冒頭述べたように人権意識の高い欧州諸国が、インターネット経済の急激な伸びやAI・IoTに代表される(得体の知れない)技術の進歩とあいまって、市民のプライバシー保護に凝り固まろうとする気持ちは理解できる。しかしEUにも事業者はいて、これらの強化された規則、特に第二の「より強固な保護ルール」をどう思っているのだろうか。ここが疑問だった。
そこで欧州事情に詳しい人や欧州の業界団体などに聞いてみると、やはり欧州の事業者も困っていることがわかった。膨大な制裁金は企業の存続を危うくしかねない。いずこかの国のエマージング企業ならともかく、売り上げの4%といえば優良企業といえど年間利益の半分は吹き飛ぶ。なんとか黒字を出せるかと苦闘している企業であれば、一発KOになるやもしれない。供給側が倒産したりコストを掛けたりすれば、いずれしわよせは消費者に行くのである。
72時間という通知期限も厳しい。現場で漏えいを検知したとしても、当面の対処や影響範囲の把握に努めているうちに72時間くらいは経ってしまう。相当ITガバナンスの効いた企業でなければ、社内での対処だけでもこの時間は短いように思う。十分な要員を配置し設備も整え、訓練も行う必要がある。
大企業であればある程度できるかもしれないが、小規模な事業者には無理な相談である。EUもスタートアップ企業育成には熱心である。一方で、こうやって中小企業イジメをしているのではないかとすら思えてくる。ウワサでは「上に政策あれば下に対策あり」ということで、抜け穴を探ったり仕掛けたりしている業界もあるようだ。現在の印象を正直に言うと、この規則を墨守すれば企業は生き残れないだろう。
さて日本企業はどうなっているかというと、よく聞こえてくるのは「在欧従業員情報の持ち出しに苦労している」という話。確かに欧州拠点には、日本人かどうかは別にして従業員は大勢いる。グローバル経営を考えるなら、全世界の従業員情報は本社人事部門で一括管理したい。処遇や教育、キャリアパス形成を事業所や職種・地域を含めて総合的に考えることで、個人も組織もより可能性を広げるられるからだ。EU域内からのデータが来ないと、そのエリアだけは全社の人事プロセスから切り離されてしまう。
そこで前回紹介したように、弁護士を雇ったり各国機関への手続きにコストをかけて情報移転をできるだけやっているというのが現状。これは今後も強化される方向であり、緩和は望めそうもない。
<続く>
