GDPR準拠について考え始めた

hagi に投稿

恐らく11月10日までにエストニアで新しく企業を登記する。もちろん、Webサイトは立ち上げるし、できればSmart-ID対応もしたいと思っている。

あたりまえの事だが、EUで企業を立ち上げてサイトを上げるからにはGDPR準拠でなければいけない。調べて見ると、創業時のハードルは非常に低いが、社会にインパクトを与えるレベルになると、GDPR違反は日本円換算で24億円以上の罰金を課せられるリスクのある重い規制である。

ふと気が付くと、Smart-IDはエストニアだけではなく、バルト三国、そしてポルトガルにも対応するようになっている。エストニアは130万、e-residentで6万だが、ポルトガルの人口は1,000万人を超えている。もし、気軽に登録できるサイトを立ち上げて、SKのIDサービスを利用するとしたら、一回の認証が10円強なので、大ヒットしたら軽く月々億の世界にいってしまう。逆に言えば、エストニアの制度は着々と世界を席巻しているのが分かる。

GDPRに準拠しようと思うと、まず気になるのはプライバシーポリシーである。日本で言えば個人情報保護法への対応に相当するのだが、EUのPrivacy Noticeは読み込むとずっと味わい深い。日本の個人情報保護法は、企業をリスクから保護する色彩が色濃く出ているが、Privacy Noticeは個人の権利を中心に考えている。テンプレートが秀逸である。グーグル翻訳で十分読めるので、ぜひ、目を通していただきたい。

マイナンバーもそうだが、日本では国民主権という発想を現権力者(与党)が否定しているとしか思えない。

世界を見据えると多言語対応は避けて通れない。というか、日本でも使えるサービスを立ち上げようと思えば、日本語にも対応できなければ話にならない。私がDrupalをプラットホームに選んでいるのは、まだまだ途上とは言え、多言語対応で比類ない強さがあるのが一因である。まだ導入しているサイトはほぼ皆無だが、既にDrupalのModuleには、eID - Electronic ID Card Authentication、とEstonian ID-Card and Mobile ID authenticationが揃っている。まだテストもしていないが、非常に心強い。

私の中では、e-residencyとCoworkingとDrupalは全てつながって一つのものだ。ずっと、創業の苦しみを思い知らされ続けているが、これらの向こうに光が見えている気がしている。