制裁金の支払い率はわずか60%に留まり、AI法も地平線上に見えてきた今、EUの画期的なデータ保護法はサイバーセキュリティの水準を引き上げる一方、規制が法廷で抱える弱点も露わにした。
大手テクノロジー企業はヨーロッパのデータ保護法違反として課された制裁金への異議申し立てを続けており、これは今後のAI規制に対する動向を予兆するものとなりえる。
弁護士や専門家たちはCSOの取材に対し、大手テクノロジー企業がデータ保護規制に異議を申し立てること自体は特段懸念すべきことではないと概ね述べているが、AI技術がより広範に普及することは、地平線上に迫るはるかに大きなデータ保護上の課題だという。
EUの一般データ保護規則(GDPR)が施行されてから、今週でちょうど8年が経過する。この8年間で、欧州の規制当局はGDPRに基づく制裁金として推定71億ユーロを発表したが、保険仲介会社Alliance Riskの分析によれば、そのうち約40%にあたる28億ユーロ近くが既に無効とされているか、現在も法的異議申し立ての対象となっている。
既に無効とされた制裁金には、Amazonに対するもの(7億4,600万ユーロ、ルクセンブルク、2026年3月)やOpenAIに対するもの(1,500万ユーロ、イタリア、2026年3月)が含まれる。現在も異議申し立て中のものには、Metaへの3件(12億ユーロ、2億6,500万ユーロ、9,100万ユーロ)とTikTokへの1件(5億3,000万ユーロ)がある。
Alliance RiskはGDPRの執行状況に関する情報の主要出典としてCMS Law GDPRエンフォースメントトラッカーを使用し、IAPPのエンフォースメントデータおよびKiteworksとUniConsentのトラッカーと照合した。無効化に関するデータは裁判所の判決報告から収集した。
Alliance Riskによれば、GDPRは世界的なデータ保護法の基盤を築くことに成功した――特に72時間以内の侵害通知基準を初めて確立したことがその功績として挙げられる。
この3日以内の通知ルールは、EU、英国、タイ、ケニア、ナイジェリア、韓国の6つの法域で法律として定められており、他の地域にも影響を与えている。例えば、今月最終規則の公表が予定されている重要インフラ向けの米国CIRCIA規則も、この72時間基準を適用する予定だ。
これと比較すると、HIPAAは米国の医療機関に対して侵害通知の期限として60日を与えている。SECは上場企業に対して4営業日を与えているが、それは企業が内部的に侵害が「重大」であると判断した後からであり、それ自体がさらなる遅延をもたらす。
GDPRが確立した侵害通知規制は成功を収めているものの、規則の執行には依然として課題が残る。
Alliance Riskは「この枠組みには大企業が法廷で悪用することを学んでしまった構造的弱点があり、発表された制裁金の約40%がそれを反映している」と指摘する。
EUのAI法は8月に完全適用を迎え、欧州委員会はすでにデジタルオムニバスを通じてGDPRの改革を提案している。Alliance Riskは「この枠組みはいまだ試されている最中に書き直されようとしている」と結論付けている。
「GDPR制裁金の約40%が価値ベースで異議申し立て中であるという事実は、必ずしもシステムが機能不全に陥っているサインではない」と、Edwin Coe LLPの知的財産弁護士ニック・フィリップス氏はCSOに語る。「施行8年目に入り、大型制裁金が最終的に法廷に持ち込まれることは最初から予想されており、こうした控訴から出てくる判断は、社内チームにとってこれまでなかったものをもたらしつつある。つまり、規制当局が何を守れて何を守れないかについての実践的な指針だ。」
フィリップス氏は、GDPRへの準拠が企業のセキュリティ成熟度を向上させてきたと主張する。その理由として、72時間以内の侵害通知ルールに加え、すべての侵害を記録しデータ主体に通知する義務、そして罰則の脅威以上にセキュリティ管理を強化する必要性が組み合わさっていることを挙げる。
「あの侵害通知制度は、組織に適切なインシデント対応体制の整備、フォレンジックプロバイダーの顧問契約、そして侵害情報を取締役会まで報告することを強制した、おそらく最大の単一要因だ」とフィリップス氏は言う。「2018年以前はそうしたことの多くがまったく行われておらず、GDPRの中で最も機能してきた部分がここだ。」
ロボティック・プロセス・オートメーションベンダーUiPathでEMEAおよびアジア担当セキュリティ&トラストオフィサーを務めるマルコ・エッガーリング(法学修士)氏は、「これらの無効化を法廷が大手テクノロジー企業を免責したものと読むのは誤りだ」と述べる。
「Amazonの件では、ルクセンブルクの裁判所は違反の実体を支持し、規制当局に差し戻した」とエッガーリング氏は指摘する。「制裁金が取り消されたのは当局が必要な手続きを省略したためであり、行為が合法と認定されたからではない。」
エッガーリング氏はさらにこう付け加える。「規制当局への教訓は、手続き上も盤石な決定を下すことだ。企業への教訓は、根本的な義務は一ミリも変わっていないということだ。」
EU内でも、規制がどのように理解・適用されるかには差異があり、データやAIに関する越境的な意思決定を困難にしている。
「多くの組織は『最小公倍数』的な方向に傾き、規制当局の逆鱗に触れないよう最も厳格なガバナンスと保守的なアプローチに従おうとする」と、グローバルデータコンサルタンシーCarruthers and JacksonのCEO兼創設者であるキャロライン・キャラザース氏は述べる。
英国とEUは米国や中国よりも厳格な規制を適用しており、多くの組織は自社が事業を展開するすべての地域でこのより厳格な規則を遵守している。
その規模と性質から、「大手テクノロジー企業」は高いリスク許容度と規制の境界を押し広げようとする意欲を持つ傾向があり、また一般消費者――そのデータがビジネスモデルの根幹をなす――との関係も異なることが多い。「彼らは規制緩和に既得権益を持っており、自然と執行に異議を申し立てる可能性が最も高い存在となる」とキャラザース氏は指摘する。
AIの台頭に伴い、データ規制も進化する必要がある
キャラザース氏によれば、ほとんどの組織にとって、GDPRの執行は概ね目的に適した状態に落ち着いてきている。
「GDPRが最初に導入されたとき、ガイダンスは不明確で一貫性がなかった」とキャラザース氏は説明する。「法律としては堅固に見えたが、データの実務者の多くはそれをうまく機能させることに苦労した。今でも一部の企業はGDPRに少し『麻痺』していると話してくれる。彼らはデータと関連規制を非常に恐れるあまり、データが持つ潜在的な力を最大限に活用する――あるいはそこに触れることすら――できずにいる。」
しかし、AIとデータ規制が進化するにつれて、これらのツールが現在どのように使われているかを考慮する必要が生じている。
懸念されるのは、技術変化に規制が追いつこうとする中で、歴史が繰り返されるリスクだ。「組織が成熟途上の高原状態に陥り、複雑で不一致な規制解釈によってイノベーションが停滞するリスクがある」とキャラザース氏は警鐘を鳴らす。
