EUの一般データ保護規則(GDPR)の発効から6年経った今、EU委員会は1月28日のデータプライバシーデー2024に合わせて、GDPRがどのように機能したかを理解するための エビデンスを求めています。
Cloudflareは喜んでその呼びかけに応じます。プライバシーの日を祝ううえで、GDPRの適用が私たちのプライバシーを本当に改善することができたか、というのは最高のテーマです。
答えはおおむねイエスですが、いくつかの重要な点で否定されます。
一般に、GDPRはプライバシー保護の世界的なゴールドスタンダードと見なされています。GDPRは、データ保護の実践が世界的にどのようにあるべきかのモデルとして機能し、法域を超えて複製されたデータ主体の権利を明文化しました。そして発効時には、世界中の人々が自分の個人データを扱う主体に対して期待し、要求できるはずの種類のプライバシー保護の基準を作り上げました。GDPRは、人々が自身の個人データをよりコントロールできるようにし、プライバシーを保護できるようにする上で、間違いなく正しい方向に舵を切ったと言えるでしょう。
しかしながら、Cloudflareは、インターネット上を流れるデータへのGDPRの適用方法は、いくつかの重要な分野でプライバシーの保護には何の役にも立たず、むしろ個人データの保護を危うくする可能性さえあると考えています。これらの分野については、まず、国境を越えたデータ転送が挙げられます。EUデータ保護規制当局の考え方では、通常、位置情報がプライバシーの代わりとなっていますが、Cloudflareは、これは間違った結果であると考えています。次に、インターネットプロトコル、すなわちIPアドレスに関して、一部の規制当局による「個人データ」の構成要素の過度に広範な解釈です。Cloudflareは、特にIPアドレスを取り扱う事業者が、IPアドレスと個人を結びつける能力を持たない場合、IPアドレスは必ずしも個人データとして扱われるべきではないと主張します。これは重要なポイントです。なぜなら、業界をリードする数々のサイバーセキュリティ対策を実装できるか否かは、IPアドレスを含むインターネットトラフィックのメタデータに関する脅威インテリジェンスを行う能力に依存しているからです。
位置情報をプライバシーの代用としない
基本的に、優れたデータセキュリティおよびプライバシー慣行は、処理や保存がどこで行われようと、個人データを保護できるものでなければなりません。しかしながら、GDPRは、個人データの生成、処理、保存場所に基づいて個人データに法的保護を加えるべき、という考え方に基づいています。GDPRの第44~49条は、EU域外の法域にデータを移転するために整えなければならない条件を定めていますが、その考え方は、データが異なる場所にあったとしても、GDPRが定めるプライバシー保護がデータに適用されるべきであるというものです。このアプローチが、2013年に発覚した米国国家安全保障局(およびそのファイブアイズパートナー)と大手インターネット企業との関係を記した極秘文書と、諜報機関がインターネット上のチョークポイントからデータを吸い上げていたことなど、政府の監視慣行をめぐる政治的動向に影響されたものであることは間違いありません。GDPRが発効すると、EUの多くのデータ規制当局が、GDPRが法域を越えたデータ移転を制限しているため、欧州の個人データをGDPRに合致する方法で米国で処理することはできない、との見解を示しました。
この問題は、2020年7月、欧州司法裁判所(CJEU)が「Schrems II」判決で、EUー米国間のプライバシーシールドの適切性基準を無効とし、EU標準契約条項(EU域外で処理される個人データであってもGDPRの保護がEU域内で適用されることを保証するために事業者が使用できる仕組み)の適切性に疑問を呈したことで表面化しました。この判決により、データ保護規制当局は大西洋を越えたデータの移転に関する問題に対してほとんど手出しができなくなった、という一面もあります。しかしながら、一部の規制当局はSchrems II判決を、EUの個人データを米国で処理することを認めるとして捉えたものの、多くのデータ保護規制当局は、この判決を、EUの個人データをGDPRと整合性を保ちながら米国で処理することはできないという見解を倍加させる好機と捉え、データローカライゼーション(データを元の法域内に留めておくこと)がデータ保護の代用になるはずだという誤解を助長しました。
Cloudflareは、事実はその逆であると主張します。私たち自身の経験や最近の調査によると、データローカライゼーションは、サイバーセキュリティリスクの統合管理を実現する組織の機能を脅かし、国境を越えたデータ転送に依存する最先端のサイバーセキュリティ対策を可能な限り効果的に採用する企業の能力を制限することがわかっています。たとえば、 Cloudflareの ボット管理製品は、グローバルネットワーク上で継続的に使用することによってのみ精度が向上します。すなわち、ボットの可能性が高いトラフィックを検出してブロックし、製品を支えるモデルに学習結果をフィードバックしているのです。ボット検知ツールを進化させ続けるためには、グローバルプラットフォーム上の多様なシグナルとデータ規模が不可欠です。インターネットが分断され、ある法域のデータが別の法域で使用されなくなれば、より多くのシグナルが見逃されることになります。アジアにおけるボットトラフィックの傾向から知見を得ても、ヨーロッパにおけるボットトラフィックの軽減に利用できないというのがその一例です。 また、ボットトラフィックを特定する機能が阻害されれば、個人データを処理するサービスから有害なボットをブロックする能力も阻害されます。
