さて、タイトルは若干釣り上げを意識したけど、今EUにおいて施行されようとしているGDPRについて、イギリスに住んでる身からちょっと解説したいと思う。
因みに日本に住んでる人間からまともな見解を聞いたことはない。まぁ対岸の火事だよね。

GDPRって何？
EU GDPR Information Portal
GDPRはEU General Data Protection Regulationの略で、2016年の4月14日に承認され、2018年5月25日から施行されるEUを対象にサービスを提供している全ての企業や事業体に施行されるRegulationである。

日本語の資料でまともなものは一個もなくて正直ドン引きした。そりゃみんな過剰＆過小反応になるわ。

物凄くサマリーをすると、GDPRはEUに関わる全てのデータが対象となる規制なので、グローバル企業が「僕は関係ありません」と言い切るのは無理である。
下記をみればわかるが、無関係と言える企業は日本でも超ドメドメ、東京電力とか東京ガスとかだろう。
How US Based companies should be thinking about GDPR - SpotX

何がヤバイの？
さて、このGDPR、何故こんな話題になっているかというと、その罰則・罰金がえげつないのである。
Get Going on Your GDPR Plan [Infographic] – Blog | Imperva
In Depth: The GDPR time bomb - Insurance Post
もしGDPRの規約を破れば最大で、€20M（26億円くらい？)若しくは昨年の売上の4%が罰金として吹っ飛ぶのである。（最大でね)

我々代理店の利益率をかんがみると、ちょっと笑えない数字ですし、小売とかだと美味しく利益吹っ飛ぶ感じ。

これを避けるには自分たちが違反していないことを72時間以内にちゃんと報告・証明しなきゃならないんです。

まぁデータ界隈に生きてるとこれが結構しんどいよねっていうのもみんなわかる話。

どうすればいいの？

ぶっちゃけわからん。
何故かと言うと、規定で定められている条項が法律に近いので、技術的には割と広く解釈できてしまうのである。よって、Google、FacebookなどのWalled Gardenプレーヤーは非常にDefensiveな反応をした。
Google Sharply Limits DoubleClick ID Use, Citing GDPR | AdExchanger
まぁFacebookはCambridge Analyticaの話もあったけど。

要するに誰か血祭りにあがるまで、グレーゾーンだらけだし、拠って「狙われそうな」企業は超ディフェンシブになると思う。一応個人見解ではCookie IDはPIIではないので、Googleさんの上記の反応は割と過剰だと思う。

日本企業としては、過剰反応する必要はないが、ちゃんとData Governanceという機能を定めるべきだと思う。Privacyに関わる部分じゃなくて、もっと広義のData Governanceを積極的に導入すべきだと思う。

Data CatalogueとかData Governanceって日本では全然耳慣れなかったけど、分野としては今後熱くなる可能性があります。本質的にはあまり芯を食った話ではないと思うのだけど（本音）

というわけで、GDPR知らなかった皆さん、勉強しましょう。知ってて、何故か焦ってる皆さん、落ち着いて。誰か血祭りに上がるのを待ちましょう。