Zoom と EU 一般データ保護規則(GDPR)

更新日: 2023年8月18日

Zoom のミッションは、シームレスなビデオ コミュニケーションを通じて幸せを届けることであり、当社は、その実現のためにはプライバシーとセキュリティが必要であることを理解しています。 そのため、当社は欧州経済地域(以降「EEA」)におけるデータ プライバシー義務、主に一般データ保護規則(以降「GDPR」)に準拠した最高のレベルで、お客様の通信を保護し、通信の安全を保つよう努めています。

Zoom は、すべての人の利益のためにより強力なデータ保護基盤を構築する機会となった、GDPR を称えます。 Zoom は、当社のお客様(データ コントローラ)が、Zoom(データ プロセッサ)が GDPR のコンプライアンス義務に合致する方法で、技術的および組織的な対策を確実に実装していることを確認する必要があることを認識しています。 Zoom は、データ コントローラ としてのお客様のロールをサポートするためにここにいます。

以下の重要な事実は、Zoom のデータ保護プラクティスに対する取り組みを表しています。

 

すべての Zoom のお客様への契約上の GDPR コミットメント

GDPR では、データ コントローラ(Zoom のサービスを使用する組織や開発者など)は、データ コントローラの代わりに個人情報を処理し、GDPR の特定の要件を満たす十分な保証が提供できるデータ プロセッサ(Zoom など)のみを使用することが要求されます。 Zoom は、Zoom データ処理補遺を Zoom 利用規約に組み込むことで、すべてのお客様にこれらのコミットメントを提供します

GDPR に関連する Zoom の契約上のコミットメント:

  • Zoom は透明性を保ち、当社のサービスの提供に関する契約に記載されているケースでのみ、またはお客様から指示された場合にのみ、個人情報を使用することを約束します。
  • Zoom は、適切な技術的および組織的なセキュリティ対策を維持し、処理する個人情報を保護します。
  • Zoom は、データ主体が、当社のサービスを使用して処理された個人情報に付随する権利(情報の要求、アクセス、修正、削除など)を行使する際に、お客様が義務を果たすことをサポートします。

 

国際的なデータ転送のサポート

2020 年 7 月、欧州連合の司法裁判所(以降「CJEU」)は、EEA 外でのデータ転送の有効性に関する訴訟 C-311/18 の判決(一般的にSchrems II 判決と呼ばれる)を下しましたSchrems II 判決は、オーストリアのデータ主体である Maximillian Schrems による、個人情報が米国に転送され、米国政府機関がデータにアクセスする可能性に対する苦情に関するものです。

Schrems II 判決で CJEU は、EU と米国間のプライバシー シールドの枠組みが、もはや EEA から米国に個人情報を転送するための合法的な手段を提供していないと判断しました。

しかし重要なことは、CJEU が、Zoom の国際的な転送の基礎となっている欧州委員会の標準契約条項(以降「SCC」)が、引き続き EEA から EEA 外の国に個人情報を転送するための合法的なメカニズムであると判断したことです。

この決定後、欧州委員会は 2021 年 6 月に新しい SCC を公開しました。 Zoom は、欧州委員会が指定した移行期間(すなわち、新たな契約の場合は 2021 年 9 月 27 日まで、既存の契約については 2022 年 12 月 27 日まで)に従って、対象の契約に新しい SCC を組み込みました。 詳細については新しい SCC に関するお客様のよくあるご質問をご覧ください。

 

新しい要件:「自分の転送を知る」

Schrems II 判決はまた、新しい要件を生み出しました。 十分なレベルの保護を確保していないと思われる EEA 外の国に個人情報を転送する前に、データ発信者は、SCC がデータ転送先の国で、個人情報が EU のデータ保護規則と「本質的に同等」レベルで保護されていることを十分に保証しているかどうかを確認する必要があります。

言い換えれば、SCC に頼る前に、データ発信者とデータ受信者は、データ転送先の国の法律と慣行が、他の方法で提供される保護のレベルを損なう可能性があるかどうかを確認することが期待されています。 Zoom では、この評価に関してお客様をサポートするために次のプロダクトにデータ転送影響評価を用意しました。

Zoom Meetings / Zoom Webinars / Zoom Team Chat のデータ転送影響評価
Zoom Phone のデータ転送影響評価
Zoom Contact Center のデータ転送影響評価
Zoom バーチャル エージェントのデータ転送影響評価

 

