欧州連合(EU)全域にわたる個人情報保護の厳格な法的枠組みである一般データ保護規則(GDPR)が、5月25日に施行された。準備ができているか否かにかかわらず、この枠組みはあらゆるデジタルベンチャー企業のビジネスを、劇的に変えようとしている。国際プライバシー・プロフェッショナル協会(IAPP)の予測によれば、結果として個人情報保護関連の雇用が最低でも7万5000人分生み出され、またGDPRを準拠するために、フォーチュン・グローバル500企業だけで80億ドル(約8786億円)近くが支出されるという。このことはブロックチェーンにとって、どのような意味を持つのだろうか。
GDPRの目的は、欧州内で統一的なデータ保護規制の枠組みを作り出すことと、個人が自らの情報の保管や利用をもっと管理できるようにすることである。16年に可決されたこの規則は、2年の移行期間を経て、今年施行された。
義務と権利
GDPRは、企業や公共団体などの「データ処理業者」に対し、新たに手続き的、組織的な義務を導入すると共に、「データ対象」(個人を表す)に対しては、より多くの権利を与えている。
公共であれ民間であれ、組織は自らの裁量に任された場合、利用目的がまだ分からなくてもデータを貯め込む傾向がある。それはさながら、個人情報収集における「ゴールドラッシュ」とでも言うような種類の行動だ。GDPRはこの行為を防ぐためデータ処理業者に対し、顧客との直近のやり取りで直接的に役立てることのできる情報以外の、データ収集を禁じている。収集できるデータは事実上、「処理される目的に関する最低限の必要性に照らし合わせて、適切で、関連性が有り、限定された範囲」でなければならない(GDPR第39条)。
GDPRは何が許され、何が許されないかを規定する一方で、データ処理業者が今後採用する必要のある、組織的なガイドラインも規定している。例えば、業者は消費者のデータについて、利用後には消去する初期設定の、技術アーキテクチャーを構築する必要がある。これは、「設計によるプライバシー」と呼ばれる仕組みである。
また、「データ取扱業者」とみなされる全ての事業者は、GDPRへの順守状況の管理を担当する、データ保護責任者(DPO)を設置する必要がある。DPOは、データ対象のプライバシーに対してリスクが発生した場合、監督機関に警告を発する法的義務を負う(第33条)。
新たな欧州データ保護規則
一方、データ対象は、自分の個人情報の保管状況や処理状況を、より把握しやすくなる(第15条)。例えば、自分の個人情報を保有する企業に対し、情報のコピーを請求する権利を持つようになる。さらに、データ処理業者は、データの処理状況に関する詳細、及びデータの共有・取得状況について、データ対象に知らせる必要がある。
透明性を提供する以外に、GDPRは市民が自らの情報の利用をより管理できるようにする。第17条には、企業のデータベースから自分の情報の削除を求めることができる状況が、一覧で示されている。これは、「忘れ去られる権利」とも呼ばれる。
しかし、サラ・ゴードン氏とアリヤ・ラム氏がフィナンシャル・タイムズ紙で述べた通り、「結局のところ、GDPRの影響は、規則によって与えられるより強力な権利を、個人が実行しようとするかどうかにかかっている」。フェイスブックの個人情報保護方針への承諾を、最後に拒否したのはいつのことだっただろうか。
世界中に影響を与える、弾を込めた銃
GDPRは、規則を順守していない企業に対し、極めて高額の罰金を課す。また、その適用範囲はEU以外にも及ぶ。企業にとって、データ保護監督官の訪問は、税務調査官の訪問よりも怖いものになるかもしれない。GDPRが規定する原則に対し、意図的に従わない、又は繰り返し違反する者には、最大2000万ユーロ、又は違反者の年間世界売上高の最大4%の、どちらか高い方の金額の罰金が課せられる。警鐘を鳴らす役割は企業のDPOにだけ依存している訳ではなく、定期的なデータ保護監査も実施されることになっている。
GDPRは、厳密にはEU内のデータ対象を保護するだけだとしても、実際のところ、その影響範囲は全世界に及ぶ。まず、EU市民の個人情報を扱うEU域外のデータ処理業者は、この規則に従わなければならなくなる。
またEUは、データの流れと取引の流れを結びつけている現状を刷新する。EUとの貿易を希望する全ての国は、関連するGDPRを順守する契約を結ばなくてはならなくなる。過去10年において、米国は世界経済の警察となり、同国の反マネーロンダリング規制に従わない銀行に対し、巨額の罰金を課してきた。GDPRによって、EUは世界のデータ保護のチャンピオンとなるのだろうか。
ブロックチェーンはGDPRから免れている?
