Zoom と EU 一般データ保護規則(GDPR)

更新日: 2024年8月8日

Zoom のミッションは、シームレスなビデオ コミュニケーションを通じてすべての人に幸せを届けることであり、当社は、その実現のためにはプライバシーとセキュリティが必要であることを理解しています。そのため、当社は欧州経済地域(以降「EEA」)におけるデータ プライバシー義務、主に EU 一般データ保護規則(以降「GDPR」)に準拠した最高のレベルで、お客様の通信を保護し、その安全を保つよう努めています。

Zoom は GDPR を欧州だけでなく、すべての人に利益をもたらすデータ保護基盤として、その有効性を認めています。Zoom は、GDPR のコンプライアンス義務に合致する形で技術的および組織的な対策を実施することで、お客様をサポートします。Zoom はデータ管理者として、お客様がそれぞれの役割を果たせるよう支援します。

以下の重要な事実は、Zoom のデータ保護慣行に対する取り組みを表しています。

Zoom のデータ保護慣行に関する詳細情報に関心をお持ちの方は、このブログで、オランダの教育・研究機関の協同組合 SURF と共同で実施した Zoom のデータ保護影響評価(以下「DPIA」)についてご覧ください。また、Privacy Company の DPIA についても併せてご確認ください。

Zoom のお客様全員に対する契約上の GDPR コミットメント
GDPR は、データ管理者(Zoom のサービスを使用する組織やデベロッパーなど)に、データ管理者の代わりに個人データを処理し、GDPR の特定の要件を満たす十分な保証を提供できるデータ プロセッサ(Zoom など)のみを使用するよう義務付けています。Zoom は、Zoom のデータ処理補遺Zoom の利用規約に組み込むことにより、お客様全員にこうしたコミットメントを提供します。

GDPR に関連する Zoom の契約上のコミットメント:

  • Zoom は透明性を保ち、当社のサービスの提供に関する契約に記載されているケースでのみ、またはお客様から指示された場合にのみ、個人情報を使用することをお約束します。
  • Zoom は、適切な技術的および組織的なセキュリティ対策を維持し、処理する個人情報を保護します。
  • Zoom は、データ主体が、当社のサービスを使用して処理された個人情報に付随する権利(情報の要求、アクセス、修正、削除など)を行使する際に、お客様が義務を果たすことをサポートします。

国際的なデータ転送の保護措置

米国

GDPR には、欧州経済地域(EEA)外の国に個人データを転送する際の特定の規則が含まれています。原則として、個人データを EEA 外の国に転送できるのは、その国が適切な保護水準を保っている場合に限ります。

十分性とは、非 EU 加盟国のデータ保護措置が、EU 内で提供されるものと同等の保護レベルを確保するのに十分であるかどうかを判断するものです。欧州委員会による十分性認定があれば、追加的な保護措置を講じる必要なく、EU から第三国へ自由に個人データを転送することができます。2023 年 7 月 10 日以降、欧州委員会は、EU - 米国データ プライバシー フレームワーク(DPF)の参加者に対して、新たに十分性を認定しています。Zoom は、アクティブな参加者として登録されています。

データ プライバシー フレームワーク(DPF)は、デジタル時代において高まるデータ保護とプライバシーへの懸念に対応するために生まれました。このフレームワークは、特に国境を越えて個人データを転送する際の懸念に対し、データ保護の基準を調和・強化することを目的としています。DPF の重要性は、個人のプライバシー権の保護を徹底しながら、国際的な商取引やコミュニケーションを促進するという役割にあります。そして DPF はデータの取り扱いに関する明確なガイドラインと義務を打ち立てているため、その関連性は企業、規制当局、個人を含むさまざまな利害関係者にまで及びます。DPF は、データ保護法のコンプライアンスを徹底する法的枠組みを提供することで、国境を越えたデータ転送における信頼と説明責任を育みます。そのため、「安全なデータ移転」という条件において、その適用性はきわめて重要です。

その他の第三国

個人データは、欧州委員会が採択した標準契約条項(SCC、EU モデル条項とも呼ばれる)を使用して、EEA から EEA 外の第三国に転送されることがあります。これらの SCC は契約上、高水準の保護を保証します。Zoom は、2021 年に新しい SCC を Zoom の標準 DPA に実装しました。Zoom は、欧州委員会が指定した移行期間に従って、新しい SCC を対象契約に組み込んでいます。詳しくは、新しい SCC に関するよくあるご質問(お客様向け)をご覧ください。

