フランス CNIL サイバーセキュリティ：GDPR の経済的メリット (2025.06.24)

こんにちは、丸山満彦です。

CNILがサイバーセキュリティの強化にGDPRが役立っているといっております...

市場の外部性を少なくするために、法規制が役割を果たしているという話ですね...もちろん、ミクロ経済学は経済モデルであって、実際の市場に完全にフィットするわけではないわけですが、理論に反することをする必要はないですし、参考にして対応をすることは重要だと思います。

また、計量経済全般にいえる実際の市場の数式化やデータの把握は無理とはいえ、統計学的な分析はできるわけですから、こういう分析についての研究は日本でももっと盛になってもよいかと思います。

最初は、精度が低いもので使い物にならないという話かもしれませんが、数を重ねて改善をすることにより、精度は高まっていくと思います...

 

● CNIL

・2025.06.24 Cybersecurity: The Economic Benefits of GDPR

 

Cybersecurity: The Economic Benefits of GDPR	サイバーセキュリティ：GDPR の経済的メリット
The CNIL publishes an analysis of the economic impact of GDPR on cybersecurity. By reinforcing obligations in this area, the regulation has helped prevent, for instance in identity theft cases, between €585 million and €1.4 billion in cyber damages in the EU.	CNIL は、GDPR がサイバーセキュリティに与える経済的な影響に関する分析を発表した。この分野における義務を強化することで、この規制は、例えば個人情報の盗難の場合、EU 域内で 5 億 8500 万ユーロから 14 億ユーロのサイバー損害の防止に貢献している。
In its review of the economic impact of GDPR, five years after its entry into force, the CNIL noted that economic studies on the regulation tend to focus mainly on its costs and only marginally address its benefits. The CNIL undertook to study some of these benefits and provide a quantified analysis. This analysis approaches the topic from a cybersecurity perspective (Articles 32, 33, and 34 GDPR) to highlight the regulation’s positive impacts.	施行から 5 年を経て、GDPR の経済的な影響をレビューした CNIL は、この規制に関する経済調査は主にそのコストに焦点を当て、そのメリットについてはほとんど触れていない傾向があることに言及した。CNIL は、これらのメリットの一部を調査し、定量的な分析を行うことを決定した。この分析は、サイバーセキュリティの観点（GDPR 第 32 条、第 33 条、および第 34 条）からこのトピックに取り組み、この規制のプラスの影響を強調している。
In the economics of cybersecurity, information security is considered an investment decision made by companies. This investment decision follows a profitability logic: cybersecurity investment is weighed against its cost and the risk of cyberattacks.	サイバーセキュリティの経済学では、情報セキュリティは企業による投資判断とみなされる。この投資判断は収益性の論理に従う。つまり、サイバーセキュリティへの投資は、そのコストとサイバー攻撃のリスクと照らし合わせて検討される。
However, this calculation by companies overlooks a crucial factor — the impact of their investment on the wider society, known in economics as an externality. Because of these externalities, the spontaneous level of cybersecurity investment by companies is suboptimal in the absence of regulation. Regulations like GDPR help correct this market failure by requiring the implementation of security measures that benefit not only the data subject but also businesses and their partners.	しかし、企業のこの計算では、経済学で「外部性」と呼ばれる、投資が社会全体に与える影響という重要な要素が見落とされている。こうした外部性があるため、規制がない場合、企業のサイバーセキュリティへの投資は自発的には最適レベルに達しない。GDPR のような規制は、データ対象者だけでなく、企業やそのパートナーにも利益をもたらすセキュリティ対策の実施を義務付けることで、この市場の失敗を是正するのに役立つ。
Thus, the CNIL chose to study the benefits of GDPR through a quantified analysis focused on cybersecurity. A summary of the main findings from the full report is presented below.	そのため、CNIL は、サイバーセキュリティに焦点を当てた定量分析を通じて、GDPR のメリットを調査することにしました。報告書全体の主な結果の概要を以下に示す。
