オランダ政府の報告書は、Google Workspace(旧G Suite)のユーザーに対する「データ保護に関する10の大きなリスク」を特定していたが、Googleの対応を受けて改訂され、現在では依然として8つの高リスク問題が残っているとしている。
この調査(英語版)は、オランダ法務省と SLM Microsoft Rijk(Strategic Vendor Management Microsoft)が共同で実施しました。
名前はGoogleのレドモンドに拠点を置くライバル企業から派生したものではなく、Googleとのベンダー関係を管理する政府機関であり、DPIA(データ保護影響評価)と呼ばれるプロセスを通じて、Office 365の代わりにGoogle Workspaceを導入することのリスク評価を実施した。また、Microsoftのサービスにおけるプライバシーリスクについても同様の調査を実施している。
2020年7月に初めて公表されたDPIAでは、いくつかの推奨事項が提示されており、Googleはすでにその一部を採用、あるいは採用を約束しています。例えば、報告書によると、Googleは管理者がWorkspace環境における一般ユーザー向けGoogleアカウントの使用をブロックできるようにし、ユーザーがエンタープライズ環境にいるかどうかを明確に視覚的に表示できるようにすると述べています。
これらの保証にもかかわらず、執筆時点では、DPIA は依然として、EU の一般データ保護規則(GDPR)に基づくデータ処理者とデータ管理者の役割と義務に関して、Google Workspace を導入する上で法的障害があると考えています。
更新された報告書では、「オランダ政府のプライバシー修正条項に基づいて提供される Google Workspace の使用は、関係するさまざまなカテゴリーのデータ主体(従業員だけでなく、オランダ政府とやり取りする可能性のあるあらゆる種類のデータ主体)にとって依然として 8 つの高いリスクにつながる」と述べられている。
具体的になぜデータを収集しているのですか?
GDPRは、データ処理の目的と手段を決定するデータ管理者と、管理者に代わって処理を実行するデータ処理者を区別しています。Google Workspaceを管理する組織は、収集されるデータの種類とその使用方法について一定の管理権限を持ち、したがってデータ管理者となります。Googleはデータ処理者ですが、データの使用方法も決定するため、データ管理者でもあります。ただし、データ管理者としての役割の範囲は(当然のことながら)複雑です。
Googleがデータを収集する目的が詳細に示されていないことが、Workspaceを利用する組織の法的義務の履行を阻害しています。オランダ政府とGoogleは、Google Workspaceを通じて処理されるデータの共同管理者ですが、報告書では「目的の限定と透明性の欠如により、Googleと政府機関は現時点ではいかなるデータ処理についても法的根拠を有していない」と述べられています。
報告書の作成に協力したコンサルタント会社「プライバシー・カンパニー」は、現状を次のように要約している。「グーグルは目的の説明を改善したが、政府が自社の商業目的でグーグルに個人データの処理を許可した場合、政府が従業員の個人データを管理できなくなるという問題は解決されない」
その他の問題としては、目的が「広範かつ不明確」であること、また、特定の禁止目的を除き、「Google はプライバシー ポリシーを修正することで、サービス データの処理目的を任意に変更できる」ことが挙げられます。
複数の契約、膨大な複雑さ
Google Workspace アカウントにログインするユーザーは、組織の利用規約に基づくコアサービスと、Google の利用規約に基づく追加サービスにそれぞれ同意する必要があります。どちらがいつ適用されるのでしょうか?複雑な点があります…
このレポートの重要な側面は、ドキュメント、スプレッドシート、Meet、カレンダーなどの「コアサービス」と、YouTube、マップ、アシスタント、検索などの「追加サービス」との区別です。この違いは非常に重要です。なぜなら、エンドユーザーがWorkspaceアカウントに登録する際、複数の契約を締結することになるからです。Workspaceの利用は所属組織のポリシーに準拠しますが、ユーザーは一般消費者向けのGoogle利用規約とプライバシーポリシーにも同意する必要があります。
Google は、ユーザーがエンタープライズ アカウントでログインしたまま追加サービスを利用する可能性があるため、「G Suite Enterprise の規約に基づいて販売されていない製品のエンド ユーザーとの直接の契約関係が必要になる」と述べています。
企業管理者は追加サービスのうちの 1 つをオフにしようとする可能性がありますが、その場合、「エンドユーザーは Google アカウントから自動的にログアウトされ、Google アカウントを持たないエンドユーザーとしてサービスにアクセスできます。」