データ転送影響評価
Zoom のお客様が SCC に準拠する際の追加要件に対応できるように、Zoom はさまざまなプロダクトに対して以下のようなデータ転送影響評価を提供しています。一般的なベスト プラクティスに従い、データ エクスポーターおよびデータ インポーターは、データを受け取る国の法律および慣行が、別途指定されている保護レベルに達していない可能性があるかどうか評価するよう求められています。

Zoom Meetings、Webinar、Team Chat のデータ転送影響評価
Zoom Phone のデータ転送影響評価
Zoom Contact Center のデータ転送影響評価
Zoom バーチャル エージェントのデータ転送影響評価

 

データ主体のアクセス要求(DSAR)
EU 一般データ保護規則(GDPR)に基づいて提供されるデータ主体のアクセス要求(DSAR)は、データ主体と呼ばれる個人が組織の保有する個人データへのアクセスを要求できるようにするメカニズムです。さらにデータ主体は、個人データが不正確または不完全だった場合に訂正を要求できます。これにより、データの誤りを速やかに訂正できるようになります。特定の状況下では、個人は自分の個人データの削除を要求する権利(一般に「忘れられる権利」といいます)を有します。これは個人データ全体における透明性および個人による管理を重視した、GDPR の基本的な権利です。Zoom はお客様に、これらの権利を簡単かつスムーズに行使できるセルフサービス ツールを提供しています。このツールの詳細については、サポート ウェブサイトをご覧ください。

 

データ ストレージ
Zoom は、対象となる有料アカウントをお持ちの欧州のお客様に、欧州連合(EU)内のデータセンターを利用できるオプションを提供しています。お客様は、ミーティングとウェビナーのリアルタイム トラフィックをホスティングするために、自動決定されるホーム地域に加え、データセンターの地域を選択できます。お客様はまた、レコーディングをローカルに保存する際、自身のデバイスに保存することもローカル データセンターに保存することもできます。詳しくは、Zoom のサポートページをご覧ください。上記のお客様向けに、Zoom は、すべてのサポートデータを EU 内のみで処理できるようにする方法も提供しています。EU の通常営業時間外にこちらのサポートを利用する場合、EU 外のヘルプデスクへの個人データ転送に対し、1 件ずつ個別に同意することもできます。

 

欧州におけるデータ保護を徹底するための強力な特別措置
Zoom は、次のような対策を施して、高いレベルでセキュリティを維持できるよう努めています。

  • Zoom は、さまざまな暗号化テクノロジーを駆使して、転送中および保管中の顧客データを保護します。
  • Zoom は、セキュリティ対策によって、当社の処理システムおよびサービスの継続的な機密性、完全性、可用性、復元性をサポートします。
  • Zoom は物理的 / 技術的なインシデントが発生した場合、迅速にシステムを復元し、当社の処理システムおよびサービスへのアクセスを行えるようにする措置を講じます。
  • Zoom は処理するデータのセキュリティをサポートするために、技術的および組織的な対策の有効性を定期的にテスト、計測、評価するプロセスを実装します。

特に Zoom は、プラットフォームを介して送信、保存されるお客様の通信データを保護するために、さまざまなセキュリティ対策を採用しています。その具体例をいくつかご紹介します。