Download the study	調査報告書をダウンロード
The Different Types of Externalities in Cybersecurity	サイバーセキュリティにおけるさまざまな種類の外部性
Three main types of externalities can be identified, depending on the economic actor affected: other companies, cybercriminals, and clients/users.	影響を受ける経済主体に応じて、3 つの主な種類の外部性を識別することができる。
Externalities Affecting Other Companies	他の企業に影響を与える外部性
A company’s cybersecurity level also depends on the cybersecurity investments of other companies. A computer virus can spread from machine to machine in much the same way as a biological virus spreads through contagion. Consequently, when a company invests in cybersecurity, it helps create a more resilient overall environment against cybercrime—through a mechanism similar to herd immunity:	企業のサイバーセキュリティのレベルは、他の企業のサイバーセキュリティ投資にも依存する。コンピュータウイルスは、生物のウイルスが感染によって拡散するのと同じように、マシンからマシンへと拡散する。その結果、ある企業がサイバーセキュリティに投資すると、集団免疫と同様のメカニズムを通じて、サイバー犯罪に対する全体的なレジリエンスの高い環境を構築するのに役立つ。
・In subcontracting relationships, because the data security of the data controller depends on the security level of its subcontractor;	・下請け関係では、データ管理者のデータセキュリティは下請け業者のセキュリティレベルに依存するため。
・With partner companies or even competitors, who can "benefit" from the high data security standards within a given sector, creating a “virtuous circle.”	・パートナー企業や競合他社も、特定のセクターにおける高いデータセキュリティ標準の「恩恵」を受けることができ、「好循環」が生まれる。
However, a company has no incentive to consider the benefits its cybersecurity investments brings to its competitors, which limits its investment in this area.	しかし、企業はサイバーセキュリティへの投資が競合他社にもたらすメリットを考慮するインセンティブがないため、この分野への投資は限定的になる。
Externalities for Cybercriminals	サイバー犯罪者に対する外部性
Underinvestment in cybersecurity increases the profitability of cybercrime, particularly through ransomware (attacks that aim to extort a ransom).	サイバーセキュリティへの投資が不十分だと、特にランサムウェア（身代金を要求する攻撃）によるサイバー犯罪の収益性が高まる。
When security measures are insufficient, attacks are more likely to succeed. The more successful attacks there are, the more cybercriminals can demand large ransoms, knowing that a certain number of victims will eventually pay. Cybercriminals adjust ransom amounts to optimize profits by balancing two factors: on the one hand, a ransom that is too high may discourage victims from paying; on the other hand, a ransom that is too low will not maximize profit.	セキュリティ対策が不十分な場合、攻撃が成功する可能性が高まる。攻撃が成功するほど、サイバー犯罪者はより高額な身代金を要求できるようになる。なぜなら、一定数の被害者が最終的に支払うことを知っているからである。サイバー犯罪者は、2つの要因をバランスさせて利益を最大化するため、身代金の額を調整する。一方では、身代金が過度に高額だと被害者が支払いを断念する可能性がある。他方では、身代金が過度に低すぎると利益が最大化されない。
Since only a few companies are willing to pay very large sums, the optimal strategy depends on the number of successful attacks. If such attacks are rare, it is more profitable to demand moderate ransoms that most victims will agree to pay. However, if successful attacks are common, the probability that a victim company will pay a very high ransom increases. It then becomes more profitable for cybercriminals to set high ransoms to maximize their gains on those few large payments.	非常に高額な支払いを承諾する企業はごく一部であるため、最適な戦略は成功した攻撃の件数に依存する。攻撃が稀な場合、大多数の被害者が支払いを承諾する中程度の身代金を要求する方が利益が大きい。しかし、成功した攻撃が頻発する場合、被害企業が非常に高額な身代金を支払う確率が上昇する。これにより、サイバー犯罪者は少数の高額支払いから利益を最大化するため、高額な身代金を設定する方が利益が大きくなる。
