日欧間では民間企業も入れて「日欧ICT戦略ワークショップ」が定期的に開催されていた。私もそのメンバーとして議論を重ねたが、個人情報保護を金科玉条のようにとらえる欧州側に閉口したのは事実である(*1)。
その頑なさは人権意識によるもの、もしくはGAFAへの強い嫌悪感から生まれたものだと思っていたのだが、今回「隠れた意図」が明確になった。やはりGDPRは、欧州域内での情報窃取を行う犯罪者や、産業スパイなどを取り締まるためのものだった。ただGDPRの適用事例については、大手航空会社やホテルチェーンに賠償金が課せられたことくらいしか伝わっていない。かの企業たちは、被害者だったかもしれないが、犯罪やスパイ行為をしたとも思えない。
ここからは推測になるが、GDPR違反の容疑があると、捜査が始まる。その結果人権侵害をしたのではないが情報窃取した(含む未遂)事件が明らかになる。その犯人は別容疑で逮捕されるか、国際手配される・・・という流れなのではないか。
例えば産業スパイのケース、疑いはあるのだが確たる証拠がないとしよう。日本にはない「スパイ防止法」の容疑で捕らえるには、裁判所の許可が出ない。対象国の大使館などが出てきて騒がれると、メディア対応も大変だし、手続きを踏んでいるうちにさっさと逃亡されてしまうかもしれない。
そんな時、GDPR違反の容疑なら騒ぎも少なく、裁判所も比較的簡単に令状を出してくれるだろう。ある種の別件逮捕だが、それによって身柄を拘束してしまい、拘留期限までに証拠固め(フォレンジック)をすればいい。それで証拠が挙がれば、再逮捕してじっくり締め上げる・・・。
EUはこういう目的のために、GDPRの対象となるデータの範囲を、なるべく広げるかもしくは曖昧にしておきたかったのだ。仮に日欧の会合で「ここまでは個人データ」との見解を示してしまえばそれが公知になり、容疑者を拘束するのに支障が出るかもしれなかったのだ。かの会合からあしかけ10年、謎を解いてくれる書に出会えたということだった。