欧州のデータを確実に保護するための強力かつ具体的な措置

Zoom は、高レベルのセキュリティを維持することをコミットします。

  • Zoom は、さまざまな暗号化テクノロジーを活用して、転送中および保管中のデータを保護します。
  • Zoom は、セキュリティ対策によって、当社の処理システムおよびサービスの継続的な機密性、完全性、可用性、復元性をサポートします。
  • Zoom は、物理的または技術的なインシデントが発生した場合に、可用性を回復し、迅速に当社の処理システムおよびサービスへのアクセスを行えるようにする措置を講じます。
  • Zoom は、処理するデータのセキュリティをサポートするための、技術的および組織的な対策の有効性を、定期的にテスト、計測、評価するためのプロセスを実装します。

具体的には、Zoom のプラットフォームに送信および保存される際の通信のセキュリティを有効にするための Zoom のセキュリティ対策には、次のようなものがあります。

  • ミーティングのエンドツーエンド暗号化オプション: ユーザーは、Zoom Meetings のエンドツーエンド暗号化を有効にすることができます。 Zoom を含むサードパーティはミーティングの秘密キーにアクセスできないので、高いレベルのセキュリティが提供されます。
  • デフォルトの暗号化: 指定のデバイスと Zoom の間の通信は、デフォルトで、TLS 1.2+(トランスポート層セキュリティ)、高度暗号化標準 256 ビット AES GCM 暗号化、および SRTP(セキュア リアルタイム トランスポート プロトコル)を使用して暗号化されます。 使用される正確な方法は、ユーザーが Zoom クライアント、ウェブブラウザ、サードパーティ製のデバイスまたはサービス、または Zoom Phone 製品のどれをを利用しているかによって異なります。 詳細については、 暗号化に関するホワイトペーパーを参照してください
  • 承認されていないミーティング参加者からの保護: Zoom では、承認されていない参加者がミーティングに参加できないよう、次のような多数の安全対策と制御を実装しています。
    • 11 桁の固有ミーティング ID
    • 複雑なパスワード
    • 自社のドメインまたは選択した別のドメインの参加者を自動的に受け入れる機能を持つ待機室
    • ミーティングに参加できないようにするロック ミーティング機能
    • 参加者を削除する機能
    • 登録済みユーザーのみに入室を許可するか、特定のメールドメインに制限する認証プロフィール
    • リスクのあるミーティング通知ツールは、Zoom Meeting のリンクについて、公開されているソーシャルメディア サイト上の投稿や、その他の公開オンライン リソースへの投稿をスキャンできます。
  • 選択できるミーティング出席依頼: ホストは、メール、チャット、または SMS を選択して参加者を招待できます。 これにより、ミーディングへのアクセス情報の配布をより制御しやすくなります。 ホストはまた、特定のメールドメインからのみ参加を許可するミーティングを作成できます。
  • ミーティング中のセキュリティ: ミーティング開催中は、Zoom はリアルタイムでリッチ メディア コンテンツを Zoom Meeting の各参加者に安全に届けます。 ミーティング内の参加者と共有できるすべてのコンテンツは、オリジナルデータの内容だけです。 このコンテンツは、実装されたセキュリティ機能を使用して、共有用に暗号化および最適化されています。
  • ホスト コントロール: ミーティング ホストのコントロールを使用することで、参加者による共有、チャット、名前の変更を有効または無効にできます。
  • 報告: ユーザーを報告する機能を使用すると、ミーティングのホストが問題のある動作にフラグを立てられるようになります。
  • 製品内セキュリティ コントロール: メイン インターフェースに専用のセキュリティ アイコンを持つセキュリティ コントロール。
  • ロールベースのユーザー セキュリティ: ホストは、ミーティング開催前のセキュリティとして次の機能を利用できます。
    • 標準のユーザー名およびパスワードまたはセキュリティアサーションマークアップ言語(SAML)シングルサインオンを使用した安全なサインイン
    • パスコードを使用してミーティングを安全に開始
    • パスコードを使用してミーティングを安全にスケジュール
  • ロボコール防止: ユーザーは、すべてのプラットフォームでレート制限と reCAPTCHA(人の介入が必要)を有効にして、ロボコールを防止することができます。

 

データの処理と保管の選択

Zoom は、お客様が特定データを処理および保管するデータセンターについて選択を希望するケースがあることを理解しています。

転送中のデータと処理: Zoom は転送中の顧客データを Zoom のコロケーション データセンターおよびパブリック クラウド データセンター(Amazon Web Services(「AWS」)データセンターなど)のグローバル ネットワークを介してルーティングします。 この Zoom サービスは Zoom エコシステムに入力される情報が、データを送受信するユーザーにもっとも近いデータセンター経由でルーティングされるように設計されています。

