「 GDPR の責任を、エージェンシーは転嫁されている」:あるデジタルエージェンシー幹部の告白
欧州で一般データ保護規則(General Data Protection Regulation:以下、GDPR)の施行がはじまった。そんななか、自社のサイトが準拠していないブランドが、その責任をエージェンシーに転嫁するというのはありそうなことだ。匿名と引き換えに率直に語ってもらう「告白」シリーズ。今回は、フォーチュン500企業のウェブサイト構築を手伝っている、あるデジタルエージェンシーの幹部が、エージェンシーは契約によってGDPR違反の責任をブランドから負わせられているという話をしてくれた。
――エージェンシーの仕事へのGDPRの影響は?
「作っているのはエージェンシーなのだから、どうすればできるだけ速やかに責任をエージェンシーに回せるのかを考えよう」というのが最終決定になっているようだ。理論上はクライアントに責任がある。しかし、規則の施行が近づくと、フォーチュン100企業はどこも突然、長年合意してきたMSA(マスターサービス契約)の更新を送ってきた。そこでは新たに、「設計と構築をあなたが行っている場合、この法律のニュアンスを引き受ける義務はあなたが負うのであり、準拠していないものがある場合、我々はあなたを免責しない」とされている。この法律の意図を把握したり心配したりするのではなく、とにかく金銭的な義務や責任を自分たちが負わないようにしようとしている。
――義務を全面的に負うのを回避するためにできることは?
普通、MSAでは、「我々と引き続き仕事をしたければ、これを行うように」となっている。そして、「いや、この法律の責任を我々に負わせようとしているので、我々はもうあなたがたとは仕事をしない」という立場に我々がいないことも確かだ。なので、我々はこの法律を理解し、準拠を確実にするためベストを尽くす。
――最悪の場合、どのような形になると思うか? 規制当局がクライアントを追いかけると、クライアントが規制当局に、代わりにエージェントを追いかけるようにいうのか?
まだ起きてはいないことだが、どのようになるのかというと、企業が訴えられ、その企業がエージェンシーを訴えるという形になると思う。我々が言われているのは、リスクは下流に押しやるようにするつもりなので、たとえ何も起きなくても法的サービスの料金は払うことになるということ。我々は契約の一つひとつについて非常にはっきりとした推定を試み、条項の無効化に努めているので、リスクは明確に把握している。補償には上限がある。
――責任はある程度までしか負っていない?
そう。我々が負う責任はXまでとなっている。というのは、数十万ドルのプロジェクトをやっている場合に、起こされた100万ドルの訴訟を押しつけられようとするとなると、プロジェクトの観点でリスクと報酬が釣り合わなくなる。また、GDPRによって派生する、もうひとつの問題は、プロジェクトの所要時間が変わり、開発作業のコストが増大すること。法律家が関わるようになると、素敵な関係性も曖昧な部分もすべてなくなる。
――そうした追加コストはどのように計上するのか? エージェンシーが責任を負うのなら追加で10%、20%かかるとクライアントにいうのか?
そのように体系化してもうまくは行かないだろう。そのような値上げはさせてくれない。なので我々は、要件の複雑さが増しているという理由で、こうした新しいリソースや追加のリソースや時間をプロジェクトコスト自体に入れてしまう。まるで機能がひとつ増えるようなものなのだ。向こうもこれを押し返すことはできない。
――クライアントが押しつける責任を協力して突き返そうという話をほかのエージェンシーとしている?
まだやってはいない。どこかひとつで大きな問題が発覚するまでは、おそらくみんなあまり目立たないようにしていたいのだ。というのも、すべてのクライアントがこのように押しつけてきているわけではない。こうしたことは、目立つ振る舞いをしていると、話をされてMSAに書き込まれたり、訴訟になったりする可能性が高くなる。この騒ぎがどのように収まるのかと、みんな静観しているようなところがある。
Tim Peterson (原文 / 訳:ガリレオ)
