EU全域にわたって適用される、個人情報保護の厳格な法的枠組みである、一般データ保護規則(GDPR)が5月25日に施行され、デジタルベンチャー企業のビジネスの在り方を大きく変えようとしています。

国際プライバシー・プロフェッショナル協会(IAPP)の予測によると、結果として個人情報保護関連の雇用が最低でも7万5千人ほど創出され、GDPRに準拠する事になる為、フォーチュン・グローバル500企業だけで約80億ドル近くの支出になる見込みとなっています。

この予測はブロックチェーンにとってどのような意味があるのでしょうか？

個人に多くの権利を付与

GDPRは、企業や団体などのデータ処理業者に対して、新たに手続き的、組織的な義務を導入すると同時に、「データの対象」として「個人」に対してより多くの権利を与えています。

公共や民間を問わず、組織は裁量による判断が許可された場合、利用目的が不十分であったとしても「とりあえず」データをため込む傾向があります。
GDPRはこの行為を防ぐ為に、データ処理業者に対して顧客との直近のやり取りで直接役立てる事が可能な情報以外はデータの収集を禁止しており、これはGDPR第39条に記載されている「処理される目的に関する最低限の必要性に照らし合わせて、適切で、関連性が有り、限定された範囲」でなければならない」といった部分に該当します。

GDPRは何が良くて何が許可されないのかを明確に規定しつつ、データ処理業者が今後採用する必要のある組織のガイドラインにも規定を作っています。

例えば、業者は個人・消費者のデータに関して、利用後は消去する(初期化する)技術アーキテクチャを構築する必要を課しており、これは「設計によるプライバシー」と呼ばれている仕組みです。
更に、「データ取扱業者」とみなされる事業者には、GDPRへの遵守
状況の管理を担当する「データ保護責任者(DPO)」の設置が義務付けられています。

DPOは、データ対象のプライバシーに対してリスクが発生した時、監督機関に警告をする法的義務を負います。

ブロックチェーン技術との相性は？

ここまでGDPRについて書いたところで気になるのは「直近の情報」しか利用が不可で、それ以外の情報を削除するという原則についてです。

2012年に欧州委員会によってはじめて提案されたGDPRですが、この当時はまだブロックチェーンという言葉がほとんど認知されていなかった時代で、クラウドサービスやソーシャルネットワークが注目されていた時期でもあります。
当時からブロックチェーンは存在こそしていも、中心だったクラウドワークスやソーシャルネットワークはブロックチェーンとは違い、中央集権的な仕組みで構成されています。

規制当局にとっては、中央集権管理はメスを入れるポイントが一か所に絞られる事もあり管理が容易ではありますが、分散型プロトコルであるブロックチェーンに対してはGDPRはどの様な影響があるのか？

ブロックチェーン自体は個人や業者・組織を問わず取引履歴に関して、個人情報に該当する可能性があるデータを保管する場合があるので、GDPRの適用範囲に該当する可能性は十分あると言えます。

そこで前述の「直近の情報のみが利用可能」で「それ以外は削除する」という原則は言い換えれば「忘れ去られる権利」と言っても良いかと思いますが、ブロックチェーン技術の中核には、改ざん不可である事と、半永久的に履歴が残る、という点について矛盾が生じる事になります。

この矛盾が解決するまでに時間がかかる場合、「管理責任を持つデータ処理業者が誰なのか？」という問題が発生します。
実はGDPR自体が6年近く前から提唱された物である為、去年から急に台頭してきたブロックチェーンに関しては完全に置いてけぼりの状況になっています。

GDPRとブロックチェーンの矛盾は、GDPRにとって今後の課題となり、議論が広がる事は間違いはないでしょう