マイクロソフトのOffice 365がドイツの学校で違法とされる-再び!

アメリカのクラウドプロバイダーは、ドイツの厳格な個人情報保護法に準拠していないため、ドイツの学校では使用してはならない。

ドイツの学校は、プライバシー侵害のため、Microsoft Office 365を使用してはならない。マイクロソフトとの2年にわたる交渉の末、ドイツデータ保護会議(DSK)は、データ保護と潜在的な第三者アクセスに関する透明性が欠けていることから、ドイツの学校の子供たちの個人データをドイツ国外のマイクロソフトのサーバーに保存してはならないとの厳しい声明を発表した。これは、GoogleやAppleなど、他の米国のクラウドソリューションにも影響を与える可能性があります。


ドイツの学校でOffice 365が禁止に

かつてドイツの学校は、2018年半ばまでマイクロソフトが提供する「ドイツ・クラウド」を利用することができました。その後、マイクロソフトは、プライバシー保護に関してドイツの要件を満たすデータ受託モデルの提供を停止しました。

今回、ドイツデータ保護会議(DSK)は、マイクロソフトがドイツの学校や当局に提供しているものを分析し、非難声明を発表した。

ドイツのDSK関係者によると、Microsoft 365はデータ保護法(GDPR)に違反しているとのことです。したがって、ドイツの学校や公的機関で法的に準拠した使い方をするのには適していない。

マイクロソフトの新しい「製品・サービスデータ保護補遺」に若干の進展が見られるものの、プライバシーとセキュリティに関する法的要件を満たすには決して十分ではありません。

暗号化電子メールサービスTutanotaの創設者であるMatthias Pfauは、次のようにコメントしています。

「アメリカのオンラインサービスが、ヨーロッパのGDPRが成立してから4年以上も経つのに踏みにじり続けているのは信じがたいことです。 明らかに、アメリカの大企業は、「私のサービスを使えば、あなたのデータを使いますよ」というビジネスモデルが彼らにとって非常に有利であるため、どんな苦情にも、また罰則にも我慢しているのです。自発的な協力に頼るのではなく、ここではもっと厳しい結果を引き出さなければならない。例えば、全く別のシステムを使うなどだ。LinuxとLibreOfficeは、学校や当局が直ちに乗り換えるべき非常に優れた代替手段です。学校や当局がマイクロソフトを使い続ける限り(ローカルにインストールされているとはいえ)、マイクロソフトは明らかに欧州のデータ保護規則を尊重する理由を見出さない。"

"電子メールやカレンダーなどの他のクラウドソリューションは、マイクロソフトで使用する必要はありません。現在では、ハノーバーのTutanotaのような、非常に優れた完全暗号化サービスがあります。ここでは、プライバシーとデータ保護が保証され、さらにすべてのデータはドイツのサーバーに保存されています。“

DSKの声明文の内容

DSKは声明の中で、次のように述べています。

「管理者は、GDPR第5条(2)に基づく説明責任を果たすことができなければなりません。5 (2) GDPRに基づく説明責任を常に果たすことができなければなりません。Microsoft 365を使用する場合、マイクロソフトはどの処理操作が行われるかを詳細に開示しないため、「データ保護の補足」に基づいてこの点で困難が予想されます。さらに、マイクロソフトは、どの処理作業が顧客のために行われ、どれが独自の目的のために行われるかを完全に開示していません。 この点に関して契約文書は正確ではなく、会社独自の目的も含め、広範囲に及ぶ可能性のある処理について決定的な評価を下すことはできない。 "

"利用者(従業員や学生など)の個人データを提供者自身の目的で使用する場合、公共部門(特に学校)の処理者を利用することはできない。 “

マイクロソフトの変更は十分ではない

この新しい評価は、マイクロソフトの「製品およびサービスのデータ保護に関する補遺」の更新後に行われたものです。

しかし、この変更は、ドイツの学校や当局のプライバシー要件を満たすには十分ではありません。

マイクロソフトは何を変更したのか?

  1. マイクロソフトは、EU委員会の標準的な契約条項の一部を採用した。
  2. マイクロソフトは、データそのものをどのように評価し、どのような目的のためにこれを行うのか、より詳細に説明した。例えば、マイクロソフトは仮名化されたデータから非個人的な統計を作成し、それを独自の目的のために使用すると補遺に記載されています。

しかし、連邦データ保護委員会のウルリッヒ・ケルバーによれば、どのデータが同社自身の目的のために利用されているかはまだ不明である。マイクロソフトがどのような情報を収集し、そのデータをどのように自社の目的のために利用しているのか、外部からはまだ評価することができないのだ。

