Zoom と EU 一般データ保護規則(GDPR)
改訂日: 2022年12月30日
Zoom のミッションは、シームレスなビデオ コミュニケーションを通じて幸せを届けることであり、当社は、その実現のためにはプライバシーとセキュリティが必要であることを理解しています。 そのため、当社は欧州経済地域(以降「EEA」)におけるデータ プライバシー義務、主に一般データ保護規則(以降「GDPR」)に準拠した最高のレベルで、お客様の通信を保護し、通信の安全を保つよう努めています。
Zoom は、すべての人の利益のためにより強力なデータ保護基盤を構築する機会となった、GDPR を称えます。 Zoom は、当社のお客様(データ コントローラ)が、Zoom(データ プロセッサ)が GDPR のコンプライアンス義務に合致する方法で、技術的および組織的な対策を確実に実装していることを確認する必要があることを認識しています。 Zoom は、データ コントローラ としてのお客様のロールをサポートするためにここにいます。
以下の重要な事実は、Zoom のデータ保護慣行に対するコミットメントを表しています。
すべての Zoom のお客様への契約上の GDPR コミットメント
GDPR では、データ コントローラ(Zoom のサービスを使用する組織や開発者など)は、データ コントローラの代わりに個人情報を処理し、GDPR の特定の要件を満たす十分な保証が提供できるデータ プロセッサ(Zoom など)のみを使用することが要求されます。 Zoom は、Zoom データ処理補遺を Zoom サービス規約に組み込むことで、すべてのお客様にこれらのコミットメントを提供します。
GDPR に関連する Zoom の契約上のコミットメント:
- Zoom は透明性を保ち、当社のサービスの提供に関する契約に記載されているケースでのみ、またはお客様から指示された場合にのみ、個人情報を使用することを約束します。
- Zoom は、適切な技術的および組織的なセキュリティ対策を維持し、処理する個人情報を保護します。
- Zoom は、データ主体が、当社のサービスを使用して処理された個人情報に付随する権利(情報の要求、アクセス、修正、削除など)を行使する際に、お客様が義務を果たすことをサポートします。
国際的なデータ転送のサポート
2020 年 7 月、欧州連合の司法裁判所(以降「CJEU」)は、EEA 外でのデータ転送の有効性に関する訴訟 C-311/18 の判決(一般的に「Schrems II 判決」と呼ばれる)を下しました。 Schrems II 判決は、オーストリアのデータ主体である Maximillian Schrems による、個人情報が米国に転送され、米国政府機関がデータにアクセスする可能性に対する苦情に関するものです。
Schrems II 判決で CJEU は、EU と米国間のプライバシー シールドの枠組みが、もはや EEA から米国に個人情報を転送するための合法的な手段を提供していないと判断しました。
しかし重要なことは、CJEU が、Zoom の国際転送の基礎となっている欧州委員会の標準契約条項(以降「SCC」)が、引き続き EEA から EEA 外の国に個人情報を転送するための合法的なメカニズムであると判断したことです。
この判決の後、欧州委員会は 2021 年 6 月に新しい SCC を発表しました。 Zoom は、欧州委員会が指定した移行期間(すなわち、新たな契約の場合は 2021 年 9 月 27 日まで、既存の契約については 2022 年 12 月 27 日まで)に従って、対象の契約に新しい SCC を組み込みました。詳細については、新しい SCC に関するお客様向けのよくあるご質問をご覧ください。
新しい要件:「自分の転送を知る」
Schrems II 判決はまた、新しい要件を生み出しました。 十分なレベルの保護を確保していないと思われる EEA 外の国に個人情報を転送する前に、データ発信者は、SCC がデータ転送先の国で、個人情報が EU のデータ保護規則と「本質的に同等」レベルで保護されていることを十分に保証しているかどうかを確認する必要があります。
言い換えれば、SCC に頼る前に、データ発信者とデータ受信者は、データ転送先の国の法律と慣行が、他の方法で提供される保護のレベルを損なう可能性があるかどうかを確認することが期待されています。 この評価に関してお客様をサポートするため、Zoom は次の製品でデータ転送影響評価を実施しました。
Zoom Meetings、Zoom Webinar、Zoom Team Chat のデータ転送影響評価
Zoom Phone のデータ転送影響評価
Zoom Contact Center のデータ転送影響評価
欧州経済領域または英国から米国にある Zoom にパーソナル データを転送するとき、Zoom が講じている対策と追加の保護対策についての詳細情報は、Zoom の「よくあるご質問(FAQ): 国際的なデータ転送」をご覧ください。