Thus, the lack of investment in cybersecurity creates a vicious cycle: it increases the success rate of attacks, strengthens cybercriminals’ ability to demand higher sums, and ultimately boosts both the profitability and the severity of cybercrime.	このように、サイバーセキュリティへの投資の不足は悪循環を生み出す。攻撃の成功率が高まり、サイバー犯罪者がより多額の身代金を要求する能力が高まり、最終的にはサイバー犯罪の収益性と深刻度が高まる。
Externalities Affecting Customers	顧客に影響を与える外部性
Data breaches affecting companies often involve the personal data of their customers/users (natural persons). Such data can be used to launch further cyberattacks against the affected individual (phishing, identity theft, credential stuffing). Individuals who suffer the negative consequences from a data breach may not always be able to identify which company is responsible for the leak of their personal data.	企業に影響を与えるデータ漏えいは、多くの場合、顧客/ユーザー（自然人）の個人データに関わる。こうしたデータは、影響を受けた個人に対するさらなるサイバー攻撃（フィッシング、ID 盗難、クレデンシャルスタッフィング）に利用される可能性がある。データ漏えいの悪影響を受けた個人は、自分の個人データの漏えいの責任がどの企業にあるかを必ずしも特定できるとは限らない。
When a company discloses a data breach, it risks consequences: reputational damage, decreased valuation, loss of customer trust, etc. To avoid these repercussions, companies might choose not to disclose incidents in the absence of regulation.	企業がデータ漏えいを開示すると、評判の低下、企業価値の低下、顧客の信頼の喪失などのリスクが生じる。こうした影響を回避するため、企業は規制がない場合、インシデントの開示を行わないことを選択する可能性がある。
This kind of negative externality is suboptimal because it allows the companies in question to escape responsibility for the harm caused to their customers due to their underinvestment in cybersecurity, reducing their incentive to strengthen protections. Moreover, it prevents affected individuals from being vigilant and taking appropriate measures to protect themselves.	この種の負の外部性は、サイバーセキュリティへの投資不足によって顧客に与えた損害に対する責任を企業が回避し、保護を強化するインセンティブを低下させるため、最適ではない。さらに、影響を受けた個人が警戒し、自身を守るための適切な措置を講じることを妨げる。
The GDPR has made this opacity illegal: data controllers are now required to notify the data protection authority of any breach, and to notify affected individuals when there is a high risk related to a personal data breach. Companies that fail to comply with these obligations face sanctions. By reducing this externality, the GDPR therefore generates benefits for society as a whole.	GDPR は、このような不透明性を違法とした。データ管理者は、データ漏えいが発生した場合、データ保護当局に通知し、個人データ漏えいに関するリスクが高い場合は、影響を受ける個人にも通知することが義務付けられた。この義務を怠った企業には、制裁措置が科せられます。このように、GDPR は、この外部性を軽減することで、社会全体に利益をもたらしている。
In most cases, these various externalities are not taken into account when companies decide how much to invest in cybersecurity. As a result, without regulatory obligations like GDPR, investment in securing information systems remains insufficient.	多くの場合、企業がサイバーセキュリティへの投資額を決定する際には、こうしたさまざまな外部性は考慮されていない。その結果、GDPR のような規制上の義務がない場合、情報システムのセキュリティ確保への投資は不十分なままとなる。
