Cloudflareは、データプライバシーと個人情報の保護への取り組みで業界を先導していることを誇りに思い、同時に、法域を越えた自由なデータフローの必要性を強く支持してきました。データプライバシーデー(国際的には「データ保護デー」とも呼ばれています)の今日、4番目と5番目のプライバシー認証が追加されることを発表でき、嬉しく思います。しかも、それらは世界初の認証です!Cloudflareは、真新しいデータ管理者向けグローバル越境プライバシールール (グローバルCBPR)と処理者向けグローバルプライバシー認証 (グローバルPRP)の審査を無事通過したことを発表する初の組織です。これらの認証は、プライバシーを尊重した越境データフローについて定めるグローバル規格を当社が支持し、遵守する証です。審査を無事通過した組織は、2025年年内と予想される認証制度の公式稼働時に正式に認証を取得します。
グローバルCBPRおよびグローバルPRPへの参加により、Cloudflareはさらなるプライバシー認証を取得します。当社は、プライバシーの国際規格ISO 27701:2019が発行された際にこの認証を最初に取得したサイバーセキュリティ会社の1つであり、2022年にはクラウドプライバシー認証ISO 27018:2019も取得しています。さらに、2023年には3番目となるプライバシー認証を取得しました。欧州連合(EU)の独立監視機関によるレビューを経て、最初の公式なGDPR行動規範であるEUクラウド行動規範を遵守していると認定されました。
これらのプライバシー認証は、Cloudflareがオーストラリア、オーストリア、スウェーデン、米国など世界39の法域において公式なプライバシー認証の主要要件を満たしていることを示しています。さらに4つの法域(英国、バミューダ、モーリシャス、ドバイ国際金融センター)が、グローバルCBPR認証制度への参加と認知を手続き中です。これは、当社が構築したプライバシー慣行が世界各地の政府によって認知されているという安心感を与えるものであり、 Cloudflareのお客様にとって重要です。
この3年間、世界各地の政府が2つの真新しいプライバシー国際規格の整備に取り組んできました。重要なマイルストーンは、グローバルCBPRシステムが確立された2024年4月30日に達成されました。CBPRは任意参加ですが強制執行力を持った説明責任に基づく国際システムで、各国経済間のプライバシーを尊重したデータフローを促進します。CBPRは、個人情報の取り扱いに関する一連のルールを通じて、基本的なレベルのプライバシー保護を消費者に提供します。すべての参加メンバーが消費者のプライバシーを保護することにより、各法域独自のデータ保護法の存在にかかわらず、自由なデータフローが促進されます。
CBPRシステムは、オーストラリア、カナダ、日本、大韓民国、メキシコ、フィリピン、シンガポール、中華台北(台湾)、米国の政府間協議会であるグローバルCBPRフォーラムによって開発されました。英国、バミューダ、モーリシャス、ドバイIFCはCBPRフォーラムの准メンバーであり、将来的に正規メンバーとして参加する意向を示しています。
当社は、グローバルCBPRシステムの稼働開始に向けて昨年から準備を進めてきました。Cloudflareは、2024年5月1日(システム設立の翌日)に参加を申請しました。既に要件審査を無事終えるという主要なマイルストーンを達成しており、2025年年内と予想される公式な認証開始時に、グローバルCBPRシステムと関連するグローバルPRPの新認証を世界で初めて取得します。
グローバルCBPRシステムには、この制度で認証を受けるための50の要件の詳細リストが含まれています。要件は9つのグローバルCBPRプライバシー原則に基づいており、それらの9原則は、プライバシー保護と個人データの越境移動に関するOECD(経済協力開発機構)ガイドラインの中核原則と一致しています。50の要件は、組織で保管する個人情報の収集方法、管理方法、安全管理措置に関するものです。グローバルCBPR認証を取得するためには、50の要件すべてを満たさなければなりません。要件の基礎を成す9つの原則は次のとおりです:
損害の防止 | 通知 | 収集の制限 |
個人情報の利用 | 選択の機会提供 | 個人情報の完全性確保 |
安全管理措置 | 開示と訂正 | アカウンタビリティ |
グローバルCBPRプライバシー9原則
グローバルCBPR認証は、顧客、従業員、求職者の個人情報など、組織が管理する個人情報の取り扱いを対象範囲としています。Cloudflareの場合、これにはネットワーク情報も含まれます。つまり、サービス提供の過程でCloudflareが生成するサーバー、ネットワーク、トラフィックに関するデータが当社グローバルクラウドプラットフォームでどう処理されるかについての観察も対象となります。
関連する処理者向けグローバルプライバシー認証(グローバルPRP)は、別の組織(通常は顧客)に代わって組織が処理する個人情報の取り扱いを対象としています。PRPの18の要件は、別の組織に代わって行う個人情報処理に最も深く関わる2つのプライバシー原則、安全管理措置と説明責任に関連しています。Cloudflareの場合は、お客様との契約に必ず含まれるデータ処理補遺条項(DPA)に基づくデータ処理、主に当社のネットワーク上を流れるお客様コンテンツと、それらのデータフローによって生成されたカスタマーログが対象となります。グローバルPRP認証を取得するには、18の要件すべてを満たさなければなりません。
前述のとおり、グローバルCBPRとグローバルPRPの主な要件は、通知、選択機会、収集制限(データ最小化)、データ主体の開示・訂正請求権、十分な安全管理措置、損害防止、個人情報の完全性確保、説明責任、個人情報の利用といったよく知られたデータ保護原則をカバーしています。これらの原則をカバーする要件は数十あるため、ここではその一部について触れます。
まず、通知の原則について見てみましょう。CBPRの要件の中で比較的明確なのが質問1です:
上記の個人情報を管理する貴組織の慣行とポリシーについて、明確な記述(プライバシーステートメント)を閲覧しやすい形で提供していますか?