12年に欧州委員会により初めて提案されたGDPRは、まだブロックチェーンという言葉が知られていなかった当初、クラウドサービスやソーシャルネットワークに焦点が当てられていた。少なくともブロックチェーン以前の世界においては、クラウドサービスやソーシャルネットワークはその大部分が、中央集権的な仕組みで構成されている。そこでは多くのデータ対象が、単独のサービス提供業者(データ処理業者/管理業者)とやり取りを行う。規制当局にとって中央集権管理は、着手するポイントが1つのみで、監視が簡単である。しかし、公開ブロックチェーンのような分散型プロトコルに対しては、GDPRはどのような影響を持つのだろうか。
匿名と本人確認の間の微妙な境界を考えれば、ブロックチェーンは誰かの取引履歴に端を発し、個人情報となる可能性のあるデータを保管する場合があることは明らかだ。それ自体、GDPRの範囲に該当する可能性がある。
一見したところ、GDPRと公開ブロックチェーンとの間には、直接的な矛盾が存在すると考える人がいるかもしれない。例えば、GDPRで規定される多くの原則の中で、「忘れ去られる権利」は特に、ブロックチェーン技術の中核を成すと一般に言われる改ざん不能な性質と、相容れないように思える。この矛盾がまだしばらく続くと仮定すれば、ある疑問が生まれる。純粋な分散型ブロックチェーンシステムにおいて、責任を持つデータ処理業者は誰になるのか?
結局のところ、「データ処理業者」/「データ対象」の分類を使って、GDPRとブロックチェーンの論理を1つにまとめるのは、困難であるように思える。今後、活発な法的議論が繰り広げられるのは間違いない。
ブロックチェーンはGDPRと一体?
それでもなお、ブロックチェーンはGDPRと多くの目的を共有する。どちらもデータ管理を分散化し、中央集権的なサービスプロバイダー(彼らを押さえ込むことがブロックチェーン神話の一部になっている)とエンドユーザーの間の不均衡な力の差を縮めようとしている。ビットコインの元々の仕様は匿名性を保証していなかったが、初歩的なタンブラーからzk-SNARKアプリケーションまで、多くの技術的革新が、私たちをその理想へと近づけた。しかしこの種の匿名性はおそらく、規制当局が追い求めるものではないだろう。ブロックチェーンによって提案される、規制当局がより受け入れやすいソリューションはあるのだろうか。
研究されている特に有望な方法の1つが、信頼性の高いハードウェアとブロックチェーンの組み合わせだ。公開ブロックチェーン上では、全てのデータが複製され、ネットワーク内のあらゆるマシンと共有されている。これが取引データとプライバシー情報の削除を著しく困難にしており、ユーザーにとって悪夢となっている。最近の研究では、インテルSGXのような「信頼性の高いコンピューティング領域」によって、安全で機密なデータ保管とプライバシーを提供する方法の検討が始まっている。
信頼できるコンピューティングと公開ブロックチェーンとの組み合わせは、データのプライバシーをオフチェーンで保管し、外部の脅威から保護できることを意味する。この仕組においてブロックチェーンは、当該データへのアクセスの可否を最終的に判断する役割を果たす。スマートコントラクトを使えばもはや、信頼できる中央集権的なサービスプロバイダーが不要となるため、データへのアクセス権はブロックチェーンと信頼性の高いハードウェアを通して、ユーザーが独占的に管理することができる。これによりデータの管理とプライバシーを、ユーザー自身が取り戻せるのだ。現在、複数のプロジェクトが、ブロックチェーンをGDPRにとって悪夢からおとぎ話へ変える望みを持ち、このアイデアを追求している。
そのような試みの1つが、インペリアル・カレッジ・ロンドンとコーネル大学による共同の取り組みである。ティーチェーンは、信頼性の高いハードウェアを使って、公開ブロックチェーンに安全で効率的なオフチェーン取引を実現するプロジェクトだ。これは、初期設定で匿名性を提供することなく、あらゆる公開ブロックチェーン上で取引のプライバシーを実現できるか否かを問う、興味深い一歩となる。また、別のプロジェクトがiExecとインテルの協力の下、イーサリアム企業連合(EEA)内で開始されており、こちらもリアルタイムのデモンストレーションが行われている。
あなたのお気に入りのブロックチェーンプロジェクトは、このプライバシー関連法の地殻変動へ適応するために、必要な対策を講じているだろうか?もしまだ取り組んでいないのなら、「設計によるプライバシー」を持つプロダクトを、その中核に実装すべき時かもしれない。いつも言われることだが、制約こそが創造性を生み出すのだ。
この記事は、コンピューターサイエンスの博士課程に在籍するジョシュア・リンド氏との、共同執筆である。