欧州のデータを確実に保護するための強力かつ具体的な措置
Zoom は、高レベルのセキュリティを維持することをコミットします。
- Zoom は、さまざまな暗号化テクノロジーを活用して、転送中および保管中のデータを保護します。
- Zoom は、セキュリティ対策によって、当社の処理システムおよびサービスの継続的な機密性、完全性、可用性、復元性をサポートします。
- Zoom は、物理的または技術的なインシデントが発生した場合に、可用性を回復し、迅速に当社の処理システムおよびサービスへのアクセスを行えるようにする措置を講じます。
- Zoom は、処理するデータのセキュリティをサポートするための、技術的および組織的な対策の有効性を、定期的にテスト、計測、評価するためのプロセスを実装します。
具体的には、Zoom のプラットフォームに送信および保存される際の通信のセキュリティを有効にするための Zoom のセキュリティ対策には、次のようなものがあります。
- ミーティングのエンドツーエンド暗号化オプション: ユーザーは、Zoom Meeting のエンドツーエンド暗号化を有効にすることができます。 Zoom を含むサードパーティはミーティングの秘密キーにアクセスできないので、高いレベルのセキュリティが提供されます。
- デフォルトの暗号化: 指定のデバイスと Zoom の間の通信は、デフォルトで、TLS 1.2+(トランスポート層セキュリティ)、高度暗号化標準 256 ビット AES GCM 暗号化、および SRTP(セキュア リアルタイム トランスポート プロトコル)を使用して暗号化されます。 使用される正確な方法は、ユーザーが Zoom クライアント、ウェブブラウザ、サードパーティ製のデバイスまたはサービス、または Zoom Phone 製品のどれをを利用しているかによって異なります。 詳細については、 暗号化に関するホワイトペーパーを参照してください。
- 承認されていないミーティング参加者からの保護: Zoom では、承認されていない参加者がミーティングに参加できないよう、次のような多数の安全対策と制御を実装しています。
-
- 11 桁の固有ミーティング ID
- 複雑なパスワード
- 自社のドメインまたは選択した別のドメインの参加者を自動的に受け入れる機能を持つ待機室
- ミーティングに参加できないようにするロック ミーティング機能
- 参加者を削除する機能
- 登録済みユーザーのみに入室を許可するか、特定のメールドメインに制限する認証プロフィール
- At-Risk Meeting Notifier は、Zoom Meeting のリンクが投稿されていないか、公共のソーシャル メディアサイト上の投稿やその他の公開オンライン リソースへの投稿をスキャンできます
- 選択できるミーティング出席依頼: ホストは、メール、チャット、または SMS を選択して参加者を招待できます。 これにより、ミーディングへのアクセス情報の配布をより制御しやすくなります。 ホストはまた、特定のメールドメインからのみ参加を許可するミーティングを作成できます。
- ミーティング中のセキュリティ: ミーティング開催中は、Zoom はリアルタイムでリッチ メディア コンテンツを Zoom Meeting の各参加者に安全に届けます。 ミーティング内の参加者と共有できるすべてのコンテンツは、オリジナルデータの内容だけです。 このコンテンツは、実装されたセキュリティ機能を使用して、共有用に暗号化および最適化されています。
- ホスト コントロール: ミーティング ホストのコントロールを使用することで、参加者による共有、チャット、名前の変更を有効または無効にできます。
- 報告: ユーザーを報告する機能を使用すると、ミーティングのホストが問題のある動作にフラグを立てられるようになります。
- 製品内セキュリティ コントロール: メイン インターフェースに専用のセキュリティ アイコンを持つセキュリティ コントロール。
- ロールベースのユーザー セキュリティ: ホストは、ミーティング開催前のセキュリティとして次の機能を利用できます。
-
- 標準のユーザー名およびパスワードまたはセキュリティアサーションマークアップ言語(SAML)シングルサインオンを使用した安全なサインイン
- パスコードを使用してミーティングを安全に開始
- パスコードを使用してミーティングを安全にスケジュール
- ロボコール防止: ユーザーは、すべてのプラットフォームでレート制限と reCAPTCHA(人の介入が必要)を有効にして、ロボコールを防止することができます。
転送中のデータと保管時のデータに関する選択肢
Zoom は、お客様が、転送中および保管時にデータを処理するデータセンターを選択したい場合があることを理解しています。