業界をリードするサイバーセキュリティ対策の必要性は自明であり、データ保護当局がこれを認識していないわけではありません。データ漏洩の被害を受けた企業に対して実施された強制措置を見ると、データ保護規制当局は、GDPR第32条がデータ管理者とデータ処理者に課している「リスクに見合ったセキュリティレベルを確保するための適切な技術的および組織的措置を開発する」義務に沿い、「最新の技術を考慮に入れて」、影響を受けた企業がこれまで以上に強固なサイバーセキュリティ対策を実施するよう主張しています。さらに、データローカライゼーションは、効果的なサイバーセキュリティに不可欠であると一般的に認識されている、サイバーセキュリティを目的とした業界内および政府機関との情報共有を弱体化させます。
このように、GDPR自体は、個人データのプライバシーを確保するための強固な枠組みを定めていますが、GDPRの国境を越えたデータ移転に関する規定の適用によって、GDPRの目的がねじ曲げられ、歪曲されています。木を見て森を見ずという典型的な例ですね。 もしGDPRが、データのプライベート性と安全性を保つことよりもデータのローカライゼーションを優先するような形で適用されれば、一般の人々のデータ保護が損なわれることになります。
インターネットのバルカニゼーションにつながりかねない、IPアドレスへのデータ転送ルールの適用
個人データの実際のプライバシーにとってGDPRの適用が不利益となるもう一つの重要なポイントは、インターネットのコンテキストにおける「個人データ」という用語の定義方法、特にインターネットプロトコルまたは「IP」アドレスに関する定義方法です。IPアドレスが常に個人データとして扱われ、したがってGDPRのデータ移転ルールの対象となる世界は、ヨーロッパのインターネットを壁で囲うことを必要とする危険な世界です。 前述のように、これはデータ・プライバシーに深刻な影響を及ぼす可能性があり、言うまでもなく、EUは数多くのグローバルな市場、情報交換、ソーシャルメディア・プラットフォームから切り離されることになるでしょう。
これは少し複雑な議論なので、細かく観てみましょう。ほとんどの人が知っているように、IPアドレスはインターネットのアドレス体系です。Webサイトにリクエストを送信したり、電子メールを送信したり、何らかの方法でオンライン通信を行う場合、IPアドレスはリクエストをアクセスしようとしている宛先に接続します。これらのIPアドレスは、インターネットトラフィックを必要な場所に確実に届けるためのキーです。 インターネットはグローバルなネットワークであり、IPアドレスを含むインターネットトラフィックが国境を越える可能性は十分にあります。実際、アクセスしようとしている目的地が、まったく別の法域にある場合もあります。それがグローバルインターネットの仕組みなのです。ここまではOKですね。
しかしながら、もしIPアドレスを個人データとみなすのであれば、GDPRに基づくデータ移転制限の対象となります。そして、近年の規定の適用のされ方により、一部のデータ規制当局は、データが米国に渡る可能性がある場合、IPアドレスは管轄権の境界を通過することはできないと言い出しかねない状況でした。EUは最近、EU-USデータプライバシーフレームワークを承認し、同フレームワークの認証を受けた米国企業に対する適切性が確立されているため、国境を越えたデータ移転は現在のところ問題になっていません。しかし、Schrems II 判決でEU-USプライバシーシールドが無効になったように、データプライバシーフレームワークが無効になれば、GDPRが適用されることになり、表向きEU居住者にリンクされたIPアドレスが米国で処理できなくなったり、EUから出られなくなったりする可能性があります。
もしそうなれば、プロバイダーはIPアドレスが法域を絶対に越えないようにするために、ヨーロッパだけのネットワークを開発しなければならなくなります。しかしながら、EUのIPアドレスが米国に移転としたら、EUと米国の人々はどのように通信するのでしょうか?EU市民には、米国に保存されているコンテンツへのアクセスが制限されるのでしょうか?これはGDPRの不合理な結果を招く適用です。しかし、 Schrems II 事件とGDPRの適用方法を考慮すると、私たちはこの状況にあるのです。
考えられる解決策は、IPアドレスは必ずしもGDPRの対象となる「個人データ」ではないと解釈することでしょう。2016年、GDPRが施行される前であるにもかかわらず、EU司法裁判所(CJEU )は、 Breyer v. Bundesrepublik Deutschlandにおいて、 IPアドレスを処理する事業者がIPアドレスを個人と関連付けることができれば、インターネットに新たに接続するたびに変化する動的IPアドレスであっても個人データに該当するという見解を確立しました。同判決は、動的IPアドレスは必ず 欧州データ保護法上の個人データであるとは述べていませんが、EUのデータ規制当局が同判決から読み取ったのはまさにこのことであり、事業者サイドにIPアドレスを実在の個人と結びつける方法があるかどうかは考慮されませんでした。
