データ保護影響評価
背景
一般データ保護規則(GDPR: General Data Protection Regulation)は、一般個人の権利と自由に対して高いリスクをもたらす可能性のあるデータ処理について、データ保護影響評価(DPIA: Data Protection Impact Assessment)を実施することを義務付けています。GDPRは第35条第1項で以下のように述べています。
- 特に新しい技術を使用する種類の処理が、その性質、範囲、文脈および目的を考慮すると、自然人の権利および自由に対して高いリスクをもたらす可能性がある場合、管理者は、処理に先立って、想定される処理操作が個人データの保護に及ぼす影響の評価を実施しなければならない。
DPIAは、データ管理者の責任であることに留意する必要があります。Viedoc Technologiesが管理するViedocで処理されるデータは、名前、電子メールアドレス、オプションの連絡先、プラットフォームユーザーの使用データなどに限定されます。このデータは、個人の権利と自由に対する高いリスクをもたらすべきではありません。それどころか、この情報は、プラットフォームの情報セキュリティを維持し、それによってリスクを軽減し、そのような権利と自由を保護するために必要なものです。しかしながら、Viedocは、米国のソフトウェア会社であるMicrosoftとそのAzureサービスが提供するインフラを使用して提供されており、2020年7月にEU司法裁判所がEU-米国プライバシーシールドによる保護の妥当性に関する決定2016/1250を無効としたため、その一環として新たに生じたリスクを判断および分析するために、このDPIAが実施されることになりました。
GDPRはさらに、第35条第3項において、次のように述べています。
- 第1項に言及されたデータ保護影響評価は、特に以下の場合に必要とされるものとする。[...] (b) 第9条に言及される特別なカテゴリーのデータを大規模に処理する場合 [...]
第9条第1項及び第2項
- 1. 人種的又は民族的出身、政治的意見、宗教的若しくは哲学的信条又は労働組合への加入を明らかにする個人情報の処理、並びに遺伝情報、個人を一意に識別するための生体情報、健康に関する情報又は個人の性生活若しくは性的指向に関する情報の処理は、禁止されるものとする。
- 2. 第1項は、以下のいずれかに該当する場合は適用されないものとします。
(a) 情報主体が、一つ以上の特定の目的のためにそれらの個人情報を処理することに明示的に同意している場合 [...].
(j) 公益のためのアーカイブ目的、科学的または歴史的な研究目的、または統計目的のために処理が必要な場合 [...]
Viedocは、臨床試験に参加するためにインフォームドコンセントを与えた個人を含む臨床研究を促進するために開発されたソフトウェアプラットフォームです。Viedoc Technologiesの顧客によってViedocプラットフォームで処理される集合的なデータは、大規模なものとみなされなければなりません。Viedoc Technologiesは、Viedocのプラットフォームで処理されるデータについて一切関知していませんが、第9条で列挙された特別な種類のデータ、特に人種や民族の出自を明らかにするデータ、遺伝子データ、健康に関するデータも考慮する必要があります。Viedoc Technologiesはこのデータの管理者ではありませんが、リスクを明らかにし、顧客を教育するために、このDPIAの範囲にこれを入れています。
データ処理の内容、目的、必要性、比例性
データの流れ
データコントローラーとプロセッサーの関係
プロセッシングの法的根拠:
* 登録時のユーザーによる同意 (GDPR Art 6(1)(a)).