The Benefits of the GDPR from a Cybersecurity Perspective	サイバーセキュリティの観点から見た GDPR のメリット
Compliance with the GDPR helps combat underinvestment in cybersecurity.	GDPR を遵守することで、サイバーセキュリティへの投資不足に対処することができる。
For example, by requiring entities to notify individuals of serious data breaches (Article 34 GDPR), people can choose to stop doing business with companies that do not maintain an adequate level of cybersecurity. This provision therefore helps reduce the externality affecting the company’s customers. The company is held accountable, which incentivises greater investment in cybersecurity.	例えば、事業体に重大なデータ侵害を個人に通知することを義務付ける（GDPR 第 34 条）ことで、人々は、適切なレベルのサイバーセキュリティを維持していない企業との取引を停止することを選択することができる。したがって、この規定は、企業の顧客に影響を与える外部性を軽減するのに役立つ。企業は責任を問われるため、サイバーセキュリティへの投資拡大のインセンティブとなる。
As such, economic research has examined the consequences related to identity theft:	このように、経済研究では、個人情報の盗難に関連する影響を調査している。
・By comparing the number of identity theft incidents before and after the implementation of this policy, economists found that data breach notifications lead to a 2.5% to 6.1% decrease in identity theft;	・この政策の実施前後の個人情報の盗難インシデントの数を比較したところ、データ侵害の通知により、個人情報の盗難が 2.5% から 6.1% 減少したことがわかった。
・By comparing this decrease with the cost of identity theft in France, it is possible to calculate that between €90 million and €219 million in losses have been avoided in France since 2018, and between €585 million and €1.4 billion across the EU;	・この減少をフランスの身分盗用のコストと比較すると、2018年以降、フランスで€9000万から€2億1900万の損失が回避され、EU全体では€5億8500万から€14億の損失が回避されたと推計できる；
・Taking into account compensation levels for these losses and the impact of identity theft on victims' trust in online shopping, it can be estimated that 82% of the avoided losses benefit companies.	・これらの損失の補償水準と、身分盗用がオンラインショッピングへの被害者の信頼に与える影響を考慮すると、回避された損失の82%が企業に利益をもたらすと推計できる。
These gains represent only a small portion of the total benefits brought by GDPR in terms of reducing cybercrime. They reflect the impact of just one of its provisions on a specific type of cybercrime (identity theft). One must also consider the positive effects of GDPR compliance on ransomware, botnets (networks of internet-connected programs), malware, and more. It would be worthwhile for economists to further explore the cybersecurity dimension in order to provide a more comprehensive view of this topic.	これらの利益は、サイバー犯罪の削減という点で GDPR がもたらす総利益のほんの一部に過ぎない。これは、特定の種類のサイバー犯罪（ID 盗難）に対する、GDPR の規定のうちの 1 つだけがもたらした影響を反映したものである。また、GDPR の遵守が、ランサムウェア、ボットネット（インターネットに接続されたプログラムのネットワーク）、マルウェアなどに対してもたらすプラスの効果も考慮する必要がある。このトピックについてより包括的な見解を示すためには、経済学者たちがサイバーセキュリティの側面についてさらに探求することが望ましい。
To download	ダウンロード
Cybersecurity economics and the benefits of GDPR	サイバーセキュリティの経済学と GDPR のメリット
Read more	更なる情報
The economic impact of GDPR, 5 years on	GDPR の経済的影響、5 年後