現在、識別子がどのような場合に「個人データ」とみなされるかという問題が、再び欧州司法裁判所(CJEU)で争われています。 2023年4月、EUの下級一般裁判所はSRB v EDPS事件で、データ受信者がデータ対象者を再識別できるような合理的な追加情報を持っておらず、そのような情報にアクセスする法的手段もない場合、送信データは匿名化され、したがって、必ずしも個人データとはみなされないという判決を下しました。控訴人である欧州データ保護監督機関(EDPS)はこれに同意していません。 EDPSは、主にEUの機関や団体のプライバシーコンプライアンスを監督しており、この決定を不服として、識別子を保有する主体が実際にそのように個人にリンクする手段を持っているかどうかにかかわらず、その識別子が個人にリンクされる可能性がある場合は、一意の識別子は個人データとして扱われるべきだと主張しています。
もし下級審の常識的な判決が成り立てば、IPアドレスを個人と結びつける手段を持たないCloudflareのような事業体によってIPアドレスが処理される場合は、IPアドレスは個人データではないと主張することができます。IPアドレスが常に個人データであるとは限らないのであれば、IPアドレスは必ずしもGDPRの国境を越えたデータ移転に関する規則の対象となるわけではありません。
直感に反するように思われるかもしれませんが、IPアドレスは「個人データ」ではない場合もあるという基準を持つことは、プライバシーにとって実際に好ましいことです。IPアドレスがインターネットを自由に行き来できるようになれば、EU域内の事業体はEU域外のサイバーセキュリティプロバイダーを利用して、個人データの安全確保を支援することができます。DDoS攻撃から保護するためにIPアドレスを調べる高度な機械学習/予測AI技術は、ボットを防止し、あるいは個人データ漏洩から保護するために、世界中から攻撃パターンと脅威インテリジェンスを引き出すことができるようになり、EUの事業体と居住者の利益になります。 しかし、GDPRの下で、IPアドレスは常に個人データであり、GDPRのデータ移転規則がEUの居住者にリンクされたIPアドレスは決して米国に流れないと解釈される世界では、これらのメリットはいずれも実現されません。
プライバシーの重視
このたびの「データプライバシーデー」にあたり、CloudflareはEUの政策立案者に対し、GDPR が実際にどのように機能しているかを注意深く観察し、GDPR がプライバシー保護を他のすべての考慮事項よりも優先させるような方法で適用されている事例、そしてGDPRの第32条で義務付けられている、技術の最先端を考慮した適切なセキュリティ対策に留意するよう強く求めます。これが実現してしまうと、実際にプライバシーが損なわれる可能性があります。極端に言えば、この定型的なアプローチにより、サイバーセキュリティとデータ保護に悪影響が及ぶだけでなく、国境を越えたデータの流れに依存するグローバルなインターネットインフラ全体の機能さえも危うくなるでしょう。では、これを回避するためにはどうすればいいのでしょうか?
Cloudflareは、第一に、EUの政策立案者はIPアドレスが実在の人物と関連付けられない場合には、個人データと見なすべきでないという規制当局のためのガイドライン(法的な明確化ではないにせよ)を採用すべきであると考えます。第二に、政策立案者は、GDPRのアプリはデータ処理のサイバーセキュリティ上の利点を念頭に置いて検討されるべきであることを明確にすべきです。サイバーセキュリティを処理の正当な利益として正しく認めているGDPRの既存の49項に基づき、サイバーセキュリティの目的でEU域外で処理する必要がある個人データは、GDPRの国際データ移転の制限から除外されるべきです。そうすれば、現在データのローカライゼーションをデータプライバシーの代用とみなす考え方がもたらす最悪の事態をいくらか避けることができるでしょう。 このような転換により、GDPRは真にプライバシー保護のために適用されることになるでしょう。
1 C-311/18、データ保護委員会対Facebook IrelandおよびMaximillian Schrems。
2 Swire, Peter and Kennedy-Mayo, DeBrae and Bagley, Andrew and Modak, Avani and Krasser, Sven and Bausewein, Christoph, Risks to Cybersecurity from Data Localization, Organized by Techniques, Tactics, and Procedures (2023年)。
3 欧州のデータ保護当局、すなわちオーストリアのDSB(2021年12月)、フランスのCNIL(2022年2月)、イタリアのGarante(2022年6月)によるさまざまな決定は、Google Analyticsの使用を分析しながら、Breyer事件で使用された相対的アプローチを否定し、IPアドレスは常に個人データとみなされるべきであると考えている。スペインのAEPDが出した判決(2022年12月)のみが、Breyer事件と同じ解釈に従っている。さらに、 監督当局によるテレメディアプロバイダーのためのガイドライン、DSK(2021年)の第109項および第136項を参照のこと。
4 Single Resolution Board対EDPS、EU司法裁判所、2023年4月。