** Viedoc Technologiesと顧客との間のマスターサービス契約(MSA: Master Services Agreement)に対するデータ処理契約の付録における指示。
*** データ対象者と状況に応じて、一般的な同意(GDPR Art 6(1)(a))、契約((GDPR Art 6(1)(b))、公共の利益(GDPR Art 6(1)(e)) または管理者が追求する正当な利益GDPR Art 6(1)(f))。
データ対象
Viedocユーザー/使用データ
このデータのために処理される個人情報は、GDPR第9条で列挙されているような特別なカテゴリーのデータを含まず、以下に限定されます。
- 氏名
- 電子メールアドレス
- 電話番号と住所(任意)
- 希望言語
- 使用データ
- Viedocにアクセスするために使用されたIPアドレス
- アクセス時間および長さ
- ブラウザーの足跡(「ユーザーエージェント」)
- Viedocの各リソースにアクセスするために使用されるURL
- Viedocへのリンクを提供したURL(「参照元URL」)
この情報処理は、ユーザーを認証し、真正性を維持し、プラットフォーム上で処理される情報の機密性と完全性を保護することを目的とするものである。これは、この目的を達成するために必要な最小限の情報量であり、次章で説明する研究データの機密性を考慮したものに基づいていると考えられる。
次のような関係者と順序でデータ収集が開始され、法的な根拠が確立される。
試験対象者/研究データ
Viedoc Technologiesは、このデータの「ブラインド」プロセッサーです。したがって、このデータ対象者のために処理される個人情報の詳細は、Viedoc Technologiesにはわかりません。しかし、人種や民族の出自を明らかにするデータ、遺伝データ、健康に関するデータなど、GDPR第9条で列挙されている特別なカテゴリーのデータが含まれている可能性が高いのです。
この情報処理は、臨床研究を含む科学的な研究を行うことを目的としており、その必要性と比例性は研究スポンサー(ほとんどの場合、Viedoc Technologiesの顧客と同じ)の責任となります。データ収集は、通常、倫理委員会および管轄の規制当局の審査および承認を受ける研究プロトコルによって概説されます。
次のような関係者と順序でデータ収集は開始され、合法的な根拠が確立されます。
データローカリティ、サブプロセッサー
ヨーロッパのインスタンス
Viedocのヨーロッパインスタンスの主要なインフラはフランスにあり、MicrosoftとそのAzureプラットフォームがサブプロセッサーとなっています。バックアップストレージとEメール/SMSゲートウェイもヨーロッパにあり、AWS、OVH Cloud 、MailJet、Elastic Email、SMS-Teknikがサブプロセッサーとなっています。
このインスタンスは、GDPRのコンプライアンスを維持する必要があるお客様にお勧めします。
日本インスタンス
Viedocの日本インスタンスの主要なインフラは日本にあり、サブプロセッサーとしてMicrosoftおよびそのAzureプラットフォームが使用されています。バックアップストレージおよび電子メール/SMSゲートウェイは、日本および欧州に配置されており、サブプロセッサーとしてAWS、HENNGE、Elastic Email、およびSMS-Teknikが利用されています。
このインスタンスは、APPI(個人情報保護法)への準拠が必要な顧客に推奨されます。
中国インスタンス
Viedocの中国インスタンスの主要インフラは中国本土にあり、サブプロセッサーは21ViaNet、そしてMicrosoft Azureプラットフォームの国内インスタンスに設置されています。バックアップ・ストレージとEメール/SMSゲートウェイも中国にあり、サブプロセッサーはAliYunとAWS Chinaです。
このインスタンスは、HGRとCSLへのコンプライアンスを維持する必要があるお客様にお勧めします。
米国インスタンス
Viedocの米国インスタンスの主要インフラは米国にあり、マイクロソフトとそのAzureプラットフォームをサブ・プロセッサとしています。バックアップストレージも米国にあり、サブプロセッサーはAWSです。Eメール/SMSゲートウェイはヨーロッパにあり、サブプロセッサーはMailJet、Elastic Email、SMS-Teknikです。
データ対象へのリスクとリスクの軽減
処理の背景
Viedocは臨床研究のためのデータ収集プラットフォームですが、試験の被験者の治療のための医療機器または臨床意思決定支援システムとして使用されることを目的としていません。このことは、すべての顧客が締結する一般取引条件(GTC: General Terms and Conditions)、およびすべてのプラットフォームユーザーが締結する利用規約に明確に記載されています。