有料アカウントのアカウント オーナーと管理者は、アカウント レベル、グループレベル、ユーザーレベルで特定の Zoom データセンターに対してオプトイン / オプトアウトできます。このデータセンターではミーティングとウェビナーを主催している間、参加者のリアルタイムのミーティングやウェビナーのビデオ、オーディオ、共有コンテンツが処理されます。 アカウントがプロビジョニングされたリージョンをサポートする国内のデータセンターは、データ処理のためにオプトインとしてロックされます。 Zoom データセンターの選択は、アカウントがミーティング / ウェビナーを主催する場合のみ適用されます。 ミーティング / ウェビナーを主催するアカウントがデータセンターからオプトアウトした場合、参加者全員のリアルタイムのミーティングとウェビナーのビデオ、オーディオ、共有コンテンツ データはオプトインしている Zoom データセンターでしか処理されなくなります。 ただし、Zoom では、Zoom プライベート ネットワーク接続(エッジ ルーティング)をトラバースしながら、業界標準のネットワーク ルーティング プロトコルを使用するデータセンター間でトラフィックをルーティングすることもできます。 詳しくはこちらのサポート記事をご覧ください。

データ ストレージ: お客様は、カスタマー コンテンツの一部について、データの保存場所を選択できます。 カスタマー コンテンツとは、お客様がミーティング / ウェビナー期間中にレコーディングや共有することを選択した全データ(例: クラウド レコーディング、ミーティングの文字起こし、ミーティング内 / 持続的なチャットの文字起こし、ミーティング期間または持続的なチャット チャネル内で交換されるファイル)など、Zoom サービスの使用によってお客様より提供される情報です。

カスタマー コンテンツはデフォルトで米国に保存されます。 有料アカウントのお客様は、アカウントに関するカスタマー コンテンツの一部について、保存場所を選択できます。 アカウント オーナー、アカウント管理者、カスタマー アカウント プロフィールの特権を持つユーザーのみがこの設定を変更できます。 詳しくはこちらのサポート記事をご覧ください。 カスタマー コンテンツ、アカウント データ、診断データは引き続き米国に保存されることにご留意ください。

 

政府による情報要求に対応するための厳格なプロトコル

Zoom はお客様およびユーザーのプライバシー保護に全力で取り組んでいます。弊社の政府要請ガイドおよび関連する法的方針に従って、有効かつ合法的な要請に応じる場合のみ、ユーザーデータを政府に提供しています。

すべての地域で:

  • 政府のリクエストは、適切な法律と規則の下で、公式な署名付きの書類または行政機関の公式なメールアドレスから送信されるメールなど、公式なチャネルを通じて出される必要があります。
  • 各リクエストは明示的で、過度に広範ではなく、有効な法的根拠がある必要があります。 これらの要件を満たさないリクエストについては、拒否するか、異議を申し立てます。
  • ユーザー情報に対する政府のリクエストについては、コラボレーションの成功を世界中で推進する当社の原則と利害関係にもとづいて、追加の精査を行います。

リクエストが曖昧すぎる場合、Zoom は送信される情報のスペクトルを最小限に抑えるために、リクエストに対して異議を申し立てます。

Zoom は通常、ユーザーへの通知を法的に禁止されていない限り、政府による情報リクエストについて、受信したリクエストのコピーを含めて、ユーザーに通知します。 ユーザーに対する通知の例外のリクエストには、緊急事態または通知の潜在的な逆効果に関する説明が含まれている必要があります。

 

透明性の向上

  • 透明性報告書: Zoom は、2020 年 12 月に、米国および海外当局から受け取ったリクエストの数に関する最初の報告書を発表しました(政府リクエスト透明性報告書)。 透明性報告書は、以前のものよりも改善していく予定です。 最新の透明性レポートはこちらからご覧いただけます。 他の透過性報告書は、Zoom トラスト センターからご覧いただけるようになります。
  • 製品内通知: Zoom は、継続的な更新を行って、機能別のプライバシー通知を Zoom 体験に統合することで、Zoom で共有されるコンテンツや情報を閲覧・共有できる可能性のあるユーザーが、状況に応じて把握できるようにしています。 たとえば、Zoom のチャット機能で送信したメッセージを閲覧できる人を知りたい場合、「メッセージを閲覧できるユーザー」にアクセスすると、全員宛のメッセージやプライベートで送信したメッセージにアクセスできるユーザーを確認できます。

 

Zoom は、最前線で GDPR 要件に適応するサービスを設計します

Zoom は、GDPR 要件に適応し、当社のサービスを通じて処理される個人情報の保護を促進する製品機能を構築するために、最大限の努力をしています。 弊社のデータ慣行の詳細については、弊社のプライバシー ステートメントを参照するか、GDPR に関する質問がある場合は、privacy@zoom.us にメールでお問い合わせください