Apple に要求しています。フランスの Digital Minster である Cedric O 氏によると、「私たちは Apple に技術的なハードルを取り除き、私たちの医療システムと結びついた主権のあるヨーロッパの医療ソリューションを開発できるようにするよう求めています」. ええ、そうです!

13. ヨーロッパの DPA は、規則や規制に違反したとして、企業に 4 億ユーロ相当の罰金を科しました。しかし、事実にもかかわらず、どうやら、アイルランド共和国に由来するものはありません。世界最大級のテクノロジー企業のハブとなっていました。

14. GDPR の下でこれまでに最大の罰金が課されたのは英国です。これは、ブリティッシュ エアウェイズに 1 億 8,300 万ポンドの罰金を科し、ホテル チェーンのマリオットに 9,900 万ポンドのデータ保護侵害で罰金を科すことを意図していました。

政府はどうすれば GDPR を守れるでしょうか?

まあ、ブレイブ レポートによると、規制を実施して完全に管理するのにそれほど遅くはありません.

• 国家政府は、専門家の技術調査員により多くの投資を行い、競争力のある給与を支払って最高の人材を引き付けるべきです。

• 政府は、DPA に十分な財政的支援を提供して、敵対的な執行を追求し、Big Tech による法的上訴に対して彼らの決定を弁護する必要があります。
• EU データ保護委員会は、DPA をサポートするための専門の技術調査ユニットを設立する必要があります。
• 欧州委員会は、第 52 条 (4) を順守しない加盟国に対する侵害手続きの開始にも注力する必要があります。 GDPRの。

GDPR は、プライバシーではなく、公的な見せかけに過ぎません。保護。規制は、政府がまだ実現していない空の約束を個人に提供しているだけです。その間、他の国は、GDPR に関連するすべての潜在的な成功と失敗を分析することができます。彼らは、効果的なパラメーターのほとんどをどのように適応させ、問題のあるパラメーターを回避できるかを検討し始める必要があります。