さらに、GTCには、Viedocのアラート機能が安全対策、例えば重篤な有害事象を認識する手段として利用される場合は、この機能だけで信頼することはできないことも記載されています。安全対策は別途実施する必要があります。
これらの記述は、プラットフォームの不適切な使用によって生じるリスクを回避するためのものです。プラットフォームの条件に従って使用される場合、Viedocの誤ったデータ、またはデータの取得不可が、プラットフォームで情報が処理される個人に対して直接的な物理的リスクをもたらすべきではありません。
この評価では、機密性とプライバシーに関するリスクに焦点を当てていますが、これはプラットフォーム上で情報が処理されるデータ対象に直接影響を与えるからです。データの完全性と可用性に関するリスクは特定され管理されていますが、ビジネスリスクとしての性格が強いため、ここでは説明しません。
プライバシー・バイ・デザイン及びリスク回避
Viedocプラットフォーム、Viedocサービス、Viedoc Technologiesの組織は、プライバシーと情報セキュリティを念頭に置いて設計されています。デザインによるプライバシーを確保し、最悪のリスクを回避するための対策には、以下のようなものがあります。
- すべてのデータの構造化処理、詳細なデータ目録、データ処理のマッピング
- 公開されたプライバシーポリシーにおけるデータ処理の完全な透明性
- プライバシーポリシーの更新は、ユーザーによって承認されなければならない
- 修正、消去、ポータブル形式でのデータダウンロードのためのセルフサービス機能
- 入力前にデータを匿名化することは顧客の責任であることを示すGTC声明
- Viedoc Technologiesの従業員が顧客データにアクセスすることを防止するための組織的および技術的なアクセス制御
ベースライン・リスク最小化・軽減措置
Viedoc Technologies は、情報セキュリティへの構造的かつ継続的なアプローチを促進するリスクベースの情報セキュリティ管理システム (ISMS) を導入しています。すべてのISO 27001 annex A control は、当社の適用範囲に含まれており、その一部は以下のとおりです。
- 全スタッフの継続的な情報セキュリティ意識向上トレーニング
- 職務の分離
- 開発環境と本番環境の分離
- 最小特権の原則の使用
- ネットワークの細分化、ファイアウォール
- アンチマルウェアの継続的な更新
- 技術的な脆弱性の管理
- 開発ライフサイクルに組み込んだセキュリティテスト
- 継続的な脆弱性スキャン
- 第三者による定期的な侵入テスト
- 外部的および内部的な転送時のエンドツーエンドの暗号化
- 保存データの暗号化
- サブプロセッサーに対する監査およびデータ保護契約の締結
リスクについて
リスク管理は継続的な作業です。Viedoc Technologiesの置かれた状況は常に変化しており、私たちは継続的に新しいリスクを特定し、対処するための手順を導入しています。以下に、これまでに確認された主なリスクのカテゴリーをまとめます。
ハッキングとそれに伴う情報の盗難・漏洩
ハッキングされるリスクは、公共のエンドポイントを介してソフトウェアを配信するすべての人に存在します。私たちは、潜在的な悪意ある攻撃に関連するリスクを特定し、対処するために多大な労力を費やしてきました。
Viedoc Technologiesのリスクデータベースには、これに関連するいくつかのリスクが記録されています。#13, #14, #97, #105, #107, #108, #110, #117, 残留リスクは1-25のスケールで3となっています。#100, #106, #109, #111, #112, #114, #115 は残留リスク評価 4。リスク#122, #123で残留リスク評価6。
サブプロセッサーの SLA または DPA 違反とその後の情報開示
Viedoc Technologiesのリスクデータベースでは、これに関連するいくつかのリスクが扱われています。#190、#194、#203で、残留リスクは1~25のスケールで3となっています。
人為的なミスや手順の失敗とそれに伴う情報漏洩
Viedoc Technologiesのリスクデータベースでは、これに関連する多くのリスクが扱われています。#183、#195、#247で、残留リスクは1~25のスケールで3となっています。#152, #180, #182, #188, #229 は、残留リスク評価6です。
サブプロセッサーによる米国への不当なデータ転送と、それに続く外国政府の監視機関への情報開示
Viedocの欧州インスタンスは、パリとマルセイユにあるMicrosoft Azureの2つのフランス地域にあるインフラを使用して提供されています。サービスレベル契約では、これらの地域内でデータをローカライズすることが保証されていますが、Microsoftは米国企業であるため、米国CLOUD法(2018)、米国FISA改正法§702(2008)、米国大統領令12333(1981)に制約されており、状況によっては、インフラに保存されている情報を米国の情報機関または監視機関に開示しなければならないことがあります。
