Facebook に科された史上最大の罰金は有効なのでしょうか、それとも、Facebook は何もなかったようにビジネスを継続するのでしょうか?
先日、米国連邦取引委員会は、Facebook の繰り返されるプライバシー侵害に対する適切な処罰がなされるべきとの意見に合意する形で、罰金を科しました。罰金対象になる案件には、ケンブリッジ・アナリティカ社のスキャンダルのような、広く知られているデータ侵害や不正行為が網羅されており、極めて厳しい罰金になることが予想されていましたが、その通りでした。実際に、史上最大の50億ドルという途方もない金額が提示されました。
巨大企業の Facebook にとってはかえって有利に作用した失態なのでしょうか?
この罰金は司法省の承認を得る必要がありますが、Facebook はある程度の罰金を想定しており、4月には支払いのために30億ドルを確保したと発表しました。Facebook では、昨年は220億ドルの利益を上げており、今年の直近の四半期には昨年の26%増の150億ドル以上の売り上げを報告しています。4月の時点の30億ドルは、Facebook が所有する現金と市場性のある有価証券の6%に過ぎません(換算すると50億ドルは10%)。
一方、Facebook は潜在的な罰金について投資家に警告済みで、皮肉なことにペナルティが発表されたときには織り込み済みとして株価が約1.8%上昇しました。ちょっと考えてみてください。1ヶ月分の収入の損失は、Facebook の株価の急上昇によってすぐに無効になってしまいます。別の言い方をするなら、米国史上最大の罰金によって、Mark Zuckerberg 氏の純資産が増加しました。
Facebook のコンプライアンスに対する姿勢は?
ここでの問題は史上最大の罰金(これまでの最大額は、2012年に Google に科されたは2,250万ドルです!)でさえ、莫大な利益を上げている会社にとっては、事実上、効果がないということです。罰金の桁を2桁も3桁も上げない限り、巨大IT企業が、面倒なコンプライアンス規制を無視することに決めて、罰金を単なる業務遂行上のコストとして扱おうとすることに、何の不思議もありません。そしてそれは、市民のプライバシーと個人データを保護しようとする政府にとって大きな問題になるでしょう。
巨額の利益を生み出すことができる巨大企業に罰金を科そうとして、その何分の一、何十分の一といった規模の企業には過酷な罰金を科す動きが見えないのはなぜでしょうか?連邦取引委員会では現在ケースバイケースで処理しようとしていますが、明らかにうまく機能しておらず、恐ろしく長い時間がかかっています。選択肢としては、EUの一般データ保護規則(GDPR)のような規制を導入することが考えられます。違反者は、最大で年間の総売上高の4%か、2,000万ユーロのどちらか大きい額の制裁金を科せられる可能性があります。違反者の規模に合うように罰則を拡大縮小することができ、適用にかかる時間も短縮できます。
米国に GDPR のような規制は制定されるか?
では、米国で GDPR のような規制が導入に向けて今後進められていくのでしょうか?可能性のあることは何でも起こり得ます。最も近いものは California Consumer Privacy Act(CCPA、カリフォルニア州消費者プライバシー法)でしょう。カリフォルニア州の州レベルのプライバシー法で、1回の違反に対して最高7,500ドルの罰金を科すことができ、複数の違反があれば膨れ上がっていきますが、違反者の収益の規模に基づいた罰金ではないので、収益に見合った額に達するほど膨れ上がることはないでしょう。統合なども含めて、企業はますます大きくなっていき、その利益と資産もどんどん膨張しています。米国では HIPAA 違反は、意図的な場合1件1万ドルから5万ドルですが、大規模で資金力のある医療機関が、違反に対する1万ドルから5万ドルの制裁金を、患者情報の再販ビジネスを行う上で許容されるコストであると決定する可能性がないとは誰にも言い切れません。