GDPRがメールに与える影響と、カバーされない領域

データ保護規制は、企業がソフトウェアをどう選ぶかという考え方を一変させた。メールも例外ではない。プロバイダを見直す理由として、GDPRはしばしば引き合いに出される。だが「GDPR準拠」というラベルは、いまや広く貼られすぎていて、文脈によってまったく違う意味で使われていることもある。

GDPRが求めるもの

核心はシンプルだ。個人データは特定の目的のために収集し、その目的の範囲でのみ使い、相応の注意をもって保護し、不要になったら削除する。これがGDPRの土台である。

メールに当てはめると、実務上いくつかの意味を持つ。データは定められた、保護された場所に置かれるべきだ。アクセスは制御され、ログに残されるべきだ。ユーザーや組織が削除を要求したら、その削除は本物でなければならない。データベース上はフラグを立てるだけで、実際のコンテンツは何年も残り続ける、というのは論外だ。

最後の点は、聞こえる以上に重要だ。本当の削除とは、データベースが削除を実行し、バックアップも定められたスケジュールで失効すること。難しい話ではないが、意図的に設計する必要がある。

「準拠」が複雑になる場面

GDPRが扱うのはデータ保護だ。プロバイダが自社システムの中でユーザーデータを使うこと自体を禁じているわけではない。利用規約に明示されていれば問題ない。プロバイダが完全にGDPR準拠でありながら、メール内容を社内モデルの学習に使ったり、フィルタリングシステムを改善したり、プロダクトの判断材料にしたりすることは十分にあり得る

たいていの人は規約を細かく読まない。「準拠」と書いてあれば、自分のやり取りはプライベートに扱われるはずだと思い込む。だがこの二つは、必ずしも一致しない。

メール通信におけるGDPRは少し違う

GDPRの議論の多くは「同意」を中心に展開する。受信に同意したか、データ処理に同意したか。だが、通常の業務メールはそれとは構造が違う。取引先が見積もりを送ってくる、クライアントが要件を投げてくる、同僚がドキュメントを転送してくる——誰も何にもサインしていない。誰も明示的にオプトインしていない。

メールの内容はGDPR上の個人データである。名前、メールアドレス、添付ファイル、人物に関する会話——すべてが規制の定義する個人データに含まれる。送信者の名前はヘッダーにある。その言葉は本文にある。人々はパスワードやアクセス情報、契約書、財務情報を、それがどこに行き着くかなど考えもせずに送る。GDPRの下では、単独でも組み合わせでも個人を特定し得るデータはすべて該当する。メールのスレッドなど、ほぼ確実に該当する。

では、受信者がそのメッセージを保存し処理する法的根拠は何なのか。GDPRはすべての処理に適法な根拠を求める。受信した業務メールについて最もよく持ち出されるのが「正当な利益」だ。当事者間に関連性と均衡性のある関係がある、という考え方である。平たく言えば、業務の流れの中で受け取ったメールを保存するのは合理的、ということ。意識しているかどうかは別として、ほとんどの組織はこれに依拠している。

合意の不在を、フッターの注意書きで埋めようとする組織もある。「本メッセージは指定された受信者専用であり、無断使用を禁ず」といったあれだ。だが、こうした免責文に法的拘束力はない。送信者がメッセージを手放した後に付けたもので、何の合意もないインフラに届く。意思表示にはなっても、誰も縛らない。法的な話を脇に置いても、もう一つ実務的な論点がある。通信にはプライバシーの期待が暗黙のうちに存在する。規約が何を許可していようと、それは現実だ。プロバイダが——意図的であれそうでなかれ——その期待を裏切ったとき、信頼の毀損はたいてい元に戻らない。

Grace Mailでの考え方

私たちはGrace Mailを、規制の最低ラインを超える原則のもとで設計した。あなたのデータは、あなたの組織の外にいる誰にも——私たちにも——読まれず、使われず、アクセスされるべきではない。

具体的には、クライアントごとに専用インスタンスを用意する。あなた専用のサーバー、あなたのデータ、共有インフラなし。暗号化は徹底的に適用し、コンテンツが暗号化ストレージの外に出ている時間を最小化する。削除要求があれば本当に削除し、バックアップも定められたスケジュールで失効する。さらに開発中のカスタムメールクライアントでは、暗号鍵をユーザー自身の手に直接置くことで、セキュリティをさらに強化する。

これらはどれもGDPRが要求していることではない。それでも、これがベースラインであるべきだと考えている。

万が一何かが起きた場合でも、専用インスタンスというモデルゆえに、影響は一つの組織内に留まる。何百万ものメールボックスではなく、一つだ。

私たちの提言

メールは、何かに迫られないかぎり見直されない。動いているから、そのまま残る。しかしGDPRの執行は成熟しつつあり、通信データをAI学習に使う行為はもはやニッチな懸念ではなくなった。プライバシーを後回しにする企業は、ますます目立ち、ますます責任を問われるようになっている。あなたの会社のメールが実際にどう処理されているか、どこに置かれているか、プロバイダの規約はそれをどう扱うことを許しているか——法務とテクニカルチームに一度確認してみる価値はある。