 

・[PDF]

・[DOCX][PDF] 仮訳

 

---

 

参考

● CNIL

・2024.04.02 The economic impact of GDPR, 5 years on

↓↓↓↓↓

 

The economic impact of GDPR, 5 years on	GDPR の経済的影響、5 年後
Five years after the GDPR came into force, the economic literature has examined its economic impact on firms. Most of these studies focused on costs and insufficiently captured the benefits for businesses and the welfare gains for individuals.	GDPR が施行されてから 5 年が経過し、経済文献では、企業に対するその経済的な影響が検証されている。これらの研究のほとんどはコストに焦点を当て、企業にとってのメリットや個人にとっての福祉の向上については十分に把握していない。
Studying the economic impact of the General Data Protection Regulation (GDPR) in Europe since 2018 might seem like a dispensable exercise : isn't the purpose of this regulation to protect the fundamental rights of Europeans? Isn’t compliance mandatory for firms anyway? Hasn't the GDPR become an international benchmark, inspiring many countries?	2018 年以降、欧州における一般データ保護規則（GDPR）の経済的な影響を研究することは、不必要な作業のように思えるかもしれない。この規則の目的は、ヨーロッパ人の基本的権利を保護することではないのか？企業にとっては、とにかく遵守は義務ではないのか？GDPR は、多くの国々に影響を与えた国際的なベンチマークになっていないのか？
By harmonizing personal data protection rules in Europe, the GDPR has created a space where data can flow freely. The digital economy relies heavily on the use of personal data and as such cannot develop without the trust of citizens, which is ensured by a high level of data protection. The GDPR therefore has significant economic implications for France and its businesses.	欧州における個人データ保護規則を調和させた GDPR は、データが自由に流通できる空間を生み出した。デジタル経済は個人データの利用に大きく依存しており、高度なデータ保護によって確保される市民の信頼がなければ発展することはできない。したがって、GDPR はフランスとその企業にとって大きな経済的な影響をもたらしている。
After 5 years of GDPR implementation, economists have tried to shed light on its impact, particularly for firms, mainly through empirical work estimating the impact of the regulation on growth, innovation and competition.	GDPR が施行されてから 5 年が経過し、経済学者たちは、主に、成長、イノベーション、競争に対する規制の影響を推定する実証研究を通じて、特に企業に対するその影響を明らかにしようとしている。
An investment in compliance, a nuanced impact	コンプライアンスへの投資、微妙な影響
The economic literature often highlights the costs of implementing the GDPR for businesses. These costs are real and inevitable: they represent a collective European preference that shall be assumed, especially since all firms are on the same footing. Actually, this cost corresponds to an investment in compliance, which has economic benefits.	経済文献では、企業にとっての GDPR 施行のコストがしばしば強調されている。これらのコストは現実のものであり、避けられないものだ。特に、すべての企業が同じ立場にあることを考えると、これは欧州全体の選択であり、受け入れるべきものだ。実際、このコストはコンプライアンスへの投資に相当し、経済的なメリットがあります。
When reading these studies, one should avoid a simplistic approach as personal data is a very specific economic object: it is rarely traded commercially, it is not free to produce, but it can be copied at virtually no cost. In the absence of regulation, data can give rise to information asymmetries between the service and the user, with the latter having only a fragmented view of how their data is used. The well-being of the individuals can be affected by "negative externalities" (which occur when an activity generates unintended negative consequences for other economic actors - for example, the resale of data may lead to a flow of unwanted advertising).	これらの研究を読む際には、個人データはごく特殊な経済対象であるため、単純なアプローチは避ける必要があります。個人データは商業的に取引されることはほとんどなく、無料で作成できるものではありませんが、実質的に無コストで複製することができます。規制がない場合、データによってサービスとユーザー間に情報格差が生じ、ユーザーは自分のデータがどのように使用されているかを断片的にしか把握できなくなります。個人の幸福は、「負の外部性」（ある活動が他の経済主体に意図しない悪影響をもたらすこと。例えば、データの転売により、望ましくない広告が流されるようになるなど）の影響を受ける可能性がある。