個人情報の収集と利用に関して透明性を確保することは、プライバシーとデータ保護の重要原則であり、透明性はCloudflareのコアコミットメントの一つです。個人情報の利用方法に関する当社の慣行とポリシーを文書化することによって、個人が自分の情報を提供するかどうかを決定することが可能になります。そのため、情報収集時にプライバシー通知を閲覧可能にし、見れる状態にすることがベストプラクティスです。実際、この通知提供の概念はEUのGDPR第13条でも明確に定められています。Cloudflareは、Webサイト各ページのフッターからアクセス可能な明確なプライバシー通知を提供することで、このCBPRの要件を満たしています。また、個人データを収集する際も、Webページ上のフォームなどで通知へのリンクを提供しています。
個人情報の利用方法に関しては、質問8で次のように尋ねられます:
プライバシーステートメントで特定された、収集した個人情報の利用(直接利用か代理の第三者による利用かにかかわらず)は制限されていますか?
収集した個人情報をサービス提供の目的にのみ利用することは、Cloudflareの長年のコミットメントです。当社の基幹ビジネスは、お客様がネットワークアプリケーションを保護し、より高速で、よりセキュアで、より信頼性が高く、よりプライベートなものにするためのツールを提供することです。当社のプライバシーポリシーでは、「最初に利用者へ通知し同意の機会を提供しない限り、利用者の個人情報は当社サービスの提供に必要な場合、あるいはこのポリシーに記載する場合にのみ共有または開示する」ことを約束しています。また、当社が処理するデータと処理の目的を文書化し、(CBPRの説明責任の原則に従って)内部文書として保管しています。
グローバルCBPRとグローバルPRPに共通するもう一つの重要要件は、セキュリティ上の安全管理措置に関するものです。CBPRの質問27では次のように求められます:
情報の紛失、不正アクセス、破壊、利用、改竄、開示、その他の不正利用のリスクから個人情報を保護するために実装している物理的、技術的、管理的な安全管理措置を記述してください。
グローバルPRPにも同様の要件があり、質問2で次のように求められます:
貴組織の情報セキュリティポリシーを実装する物理的、技術的、管理的な安全管理措置を記述してください。
Cloudflareは、ISO/IEC 27000ファミリー規格に従って情報セキュリティプログラムを実装しています。Cloudflareのセキュリティプログラムの詳細は、個人情報保護のために実装した物理的、技術的、管理的な安全管理措置を含めて、Cloudflareの 顧客データ処理補遺条項(DPA)附則2(「技術的および組織的なセキュリティ対策」)で文書化しています。
説明責任の原則に関連して、質問46は次のように尋ねます:
貴組織は、個人情報処理者、エージェント、請負業者、その他のサービスプロバイダーとの間で、それらが貴組織に代わって処理する個人情報について、当該個人に対する貴組織の義務を確実に遂行するためのメカニズムを整備していますか?
当社または当社のお客様の個人情報をベンダーが取り扱う場合は、そのベンダーにデータ処理補遺条項(DPA)の署名を義務付けています。これにより、お客様との契約で当社がお約束するコミットメントは、セキュリティ要件を含めてベンダーにも適用され、ベンダーと当社に説明責任が課されます。
当社は、グローバルCBPR認証の稼働開始(2025年年内と予想)を楽しみにしています。そして、データプライバシーデーの本日、普遍的な個人データプライバシー保護原則へのコミットメントを改めて示せたことを誇りに思います。
グローバルCBPRシステムとグローバルPRPの詳細、要件完全版(ダウンロード可)、関連最新情報は、globalcbpr.orgでご確認いただけます。
当社の認証に関する最新情報は、信頼ハブでご覧ください。Cloudflareのダッシュボードから当社の認証とレポートのコピーをダウンロードする方法も記載しています。