複雑な点として、ユーザーはワークスペースと個人アカウントの両方に同時にサインインする可能性があり、その場合、個人アカウントの利用規約に基づいて追加サービスを利用する可能性があります。このような状況の混在により、ポリシーの適用が困難になります。
ユーザーは、自分がコアサービスと追加サービスのどちらを使用しているかを把握していますか?DPIAはChromeのスペルチェッカー機能について調査しました。Googleは問い合わせに対し、スペルチェッカーにはスペルと文法の機能、基本的なローカルスペルチェッカー、拡張スペルチェッカーの3種類があると回答しました。スペルと文法の機能はコアサービスの一部として定義され、拡張スペルチェッカー(データの処理方法が異なります)は追加サービスです。どちらも右クリックでアクセスできます。
「エンドユーザーにとって、G Suiteのスペルチェックと文法チェック機能との違いは明確ではありません。ドキュメントのスペルチェックを行う際、エンドユーザーは3つのスペルチェッカーすべてを使用できますが、その提供元がコアサービスなのか追加サービスなのかを明確に区別することはできません」とDPIAは述べています。
拡張スペルチェックを無効にする方法はありますが、Chrome Enterprise ポリシー経由でのみ有効です。Windows では、Chrome Enterprise バンドルをインストールした後、グループポリシーを通じてポリシーを適用できます。「Chrome Enterprise は G Suite Enterprise 契約に含まれていないため、この DPIA の適用範囲外です」と報告書は述べています。
もう一つの頭を悩ませる問題は、Googleマップに関するものでした。カレンダーはコアサービスであり、マップは追加サービスですが、「カレンダーでは、位置情報を含むカレンダーアイテムを操作する際にGoogleマップへのトラフィックが発生します」と報告書は述べています。「このDPIAに対する回答として、Googleはマップへのトラフィックは追加サービスへのトラフィックではなく、コアサービス内に組み込まれた処理であると説明しました。」
データ主体のアクセス要求は拒否されました
DPIAは調査の実施方法について詳細に説明しました。その上で、次のように指摘しています。「G Suite Enterpriseはリモートのクラウドベースのサービスであるため、データ処理はGoogleのクラウドサーバーで行われます。そのため、トラフィック傍受によって、コアサービス、追加サービス、またはGoogleアカウントの使用に関するシステム生成ログ内の診断データがどのように処理されているかを調査することはできません。」
オランダの研究者たちは、GDPRの規定に基づき個人データへのアクセスを求める権利を規定したにもかかわらず、Googleが保有する個人データの全てを提供していないことを発見した。報告書は、「Googleは…データ主体からのアクセス要求に応じて特定の個人データを提供していない理由として、(i)データ主体の身元が要求者の身元であると確実に確認することが不可能であること、(ii)場合によってはそのような透明性がGoogleのシステムセキュリティ保護の取り組みを損なう可能性があることを理由に挙げている」と述べている。同様に、ユーザーがGoogleサービスから「アクティビティを削除」しても、実際には削除されない可能性がある。
Googleのクラウドサービスは3年間で146億ドルの損失を出したが、CEOのサンダー・ピチャイ氏はその軌道を好意的に受け止めている。
続きを読む
たとえば、YouTube のアクティビティに関して、Google は「アクティビティを削除すると、そのアクティビティは Google エクスペリエンスをカスタマイズするために使用されなくなります。ビジネス上または法令遵守の目的で、Google は特定の種類のデータを長期間にわたって保持する必要があります」と述べています。
オランダの研究者らはグーグルに対し、パスポートのコピーも含め「本人確認の複数の方法」を提示したが、「グーグルはこれらすべての選択肢を拒否した」という。
報告書がオランダ政府に提案した対策には、Chrome OSとChromeブラウザの使用を禁止することや、データ処理が「1つ以上の法的根拠に基づく」までWorkspace Enterpriseを使用しないことなどが含まれている。
Google Cloud の EMEA 担当副社長 Samuel Bonamigo 氏は、更新されたレポートに応えて、Workspace のプライバシーとセキュリティについて投稿しました。
ボナミゴ氏は、「当社は顧客データやサービスデータ(使用状況アクティビティなど)を広告ターゲティングに使用することは決してありません」とし、「当社は顧客との契約に定められた指示に従ってのみクラウド顧客データを処理します」と述べた。
同氏はさらに、「今後数ヶ月間、オランダ政府と調査結果について協議を続け、合意に達することを目指します」と付け加えた。®