As a result, some of the benefits of GDPR may be to limit “market failures” by providing better information and enabling more rational choices (e.g. reducing the disutility caused by advertising solicitations or profiling) and to enable economic transactions that would not be possible without protection (e.g. voluntary participation in a health study).	その結果、GDPR のメリットの一部は、より良い情報を提供し、より合理的な選択を可能にする（例えば、広告の勧誘やプロファイリングによって生じる不利益を軽減する）ことで「市場の失敗」を制限すること、および保護がなければ不可能な経済取引（例えば、健康調査への自主的な参加）を可能にする点にあると考えられる。
Furthermore, the impact of GDPR on companies is nuanced: studies report positive or negative impacts depending on the nature of the business model considered. While some activities are more affected (such as canvassing or the resale of customer data, for example), others are facilitated by the increase in customer trust.	さらに、GDPRが企業に与える影響は複雑だ。研究では、検討されるビジネスモデルの性質に応じて、ポジティブな影響やネガティブな影響が報告されている。一部の活動（例えば、営業活動や顧客データの転売など）はより大きな影響を受ける一方、顧客の信頼向上により他の活動は促進される。
Methodological difficulties	方法論的な困難
Economic impact studies are inspired by the experimental approach and use data to measure the impact of a policy in an objective manner. As such, they rely on the possibility to compare companies subject to GDPR with a counterfactual "control" group not subject to it, all other things being equal.	経済的影響分析は実験的アプローチにヒントを得ており、データを用いて政策の影響を客観的に測定する。そのため、GDPRの対象となる企業と、他の条件が同じでGDPRの対象外である対照群を比較する可能性に依存している。
In this attempt, it is complicated, from a methodological point of view, to isolate the specific effects of GDPR. Indeed, the economic context or the strategy of actors can spillover on the control groups and it is quite difficult to find a credible counterfactual for the European Union. Only by accumulating converging scientific evidence can one convincingly asses the main effects or the regulation.	この試みでは、方法論的な観点から、GDPRの特定の効果を孤立させて分析することは困難だ。実際、経済状況や関係者の戦略が対照群に影響を及ぼす可能性があり、EUにおいて信頼できる対照群を見つけることは非常に困難だ。一致した科学的証拠を蓄積することによってのみ、規制の主な効果を説得力を持って評価することができる。
Similarly, many studies have focused on less regulated sectors, where the impact of the GDPR would be stronger (e-commerce, online advertising, marketing), but the results for these sectors cannot be generalized to the economy as a whole. However, a more general, macroeconomic approach has not been undertaken at this stage, given the difficulties of modelling data protection issues.	同様に、多くの研究は、GDPR の影響がより強いと思われる規制の緩い分野（電子商取引、オンライン広告、マーケティング）に焦点を当てているが、これらの分野の結果を経済全体に一般化することはできない。しかし、データ保護の問題をモデル化することは困難であるため、現段階では、より一般的なマクロ経済学的アプローチは取られていない。
Considering the benefits for firms and individuals	企業や個人にとってのメリットの検討
The results of the studies are interesting, but their scope is incomplete: they deal only marginally with the benefits of compliance for companies, because the latter are more difficult to observe. However, with a qualitative approach, we find that there are returns on investment from GDPR compliance in terms of reputation in the eyes of customers and partners, IT security, knowledge of the data available within a company, operational savings, etc. It would be interesting for economists to try to quantify these gains in order to carry out a more complete cost-benefit analysis of GDPR.	この調査結果は興味深いものですが、その範囲は不完全です。企業にとってのコンプライアンスのメリットは、観察が難しいため、ごくわずかにしか扱われていません。しかし、定性的アプローチにより、顧客やパートナーからの評判、IT セキュリティ、社内で利用可能なデータの知識、業務上のコスト削減など、GDPR の遵守による投資収益率があることがわかりました。経済学者としては、GDPR のより完全な費用便益分析を行うために、これらの利益を定量化してみることは興味深いだろう。
Similarly, the implementation of GDPR has led to significant gains in welfare for consumers, who now have greater control over their data and are better able to measure the risks associated with sharing them. They are more vigilant, less subject to fraudulent use of their data or irritants like abusive canvassing, which causes economic harm.	同様に、GDPR の実施により、消費者の福祉も大幅に改善された。消費者は、自分のデータに対するコントロールが強化され、データ共有に伴うリスクをより正確に把握できるようになった。消費者はより警戒心が高まり、データの不正使用や、経済的損害をもたらす迷惑な勧誘などの迷惑行為にさらされる機会が減少した。