伝送中のデータ、あるいは移動中のデータは、ある場所から別の場所へアクティブに移動しているデータです。例えば、インターネットあるいはプライべート ネットワークをまたがって、移動するデータなどです。 伝送中のデータについて、有料アカウントのアカウント保有者と管理者は、リアルタイムのミーティングやウェビナーのデータ転送のホストについて、特定のデータセンター リージョンをオプトアウトすることができます(このヘルプ記事をご参照ください)。 Zoom は、アカウント管理ダッシュボードを介して、データ ルーティングの透明性を提供します。
保存データは、複数のデバイス間や複数のネットワーク間でアクティブに移動していないデータです。例えば、クラウド データセンターに保存されているデータなどです。 お客様は、お客様の保存コンテンツの一部について、データ ストレージ場所を選択できます。
「お客様のコンテンツ」とは、お客様が Zoom のサービスに投入して処理したり、ストレージや追加処理のために Zoom のクラウド サーバーにアップロードしたりするテキスト、サウンド、ビデオ、画像ファイルを含むすべてのデータです。 たとえば、お客様のコンテンツには、ビデオ レコーディング、クラウド レコーディング、文字起こし、ミーティング内チャット、常設のチャット、ミーティング内で交換されるファイルが含まれます。
お客様のコンテンツを Zoom クラウド サービスにアップロードした場合、そのコンテンツは Amazon ウェブ サービス(以降「AWS」)のグローバル ネットワーク上にホストされます。 お客様の組織が当社のコミュニケーション コンテンツ ストレージ機能を使用している場合、それぞれの Zoom のお客様に適用されるデータセンターのホスティング場所が変わることがあります。 このストレージ機能により、グローバル チームは、保存する特定の種類のデータが格納されるリージョンを選択できます。 特定のカテゴリのデータは、米国で処理されることに注意してください。
政府による情報要求に対応するための厳格なプロトコル
Zoom はお客様およびユーザーのプライバシー保護に全力で取り組んでいます。当社の政府要請ガイドおよび関連する法的方針に従って、有効かつ合法的な要請に応じる場合のみ、ユーザーデータを政府に提供しています。
すべての地域で:
- 政府のリクエストは、適切な法律と規則の下で、公式な署名付きの書類または行政機関の公式なメールアドレスから送信されるメールなど、公式なチャネルを通じて出される必要があります。
- 各リクエストは明示的で、過度に広範ではなく、有効な法的根拠がある必要があります。 これらの要件を満たさないリクエストについては、拒否するか、異議を申し立てます。
- ユーザー情報に対する政府のリクエストについては、コラボレーションの成功を世界中で推進する当社の原則と利害関係にもとづいて、追加の精査を行います。
リクエストが曖昧すぎる場合、Zoom は送信される情報のスペクトルを最小限に抑えるために、リクエストに対して異議を申し立てます。
Zoom は通常、ユーザーへの通知を法的に禁止されていない限り、政府による情報リクエストについて、受信したリクエストのコピーを含めて、ユーザーに通知します。 ユーザーに対する通知の例外のリクエストには、緊急事態または通知の潜在的な逆効果に関する説明が含まれている必要があります。
透明性の向上
- 透明性報告書: Zoom は、2020 年 12 月に、米国および海外当局から受け取ったリクエストの数に関する最初の報告書を発表しました(政府リクエスト透明性報告書)。 透明性報告書は、以前のものよりも改善していく予定です。 最新の透明性報告書はこちらからご覧いただけます。 他の透明性報告書は、Zoom トラスト センターからご覧いただけるようになります。
- 製品内通知: Zoom は、継続的な更新を行って、機能別のプライバシー通知を Zoom 体験に統合することで、Zoom で共有されるコンテンツや情報を閲覧・共有できる可能性のあるユーザーが、状況に応じて把握できるようにしています。 たとえば、Zoom のチャット機能で送信したメッセージを閲覧できる人を知りたい場合、「メッセージを閲覧できるユーザー」にアクセスすると、全員宛のメッセージやプライベートで送信したメッセージにアクセスできるユーザーを確認できます。
Zoom は、最前線で GDPR 要件に適応するサービスを設計します
Zoom は、GDPR 要件に適応し、当社のサービスを通じて処理される個人情報の保護を促進する製品機能を構築するために、最大限の努力をしています。 当社のデータ慣行の詳細については、当社のプライバシー ステートメントを参照するか、GDPR に関する質問がある場合は、privacy@zoom.us にメールでお問い合わせください。