マイクロソフトは完全な透明性を主張し、そのような要求のすべてに関するレポートを公開しています。さらに、法律で禁止されていない場合は、裁判所の命令を必要とし、要求する機関の権限や管轄を超える要求を拒否または異議を申し立て、暗号化キーを決して開示せず、顧客(Viedoc Technologies)に通知すると保証しています。[4.1]
2023年7月10日、欧州委員会はEU-米国データプライバシーフレームワークに関する妥当性決定を採択しました。この決定により、個人データはEUから同フレームワークに参加する米国企業に安全に移転できると考えられます。[4.2]
マイクロソフトは、「新しいフレームワークを受け入れることを約束し、このフレームワークが企業に対して概説するすべての要件を満たし、または上回ることによって、フレームワーク超えていく」と発表しました。[4.3]
妥当性決定に先立つ2020年11月、欧州データ保護委員会(EDPB)は、個人データの保護に関するEUレベルの遵守を確保するためにSCCを補完する措置に関する勧告を発表しました。 [4.4] この勧告の附属書2には、転送シナリオの例と効果的な補完措置があるかどうかが記載されています。Viedocのプラットフォームにおけるデータ処理をこれらのシナリオに当てはめると、次のようになります。
- [ユースケース1]バックアップやその他の目的のためのデータ保存で、平常時のデータへのアクセスを必要としない場合
有効な技術的対策は、暗号鍵をストレージ提供者に開示しない強力な暗号化に集約されます。Viedoc Technologiesでは、このようなバックアップストレージを実装しています。
- [ユースケース2]匿名化されたデータの受け渡し
顧客およびその指定されたユーザーは、当社プラットフォーム上の研究におけるすべてのデータ入力を管理する。当社プラットフォームには、被験者データの匿名化を当然にはサポートしない機能(eTMF機能の一部のエントリなど)もありますが、当社と顧客との間のデータ処理契約には、Viedocに入力される研究対象データは匿名化されるべきであるという標準要件が含まれています。これには、ユースケース5に該当するいくつかの例外があります。
- [ユースケース5]分割・多人数処理
有効と考えられる技術的手段は、データを意味あるものにするために、異なる管轄区域にある2つ以上の独立したプロセッサーを要求することです。Viedocは、保留中のイベントや活動についてシステムからリマインドを通知する目的で、試験対象者の電話番号や電子メールアドレスを取得することを許可している。この情報は、試験対象者の身元を匿名化を解除し、対象者の身分を明らかにするために使用することができるため、Viedoc Technologiesはこの情報の非対称暗号化と複数当事者による処理を実装しています。これは、マイクロソフトが暗号化キーだけを保持し、リマインダーを送信するときはいつでも、暗号化された情報は、復号化キーを保持する別の中間ホスティングプロバイダーに転送され、SMSと電子メールのゲートウェイに送られる前に情報を復号化することを意味しています。これは、リスクデータベースのリスク#262に相当し、残存リスクは1~25のスケールで8とされています。
- [ユースケース6] クラウドサービスプロバイダーやその他のデータへアクセスする必要のあるプロセッサーへのデータ転送
このケースでは、EDPB は有効な対策を特定しませんでした。このシナリオに該当するデータの種類は1つである。Viedocのユーザー/利用データ[2.3.1]です。この情報はGDPR第9条で列挙されているような特別なカテゴリーのデータを含まず、LinkedInなどのソースでしばしば公に利用可能であり、監視機関や情報機関からの関心を呼び起こす可能性は低いため、Viedoc Technologiesはこれを低リスクのデータ処理と評価しています。リスクデータベースでは、リスク#290と記載されており、リスク評価は1~25のスケールで6となっています。
私たちは、適切性決定と、私たちの業界におけるデータフローの安全性を高める他のすべての進展を歓迎します。Viedoc Technologies は、上記の補足措置を引き続き維持していきます。
参考文献
MS blog post on the additional “Defending your data” protection steps
https://blogs.microsoft.com/datalaw/our-practices/
European Commission adequacy decision
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_372