ソフトウェア開発者は、暗号鍵サーバーはEUの一般データ保護規則に「直接違反」していると主張した。
Michael Drahony (別名 yakamok) は、電子メール暗号化ユーティリティとして PGP を使用することで生じる潜在的なコンプライアンスの問題を強調するように設計されたプログラム (GitHub 上) を作成しました。
「現在、リクエストに応じてキーサーバーからデータを削除することはできません」とドラホニー氏はEl Regへのメールで述べた。「キーサーバーに投稿されたデータは他のキーサーバーにも伝播するため、ある意味でデータは不滅です。」
ドラホニー氏の主張は安全保障専門家の間で活発な議論を巻き起こした。
暗黙の同意
ユーザーは意識的に公開 PGP キーをキー サーバーに配置することを決定しますが、データを削除できないという事実は依然として問題になるでしょうか?
栄光の不確実性:バックアップ業界はGDPRの時代を迎えている
続きを読む
GDPRでは、要求に応じてデータを削除または消去する義務は「それが現実的である場合にのみ適用される」と、業界誌Virus Bulletinの編集者であるMartijn Grooten氏は述べています。「PGP鍵サーバーの場合、このケースには当てはまらないという意見もあるかもしれません。」
英国サリー大学のコンピューター科学者で暗号学者のアラン・ウッドワード教授は、誰かが公開PGPキーを共有する場合、個人情報を開示することと暗号化された電子メールで連絡を受けることに暗黙の同意があると述べた。
「UIDが名前であれば、名前、メールアドレス、キーが公開されます。それがポイントなので、ICOが文句を言うとは考えられません」と彼はコメントした。
これらの考慮事項は、「匿名」のメールアドレスがPGP鍵に関連付けられている場合でも当てはまります。メールアドレスは個人に固有のものです。「たとえそのアドレスの背後に誰がいるのか特定できなくても、それは依然として個人データです」とグローテン氏は付け加えました。
他の専門家は、この事件全体を、さほど問題ではないとみなす傾向にあった。
アイルランドのCSIRT創設者であり、情報セキュリティコンサルタントでもあるブライアン・ホナン氏は、次のようにコメントしています。「読者が指摘しようとしている問題が何なのか、私にはよく分かりません。まず、PGP公開鍵はサーバー上に存在し、鍵の所有者によってそこに配置されています。次に、インターネット上のどのサーバーでも、盗まれたデータをホストするために利用される可能性があります。」
ドラホニー氏は、削除免除の実現可能性についてグローテン氏の意見に反対した。「個人が自発的に情報を提出させられた場合、それはGDPR第17条7項に違反しており、削除が容易でなければならないが、今回の場合はそうではない」とドラホニー氏は述べた。
「また、個人は同意を与えたのと同じくらい簡単に、いつでも同意を撤回できなければなりません。これは、データが不当に遅滞することなく公衆の目から削除されなければならないことを意味します。」
この問題は決して明確ではない。
学術界の法律専門家であるアンドリュー・コーマック氏は、「継続的な公表は『収集目的との関係で必要』であるように思われます。『同意に基づく処理』を主張すべきではありません」と述べています。®