  • ミーティングのエンドツーエンド暗号化(オプション): ユーザーは、Zoom Meetings のエンドツーエンド暗号化を有効にできます。エンドツーエンド暗号化は、すべてのミーティング参加者間のデータを暗号化するように設計されているため、Zoom だけでなく、介在するプロバイダーやシステムも通信データにアクセスできなくなります。
  • デフォルトの暗号化: 指定デバイスと Zoom 間の接続は、TLS 1.2 以降(トランスポート層セキュリティ)、高度暗号化標準 256 ビット AES GCM 暗号化、SRTP(セキュア リアルタイム トランスポート プロトコル)を組み合わせ、デフォルトで暗号化されます。適用される正確な方法は、ユーザーが Zoom クライアント、ウェブブラウザ、サードパーティのデバイスやサービス、または Zoom Phone プロダクトのいずれを利用するかによって異なります。詳しくは、Zoom の暗号化に関するホワイトペーパーをご覧ください。
  • 承認されていないミーティング参加者からの保護: Zoom は、承認されていない参加者がミーティングに参加できないよう、次のような多数の安全対策と制御を実装しています。
    • 11 桁の固有ミーティング ID
    • 複雑なパスワード
    • 自社のドメイン名 / 別の指定ドメイン名の参加者を自動的に許可する待機室
    • ミーティングに参加できないようにするロック ミーティング機能
    • 参加者を削除する機能
    • 登録済みユーザーのみに入室を許可する / 特定のメールドメインに制限する認証プロフィール
    • ミーティング リスク通知ツールは、Zoom ミーティング リンクに関するソーシャル メディア公開サイト上の投稿や、その他の公開オンライン リソースへの投稿をスキャンできます。
  • 選択的なミーティング招待状: ホストは、メール、IM、または SMS を使用して参加者を選択的に招待できます。これにより、ミーティングのアクセス情報の配信をきめ細かく制御できます。ホストはまた、特定のメールドメインを持つメンバーのみが参加できるミーティングを作成することもできます。
  • ミーティング内セキュリティ: ミーティング中、Zoom はリアルタイムで豊富なメディア コンテンツを Zoom ミーティング内の各参加者に安全に配信します。ミーティング参加者と共有されるすべてのコンテンツは、オリジナル データに限定されます。このコンテンツは、安全な実装を適用して共有するためにエンコード・最適化されています。
  • ホスト コントロール: ミーティングでホスト コントロールを使用すると、参加者によるコンテンツ共有、チャット、名前の変更を有効 / 無効にできます。
  • 報告: ミーティング中に不適切な行為を取った参加者がいた場合、その参加者を選択して詳細を記載し、添付ファイルを追加することで Zoom に報告いただけます。この報告は自動的に Zoom トラスト&セーフティ チームに送信されます。同チームはプラットフォームの悪用について評価し、必要に応じてユーザーをブロックします。
  • プロダクト内セキュリティ コントロール: メイン インターフェース上の専用セキュリティ アイコンから利用できるセキュリティ コントロールです。
  • ロールベースのユーザー セキュリティ: ホストは、ミーティング主催前のセキュリティとして次の機能を利用できます。
    • 標準のユーザー名およびパスワード、または SAML シングル サインオンを使用した安全なサインイン
    • パスコードを使用した安全なミーティングの開始
    • パスコードを使用した安全なミーティングのスケジュール
  • ロボコールの防止: ユーザーにとって不要なロボコールの削減に役立つコール スクリーニング機能が実装されました。アカウント オーナーと管理者は、アカウント、サイト、グループ、ユーザー、共用エリア、自動受付、コールキュー、および共有回線グループで、コール スクリーニング機能を有効にできます。この機能は、アカウント全体に対してデフォルトで有効になっており、ロック解除されています。

 

データの処理・保存場所の選択
Zoom は、お客様が特定のデータを処理および保管するデータセンターについて、選択を希望するケースがあることを理解しています。

転送中および処理中のデータ: Zoom は、転送中の Meetings 顧客データを、コロケーション データセンターおよび公開クラウド データセンター(Amazon Web Services(「AWS」)データセンターなど)のグローバル ネットワークを通じてルーティングします。Zoom Meetings サービスでは、Zoom エコシステムに送信される情報が、データを送受信するユーザーにもっとも近いデータセンターを経由してルーティングされるように設計されています。

有料アカウントのアカウント オーナーと管理者はミーティングやウェビナーの主催中に、アカウント レベル、グループレベル、またはユーザーレベルで、参加者のリアルタイムのミーティングおよびウェビナーのビデオ、オーディオ、共有コンテンツの処理に使用される特定の Zoom データセンターをオプトイン / オプトアウトできます。アカウントがプロビジョニングされた地域をサポートする国のデータセンターは、コンテンツ処理向けにオプトインとしてロックされます。Zoom データセンターの選択は、アカウントがミーティングやウェビナーを主催している場合にのみ適用されます。ミーティングまたはウェビナーを主催しているアカウントがいずれかのデータセンターをオプトアウトした場合、参加者全員のリアルタイムのミーティングおよびウェビナーのビデオ、オーディオ、共有コンテンツのデータは、オプトインされた Zoom データセンターによってのみ処理されます。ただし Zoom は、Zoom のプライベート ネットワーク接続(エッジ ルーティング)をトラバースしながら業界標準のネットワーク ルーティング プロトコルを使用してデータセンター間のトラフィックをルーティングする場合があります。詳細については、こちらのサポート記事をご覧ください。

