先日GDPRが施行されてから１年で、巨額の課徴金が課せられそうに成っていることを紹介した。特にBAのケースでは、自らの顧客情報ハンドリングのミスや制度不徹底というよりも、サイバー攻撃で利用者がニセサイトに誘導され情報を抜き取られたというもの。いくら自社内の制度整備、従業員教育を徹底しても外部からの「攻撃」で250億円も課せられそうだというのは企業には衝撃である。

　それに加えて、これまで欧州よりはゆるかった米国の個人情報保護法制だが、新しい動きがある。先日のワシントンDCでも、カリフォルニアで関連州法が成立して2020年１月の施行を待っていることや、似たような州法を検討している複数州の話、50州バラバラにやられてはたまらないという産業界から、連邦法制定に声が上がっていることを聞いた。今回、国際的な個人情報保護法制を専門にしている人に、現状を聞く機会があった。

　まずカリフォルニア州には多くのIT企業があり、これらの企業や関係者は米国企業というよりはコスモポリタンであること。だから欧州がGDPRで守ろうとしていることに他の米国州より理解が深い。そこで州民が主体となって法案を作ったのだが、州民起案の法整備ができてしまうと修正も州民起案に拠る事になる。動きの激しいこの業界で州民による修正を待っていたのでは（日本国憲法並みに）埒が明かないとして、州議会が似た内容の法案を出したという経緯らしい。法案提出を急いだせいか、成立した後も修正協議が続いていて、本当にどうなるのかは専門家にもわからないという。

　また米国産業界が連邦法の成立を後押ししているのは、各州バラバラでは対応できないという意味もあるのだが、連邦法で網をかぶせてしまうとその内容に重複する州法の規定が無効になるかららしい。GAFAなど産業界は、連邦法が先鋭的なカリフォルニア州法より緩くなることを期待しているのかもしれない。ただ連邦法については具体的な何かが出るまで少し間がありそうで、それまでにカリフォルニア州法は施行されてしまうだろう。

　大きなトレンドとして、日本と欧州は日欧EPAの中で個人情報保護法制の整合を図っているし、これに米国が入ってくれば自由主義諸国としてのハーモナイズは一歩前進することになる。そうなれば、次に中国やロシアに対してハーモナイズを呼びかける声も力強くなるのですが･･･。