デンマーク、プライバシーへの配慮からGmailとCoを学校から禁止。
デンマークのデータ保護当局は、オランダとドイツの当局に続き、グーグルのGDPR遵守について懸念を表明しています。
Googleのメールとクラウドは "要件を満たしていない"
児童生徒のプライバシーは保護されなければならない
7月中旬に発表された声明の中で、デンマークのデータ保護機関は「深刻な批判を表明し、...Google Workspaceの使用を禁止する」と表明しています。
ヘルシンゲル市に対するリスク評価に基づき、データ保護当局は、児童生徒の個人データの処理はGDPRの要件を満たしておらず、したがって停止しなければならないと結論付けました。
この禁止措置は直ちに有効となります。ヘルシンゲル市は、8月3日までに児童のデータを削除し、代替のクラウドソリューションの使用を開始する必要があります。
「ヘルシンゲル市は、小学校で個人データがどのように使用されているかをマッピングするために、素晴らしい熟練した仕事をしましたが、それはまた、課題を解決するための大手ハイテク企業の方法にあり得るデータ保護法の問題を強調しています」と、デンマークデータ保護局のITセキュリティ専門家で弁護士のアラン・フランクは述べています。
プライバシーシールドの無効化
今回の決定は、オランダと ドイツの当局による同様の決定に続くものです。
政府機関が直面する問題は、2020年にプライバシーシールドが無効化されたことから始まっています。
プライバシーシールドは、米国とEU間のデータ移転協定であり、両者間のデータ移転を法的に可能にするはずでした。しかし、この協定はプライバシーに関する懸念から、2020年に欧州司法裁判所(ECJ)により無効とされました。
EUの裁判所が指摘した大きな問題点は、アメリカでは外国人のデータが保護されていないことです。そこにある保護は、たとえ限定的であっても、米国市民にのみ適用される。NSAは、米国市民以外のあらゆるデータに、米国企業からいつでもフルアクセスできる。 さらに、米国以外のデータ対象者は、米国当局に対して法廷で訴えられる権利を持たない。これは、特定のEU基本権の「本質」を侵害していると、ECJは判断している。
データ処理契約は十分ではない
プライバシーシールドが無効となった後、米国のクラウドサービスは、欧州の顧客とのデータ処理契約に依存する方向にシフトした。
しかし、このやり方は、データ・プライバシーの専門家の間で、特にその合法性に関して大きな疑問が投げかけられている。
デンマークのデータ保護当局が今回発表した声明は、このことを改めて証明するものだ。この声明では、特に次の点を指摘しています。
「データ処理契約では、必要なレベルのセキュリティを確保することなく、支援状況において情報を第三国に転送することができるとされている。
決定は、4つの主要な問題を要約しています。
ヘルシンゲル市は、必要な保護がなされないまま情報が第三者に転送された場合、その情報の処理を停止すること。
適切な文書化と影響分析が行われ、処理がGDPRに準拠するようになるまで、Google Workspaceによる処理を全般的に禁止すること。
自治体の個人データ処理に対する深刻な批判。
この決定の結論の多くは、おそらく、同じ処理構造を使用している他の自治体にも適用されるでしょう。これらの自治体は、この決定に基づいて自ら関連する措置を講じることが期待されます。
Googleアナリティクスも欧州では違法
今回の決定は、フランスとオーストリアのデータプライバシー監視団体が、欧州のウェブサイトがGoogle Analyticsを使って訪問者を追跡することは、欧州のデータプライバシー規則に違反するため違法であるとの判決を下したことを受けて出されたものです。
また、ここでは、ウェブサイト訪問者の同意なしに個人データが米国に転送され、処理されていることが問題になっています。
デンマーク、オランダ、ドイツの学校への影響
デンマーク、オランダ、ドイツのプライバシー保護団体の声明によると、デンマーク、オランダ、ドイツの学校は、グーグルの電子メールやクラウドサービスを使用することができない可能性があるとのことです。
**デンマーク、オランダ、ドイツのプライバシー保護団体による声明は、アメリカのハイテク企業にヨーロッパの厳しいプライバシー規制を最終的に遵守するよう圧力をかけることが主な目的ですが、マイクロソフト、グーグル、アップルに代わる真の選択肢があれば、より好ましいと言えます。Tutanotaが今作っているのがそれだ。安全な電子メールから始まり、今日Tutanotaは暗号化されたアドレス帳、暗号化されたカレンダー、暗号化されたコンタクトフォームSecure Connectも**提供しています。暗号化されたドライブのような多くの機能が計画されており、さらに数年後には、ユーザーのプライバシーを最大限に尊重した暗号化グループウェアを提供できるようになると考えています。
ヨーロッパの選択肢
ヨーロッパの学校は、Big Techがプライバシー問題を解決するまで待つことができます。あるいは、ヨーロッパの代替手段を探し始めることができます。後者は、ヨーロッパとヨーロッパの人々全体に大きな好影響を与えるでしょう。
ヨーロッパの技術ビジネスは強化され、ビッグテックに代わるものを確立することができます。
欧州市民のデータは、GDRPに従って保護されている。
データはヨーロッパで保管され、データの転送は行われていない。
例えば、Tutanotaは、ヨーロッパの学校が生徒、教師、保護者の機密データを保護するために望むすべてのボックスをチェックします。特にドイツでは、多くの学校がすでにTutanotaを使用しています。
"非常にセンシティブなビジネス環境において、様々な暗号化プログラムの中からTutanotaを選択しました。Tutanotaは、非常にシンプルなアプリケーションで印象的です。技術者でない同僚でも、データ保護規則に従って機密性の高い添付ファイルやテキストを暗号化することができます。シンプルな管理、すぐにアクセスできるフレンドリーな専門家、そして適正な価格も魅力的です」とマリア・モンテッソーリ・スクールのディートマー・コップ氏は言います。
**厳しいデータ保護規制を遵守することに加え、Tutanotaではすべてのデータがドイツのサーバーに暗号化されて保存されています。 このように、TutanotaはGDPRに**完全に準拠しています。