However, these benefits are not directly observable in a market and are therefore difficult to measure. Only a quantified comparison between the impact on firms and the impact on individuals will make it possible to confirm (or refute) whether this regulation has brought a net benefit to the welfare of society as a whole.	しかし、これらの利益は市場で直接観測できず、測定が困難だ。企業への影響と個人への影響を定量的に比較することで、この規制が社会全体の福祉にネット利益をもたらしたかどうかを確認（または否定）することが可能になる。
Lessons for the regulator	規制当局のための教訓
Although the economic studies carried out so far have mainly focused on the costs of GDPR, and as one awaits further studies dealing with its benefits more in detail, there are nevertheless a number of lessons to be learned for the CNIL. First, they confirm the relevance of the regulator's advice strategy, which consists of providing companies with tools tailored to their needs, thereby reducing compliance costs, as well as providing legal certainty through reference frameworks, advice and best practice guidance.	これまでの経済研究は主に GDPR のコストに焦点を当てたものであり、そのメリットについてより詳細な研究が待たれるところですが、CNIL が学ぶべき教訓はいくつかあります。まず、企業のニーズに合わせたツールを提供することでコンプライアンスコストを削減し、参照枠組み、アドバイス、ベストプラクティスのガイダンスを通じて法的確実性を提供するという、規制当局のアドバイス戦略の妥当性が確認されました。
Second, these studies show that privacy should be considered as a public good. Its protection does not arise spontaneously from the operations on the market or from individual behavior, but has a "libertarian paternalism" dimension (i.e. organizing conditions in which people are encouraged to behave in a way that protects them). The regulator's action in facilitating individual choices contributes to a high level of data protection. This, in turn, benefits all actors in the digital markets, by creating a framework of trust that is essential for their development (see, for example, the development of French Tech since 2017).	第二に、これらの研究は、プライバシーは公共財とみなすべきであることを示している。プライバシーの保護は、市場での取引や個人の行動から自発的に生じるものではなく、「自由主義的父権主義」の側面（すなわち、人々が自分自身を守るような行動をとるよう促す条件を整えること）がある。規制当局が個人の選択を容易にする取り組みは、高いレベルのデータ保護に貢献している。これは、デジタル市場の発展に欠かせない信頼の枠組みを構築することで、デジタル市場のすべての関係者に利益をもたらす（例えば、2017 年以降の French Tech の発展を参照）。
Finally, these studies show that GDPR, in relative terms, tends to favor large economic actors which have more resources to allocate to compliance, but are nevertheless audited more regularly. The regulator must actively combat this trend by adopting a demanding stance towards large actors, and even more so towards very large actors, in proportion to the risks they pose and the resources they have at their disposal. Thus, as stated in the joint declaration between CNIL and Autorité de la concurrence (December 2023), CNIL already undertakes, and will increasingly assume, an asymmetric dimension to its regulatory action on digital markets, combined with a full understanding of business models, for the benefit of individuals and the protection of their fundamental rights.	最後に、これらの研究は、GDPR は、相対的には、コンプライアンスに割り当てることができるリソースが多い大規模な経済主体に有利である傾向があるものの、その監査はより定期的に実施されていることを示している。規制当局は、大規模な主体、さらには超大規模な主体に対して、その主体がもたらすリスクや保有するリソースに見合った厳しい姿勢で臨むことで、この傾向に積極的に対処しなければならない。したがって、CNIL と競争当局（Autorité de la concurrence）の共同宣言（2023年12月）で述べられているように、CNIL は、個人と個人の基本的権利の保護のために、ビジネスモデルを完全に理解した上で、デジタル市場に対する規制措置に非対称的な側面を取り入れ、その取り組みをさらに強化していく。
Read more	更に読む
Link to our article in the Revue européenne des Médias et du Numérique, nb 67, Fall 2023 (in French)	Revue européenne des Médias et du Numérique、nb 67、2023年秋号に掲載された記事へのリンク（フランス語）
Competition and personal data, a common ambition: joint declaration by the CNIL and the ADLC	競争と個人データ、共通の目標：CNIL と ADLC による共同宣言
Competition and personal data, a common ambition: joint declaration by the CNIL and the ADLC	競争と個人データ、共通の目標：CNIL と ADLC による共同宣言