データ ストレージ: お客様は、特定のカスタマー コンテンツのデータ保存場所を選択できます。カスタマー コンテンツとは、お客様がミーティング / ウェビナー中にレコーディングまたは共有を選択した全データ(例: クラウド レコーディング、ミーティングの文字起こし、チャットの文字起こし(ミーティング内チャット&持続的なチャット)、ミーティング内または持続的なチャット チャネル内でやり取りしたファイル)を含めた、Zoom サービスの使用によってお客様より提供される情報です。

カスタマー コンテンツは、デフォルトで米国に保存されます。有料アカウントのお客様は、アカウントの一部カスタマー コンテンツの保存場所を選択できます。この設定を変更できるのは、アカウント オーナー、アカウント管理者、またはカスタマー アカウント プロフィール特権を持つユーザーのみです。詳しくはこちらのサポート記事をご覧ください。なお、カスタマー コンテンツ、アカウント データ、および診断データは、引き続き米国に保管されます。

 

政府からの情報提供依頼書に対応するための厳格な手続き
Zoom はお客様およびユーザーのプライバシー保護に全力で取り組んでいます。政府から有効かつ合法的な要請を受けた場合にのみ、当社の政府要請ガイドおよび関連する法的方針に従って、ユーザーデータを政府に提供しています。

すべての地域で以下の内容が適用されます。

  • 政府の要請は、適切な法律と規制に従い、公式チャネル(公式な署名付き文書、または行政機関の公式メールアドレスから送信されるメールなど)を通じて発行される必要があります。
  • 各要請は明示的かつ過度に広範ではなく、有効な法的根拠を有する必要があります。これらの要件を満たさない要請については、拒否または異議申し立ての対象となります。
  • ユーザー情報に対する特定の政府要請については、コラボレーションの成功を世界中で推進する当社の原則と利害関係に基づき、詳細に検討されます。

要請が過度に曖昧な場合、Zoom は送信された情報の目的を最小限に絞るために、要請の妥当性に対して異議を申し立てます。

Zoom は通常、ユーザーへの通知が法的に禁止されていない限り、政府からの情報提供依頼書についてユーザーに通知します(受信した依頼通知のコピーを含む)。ユーザー通知の例外となる要請には、緊急事態または通知の潜在的な逆効果に関する説明が含まれている必要があります。

 

透明性の向上

  • 透明性レポート: Zoom は 2020 年 12 月、米国および国際当局から受けた要請数に関する最初のレポート(政府要請に関する透明性レポート)を公開しました。Zoom では、各透明性レポートが前回のレポートによる透明性の質を上回ることを目標としています。最新の透明性レポートはこちらからご覧いただけます。その他の透明性レポートは、Zoom トラスト センターで公開される予定です。
  • プロダクト内通知: Zoom は、ユーザーが Zoom 上で共有するコンテンツや情報を誰が閲覧・共有できるのかを状況に応じて理解できるように、機能固有のプライバシー通知を Zoom 体験に統合する更新を継続的に実施しています。たとえば、Zoom のチャット機能で送信したメッセージを表示できるのは誰なのか知りたい場合は、[メッセージを表示できるユーザー] に移動すると、全員宛てに送信したメッセージ、および送信した非公開メッセージにアクセスできるユーザーを確認できます。

 

GDPR 要件を最優先してサービスを設計する Zoom
Zoom は、GDPR 要件に沿ってプロダクト機能を構築し、当社のサービスを通じて処理される個人データの保護を促進するために尽力することをお約束します。当社のデータ取り扱いに関する詳細については、当社のプライバシー ステートメントをご覧ください。また、GDPR に関するご質問は、[email protected] までメールでお問い合わせください。