GDPRがメールに何を意味するのか、そして何をカバーしないのか

データ保護規制は、企業がソフトウェアの選び方を見直すきっかけになってきた。メールも例外ではない。プロバイダを見直す理由としてGDPRが挙げられることは多い。ただし「GDPR準拠」というラベルは広く使われすぎていて、意味するところがバラバラなことがある。

GDPRが求めるもの

本質的にGDPRは、個人データは特定の目的のために収集され、その目的のためだけに使われ、適切に保護され、不要になれば削除されるべきだと定めている。

メールに即して言えば、これはいくつかの実務的な意味を持つ。データは定められた保護された場所に置かれること。アクセスは制御され、ログが残されること。ユーザーや組織が削除を要求したとき、その削除が本物であること——データベース上にフラグだけ立てて、実際のコンテンツは何年も残り続ける、というものではないこと。

最後の点は、聞こえる以上に重要だ。本当の削除とは、データベースがdeleteを処理し、バックアップも定められたスケジュールで失効することを意味する。難しい話ではないが、意図がいる。

「準拠」が複雑になるところ

GDPRはデータ保護を扱う。ただし、プロバイダが自社のシステム内であなたのデータを使うこと自体を禁じてはいない——利用規約に明記されている限りは。プロバイダがGDPRに完全に準拠したまま、メール内容を社内モデルの学習に使ったり、フィルタリングシステムを改善したり、製品判断の材料にしたりすることはありうる。

たいていの人は規約を細かく読まない。「準拠」と書いてあれば、自分のやりとりはプライベートに扱われるのだろうと思う。この二つは、必ずしも同じではない。

メール通信におけるGDPRは少し違う

GDPRの議論の多くは同意——本人がそのメールを受け取ることに、自分のデータが処理されることに同意したか——に焦点が当たる。だが日常の業務メールはこれとは違うふうに動いている。仕入先が見積を送ってくる、クライアントがブリーフを送ってくる、同僚が資料を転送してくる——誰も何かに署名したわけではない。誰もオプトインしていない。

メールの中身はGDPRにおける個人データだ。名前、メールアドレス、添付ファイル、人についての会話——すべて規則の定義に該当する。送信者の名前はヘッダーに、その言葉は本文にある。人々はパスワードや認証情報、契約書、財務情報を送る——その中身が実際どこに行き着くのか、二度と考えることもなく。GDPRのもとでは、単独または組み合わせて個人を特定できるあらゆるデータが該当する。メールのスレッドなど、簡単に該当してしまう。

では、受信者がそのメッセージを保管・処理する法的根拠は何か。GDPRはすべての処理に適法な根拠を求める。受信した業務通信について最もよく挙げられるのが「正当な利益」——当事者間に関連性があり比例的な関係がある、という考え方だ。要するに、業務の流れで受け取ったメールなのだから、保管するのは合理的だ、ということ。これが多くの組織が、自覚しているかどうかは別として、依拠している根拠である。

合意がないという問題に、フッターの免責文で対応しようとする組織もある。本メッセージは指定された受信者のみを宛先としており、無断利用は禁じられている、といった一文だ。これらの免責文に法的拘束力はない。送信者がすでに自分の手を離れたメッセージに付け加えたものであって、何の合意もないインフラに届いている。意思表示にはなるかもしれないが、誰かを縛るものではない。そして法的な問いの先に、実際的な問題もある。通信に対する暗黙のプライバシー期待は、規約が何を許容しているかとは無関係に、現に存在するということだ。その期待がプロバイダによって——意図的にせよそうでないにせよ——裏切られたとき、信頼への損傷はたいてい元に戻らない。

Grace Mailでの考え方

Grace Mailは、規制の最低基準を超えた原則のもとに設計している。あなたのデータは、組織の外にいる誰にも——私たちを含めて——読めず、使えず、アクセスできない状態であるべきだ。

実装上はこうなる。クライアントごとに専用インスタンス——あなたのサーバー、あなたのデータ、共有インフラなし。暗号化はアグレッシブに適用し、コンテンツが暗号化ストレージの外に存在する時間を最小化する。要求があれば本当に削除し、バックアップも定められたスケジュールで失効する。そして開発中の独自メールクライアントは、暗号化キーをユーザー自身の手に渡すことで、セキュリティをさらに強化する。

これらはどれもGDPRが求めているものではない。それでもベースラインであるべきだと考えている。

万が一何かが起きたとしても、専用インスタンス方式なら影響は一組織に閉じる。何百万ものメールボックスではない。一つだけだ。

私たちの提案

メールは何かに迫られるまで見直されることがない。動いているから、そのまま残る。だがGDPRの執行は成熟しつつあり、通信データでAIを学習させることはもはやニッチな懸念ではなくなった。プライバシーを後回しにする企業はますます目につくようになり——そして、ますます責任を問われるようになっている。法務・技術チームに一度尋ねてみる価値はある。自社のメールが実際にどう処理され、どこに置かれ、プロバイダの規約は彼らに何を許しているのか、と。