さらにDSKは、米国へのデータ転送により、米国当局がデータにアクセスできるようになることを批判している。

「マイクロソフトとの協議では、Microsoft 365を利用する場合、いかなる場合でも個人情報が米国に転送されることが確認された。個人データを米国に転送せずにMicrosoft 365を使用することは不可能である。“

マイクロソフトの「製品とサービスのデータ保護補遺」の分析の結論として、DSKは、個人ユーザーに対しても、マイクロソフトが収集した情報をプライバシーに準拠した方法で取り扱うことを単純に信頼できないので、Microsoft 365を使用しないよう勧告している。

それに対してマイクロソフトは、DSKの発表直後に声明を発表し、Microsoft 365を法的に遵守した方法で使用することは可能であると主張しています。

ヨーロッパの学校でのGmailの使用禁止

非常によく似た決定として、オランダとデンマークのプライバシー監視団体が、同じくGDPRの違反を理由に、学校でのGoogleとGmailの使用を違法と宣言しています。これらの決定の詳細はこちらをご覧ください。

2019年にすでに禁止されたマイクロソフト

2019年にはすでに、ヘッセン州のデータ保護・情報自由委員会が、先ほどのDSKによるマイクロソフトの追記更新の精査と同様の結論に至っています。

2019年、2つのプライバシー問題が具体的に批判された。

  • アメリカの当局は、ドイツ政府がこれをコントロールすることなく、ヨーロッパのクラウドに保存されたデータにアクセスすることができます。
  • Office 365とWindows 10では、たくさんの遠隔測定データが収集され、マイクロソフトに転送されていますが、マイクロソフトは何が記録され、転送されているのかについて満足な情報を与えていません。

子どものデータの保護

ヘッセン州のデータ保護・情報公開委員会(Hessian Commission of Data Protection and Freedom of Information)にとって、子どもたちのデータの保護は最優先事項です。

「公共機関である学校が(子どもの)個人データを(ヨーロッパの)クラウドに保存することができるかどうかが重要な点であり、例えば、アメリカ当局からのアクセスが可能であるような場合です。ドイツの公共機関は、個人データ処理の許容性と透明性に関して、特別な責任を負っています。

結果として、データコミッショナーは、マイクロソフトによるデータ処理は違法であると理由付けている。さらに、これはデータ処理への同意を親に求めることではどうしようもない。これでは、一般データ保護規則(GDPR)第8条に関して、子どもの特別な保護権を満たすことはできない。

また、ヘシアン委員は次のように述べています。

“マイクロソフトに当てはまることは、グーグルやアップルのクラウドソリューションにも当てはまります。これらのプロバイダーのクラウドソリューションは、これまで透明で分かりやすく設定されていませんでした。したがって、学校にとって、プライバシーに準拠した利用は現状では不可能であることも事実である。“

さらに、マイクロソフトのような企業は、悪意のある攻撃者が大量のデータを取得するハッキングでニュースになったが、マイクロソフトのサーバー上のデータがエンドツーエンドで暗号化されていれば、そのすべてを防ぐことができただろう。

ドイツの学校への影響

プライバシーに関する懸念は非常に深刻で、ドイツの学校は今後Office 365を使用することはできません。

しかし、多くの学校、特に専門学校では、学生がWordやExcelなどを使って事務作業をするための準備としてOffice 365を使用しています。Office 365の代わりに、これらの学校はローカルシステム上でオンプレミスライセンスを使用しなければならなくなりました。

ドイツ語の代替が必要

Office 365を電子メールにのみ使用している学校は、Tutanotaのような安全な電子メールサービスに切り替えるという選択肢もあります。ここでは、すべてのデータがドイツのサーバーで暗号化されて保存され、ドイツの厳格なプライバシー保護法を尊重し、GDPRに完全に準拠しています。

将来的には、アドレス帳とカレンダーをすでに組み込んでいる安全なメールサービスを、完全に暗号化されたグループウェアスイートに拡張する予定です。学校や当局が市民のデータを安全にクラウドに保管できるよう、ドイツまたはヨーロッパのビッグテックに代わるものが必要です。

tl:dr: DSKの発表は、Microsoftにドイツのデータ保護規制を遵守するよう圧力をかけることが主な目的であり、ドイツで他のサービスを利用するすべての人に関するものではありません。しかし、マイクロソフト、グーグル、アップルに代わるものがあれば、もっといい。Tutanotaは今、それを実現しようとしている。安全なEメールから始まり、Tutanotaは現在、暗号化されたアドレス帳、暗号化されたカレンダー、暗号化されたコンタクトフォームSecure Connectも提供しています。さらに多くの機能が計画されており、数年後には暗号化を内蔵し、プライバシーを最大限に尊重した暗号化グループウェアスイートを提供できるようになると推測しています。