Workplaceのデータ移転に関するよくある質問
Workplaceでは、お客様のプライバシーとセキュリティの確保に全力を注ぎ、世界レベルのインフラストラクチャとエンタープライズレベルのセキュリティ機能でWorkplaceコミュニティの安全を確保しています。本記事では、欧州経済地域(EEA)から米国へ移転されるデータを安全に保護するための取り組みについて、詳しく説明したいと思います。以下のよくある質問で、弊社がデータを移転する方法と理由や、データを移転する際に講じている保護対策について説明します。
Workplaceデータは欧州経済領域(EEA)の外へ移転されますか。
はい。Workplaceサービスを提供するには、EEA域外へデータを移転し、弊社のグローバルなインフラを活用できることが不可欠です。この移転は、Workplaceオンライン利用規約と、特に欧州からのデータ移転に関する補足に従って行っています。Meta Irelandによって処理されたWorkplaceの顧客データは、Workplaceオンライン利用規約に記載された目的のために、米国を含むEEA域外の国へ移転されます。このデータ移転は、Workplaceサービスを運用および提供するために必要です。
Workplaceはどのような仕組みを使ってEUから米国へデータを移転しますか。
2023年9月7日以降、弊社は新しいデータプライバシーフレームワーク(DPF)に基づいて、Workplaceの顧客データをEUから米国へ移転します。DPFにより、EUと米国間の長期にわたる法の抵触が解決されます。また当面、欧州でサービスを継続的に提供するための法律上の明確さが得られます。
DPFは、欧州委員会による十分性認定の採択を経て、この夏に有効になりました。これは、欧州の利用者のデータを継続的に保護するとともに、欧州と米国の間でデータを移転する、大西洋両側の何千もの企業の法的保護を更新する強固な協定です。これにより、欧州と北米の企業間の重要なデジタル接続が中断なしで継続されることが保証されます。
MetaはWorkplaceデータをEEA域外へ移転する際に、どのような保護手段や安全対策を講じていますか。
弊社は、EEA域外へ移転されるWorkplaceデータについて、次のような安全対策や手段を講じています。
セキュリティ:
弊社は、Workplace用の情報セキュリティ管理システム(ISMS)を運用しています。ISMSの運用目的は、Workplaceの情報アセットの機密性、保全性、可用性を確立・維持し、継続的に改善するとともに、Workplaceプラットフォームの利用者の信頼を確保することです。これにより、弊社はWorkplaceが取得したISO27001とISO27018を維持できます。また、SOC2レポートや、Workplaceオンライン利用規約のデータセキュリティに関する補足に記載された強力な技術安全対策を運用できます。ISO27001とISO27018に準拠することで、Workplaceは運用や情報を社内外の脅威から保護すべく注力していることを示します。
通信データを暗号化して解読不能に:
弊社では、パブリックネットワーク経由で送信されるデータの機密性を保護・維持するように設計された、業界標準の暗号化アルゴリズムやプロトコルを採用しています。高度な暗号化アルゴリズムを採用することで、送信中のWorkplaceデータに第三者がアクセスできないようにしています。
運用ポリシーと手続き:
政府機関からの情報開示要請に対し、Workplaceデータを適切に保護するために、厳密なポリシーと手続きを定めています。政府からWorkplace利用者データの開示要請があっても、それが適用法および弊社ポリシーに反するものではないと確認できるまでは、その要請に応じることはありません。不当な要請(範囲が広すぎる、法的根拠に欠けるなど)については、拒否するか撤回を求めます。また関係当局に向けては情報開示要請についてのガイドラインを公開し、要請は必要かつ適切で、具体的なものとし、適用法に厳密に準拠した範囲内に留めることを奨励しています。政府機関の情報開示要請に弊社がどのように対応するかについて、詳しくは政府要請の審査に関するよくある質問をご覧ください。
政府に「バックドア」アクセスを提供しない: 弊社は、いかなる政府にも直接アクセスや暗号化の「バックドア」を提供しません。そのような方法で弊社のサービスを意図的に脆弱化した場合、弊社のグローバルサービスの利用者を保護するために必要なセキュリティを損なうことになると考えています。
監督体制:
社内に専任のLaw Enforcement Response Team (LERT、法執行機関対応チーム)を設置しています。ここではトレーニングを受けた人員が、政府からのすべての利用者データ開示要請に対し、緊急事態に基づき発行されたものか、法執行機関や国家安全保障当局が法的手続きに則って提出したものかを問わず、個別に審査と評価を行います。各要請が適用法および弊社ポリシーに沿ったものであるかどうかがチェック対象となります。
Metaの透明性レポート:
弊社が政府から受理した情報開示要請についての情報を、透明性レポートにまとめて公開します。このレポートには、米国の外国諜報監視法(FISA)に基づき行われた要請についても、米国法において公開が認められる範囲で最大限の情報を記載します。
アドボカシー:
弊社は、米国や欧州をはじめとする各国政府が国民のデータを保護し濫用を防ぐために取り組んでいることを理解し、弊社の担うべき役割を果たすために尽力しています。各国政府に対しては、国民の権利を尊重したアプローチを取るよう積極的に働きかけています。弊社が加盟するアドボカシー団体の一つであるGlobal Network Initiativeは、世界のインターネット利用者の表現の自由とプライバシー権を擁護することを使命としています。また弊社は「政府によるデータ開示要請は厳格な規制のもと、対象を絞り、透明性を確保し、強力な監督体制とエンドツーエンド暗号化による保護下で行われるべきである」と提唱するReform Government Surveillanceの設立メンバーでもあります。弊社は監督体制の改革を支持しており、各国政府や規制当局にも頻繁にこの推進を働きかけています。
個人の権利:
個人は、EU法と米国法の定める権利に加え、米国の代替的紛争解決機関であるTRUSTeを通じてMetaのDPF認定に関する苦情申し立てまたは質問を行う権利を有しています。
MetaはWorkplaceに関する法執行機関からの要請にどのように対応しますか。
弊社のポリシーに基づき、まず要請元の政府機関に当該Workplace利用者へ直接連絡してもらいます。弊社に対しWorkplace上の顧客データに関する開示要請がなされた場合、政府からの要請に関するよくある質問に記載されているポリシーと手続きが適用されます。
どの政府機関からの要請かに関わらず、弊社は政府機関から受理した要請をすべて精査し、その法的な有効性を確認します。要請が適用法または弊社のポリシーに合致していないと判断した場合は、これを発行元に差し戻し、問題と思われる点を修正するように働きかけます。不当な要請(範囲が広すぎる、法的根拠に欠けるなど)については、撤回を請求するか、要請を拒否します。また関係当局に向けては情報開示要請についてのガイドラインを公開し、要請は必要かつ適度で、具体的かつ適用法に厳密に準拠した範囲内に留めることを推奨しています。
このような要請については、弊社は厳格なポリシーを定め、どこの政府からの要請であろうと、必ず精査したうえで対応します。弊社は、米国の政府機関からの法的に有効かつ強制力を持つ要請に対しては、これを遵守する義務があります。弊社がデータ開示に応じるのは、要請が適用法および弊社ポリシーに則って行われた場合に限り、その場合にも各要求を満たす最小限のデータのみを提出します。