GDPRと書類: PDFのアップロードについて法律が定めること
個人データを含むPDFをクラウドツールへアップロードすると、GDPR上の義務が発生する可能性があります。何が「処理」にあたるのか、処理者とは誰か、なぜローカル処理が有利なのかを解説します。
請求書を縮小しようと、無料のオンラインツールにドラッグして放り込む。そこには依頼者の氏名、住所、ひょっとすると納税者番号が載っています。5秒後にはより小さなファイルが手に入り、あなたは次の作業へ移る。今、何か法的なことが起きたのでしょうか。
GDPRのもとでは、その可能性は十分にあります。そして書類は無害に見え、ツールは無料に見えたため、ほとんどの人はそれについて考えもしません。
これは法的助言ではありません。私はあなたの弁護士ではなく、状況ごとに固有の事情があります。それでもルールの輪郭を理解しておく価値はあります。なぜなら、それは他人のデータを含む書類をどう扱うべきかを変えるからです。
GDPRが「処理」と呼ぶもの
GDPRはデータベースやマーケティングリストに関するものだと、人々は思い込んでいます。実際の定義はもっと広いものです。処理とは、個人データに対して行うほとんどあらゆる行為を指します。収集、保存、閲覧、変更、共有、削除。規則は文字どおり「参照」や「使用」を処理の一形態として挙げています。
ですから、あなたのPDFが個人データを含み(氏名に電話番号が1つ加わるだけで既に十分です)、そのファイルに何かをすれば、あなたは個人データを処理していることになります。圧縮も該当します。結合も該当します。変換も該当します。
それ自体は問題ではありません。企業は一日中、個人データを処理しています。GDPRが問うのは、あなたがどのようにそれを行うか、そして道中でほかに誰がそのデータに触れるか、です。
なぜアップロードは「処理者」を招き入れるのか
ここでクラウドの部分が重要になります。その請求書を外部サービスへアップロードすると、ファイルはあなたの管理を離れ、他人のサーバー上に着地します。その会社は今や、あなたに代わって個人データを処理しています。GDPRにはその名前があります。処理者です。そうしようと決めたあなたは、管理者です。
処理者が関与した瞬間から、管理者には現実の義務が生じます。大きなものは第28条です。あなたはその処理者と書面による契約を結ぶ必要があり、これはしばしばデータ処理契約(DPA)と呼ばれます。それは、彼らがデータに対して何ができるか、どう保護するか、いつ削除するか、そして第三者に渡せるかどうかを明記しなければなりません。
先月使った無料のPDFツールについて、立ち止まって考えてみてください。彼らとDPAに署名しましたか。彼らのサーバーがどこにあるかを読みましたか。彼らのサブ処理者が誰かを確認しましたか。ほぼ確実に、していないでしょう。あなたは他人の個人データを含むファイルを、契約のない会社へアップロードしたのです。そこに穴があります。
国際移転の落とし穴
サーバーがEU域外にあると、話はさらに厄介になります。個人データを別の国のプロバイダーへ送ることは移転であり、GDPRはそれを制限します。標準契約条項やその国に対する十分性決定など、有効な法的根拠が必要になります。
ほとんどの無料ツールは、どこで稼働しているのかを教えてくれません。ファイルは別の大陸のデータセンターで処理され、キューを通され、ストレージバケットにキャッシュされているかもしれず、あなたにはそれを知る術がありません。個人の休暇の写真なら結構です。依頼者のデータで埋まった契約書では、あなたは知らぬ間に、記録に残せない国際移転を行ってしまったことになります。
最小化、誰もが忘れる原則
GDPRにはデータ最小化という原則があります。実際に必要な個人データだけを、最も侵害の少ない方法で処理すべきだ、というものです。いとこのような原則もあります。プライバシーは事後ではなく、プロセスを設計する段階で考えよ、というものです。
それをPDFの圧縮のような単純な作業に当てはめてみましょう。依頼者の契約書を小さくするために、サードパーティのサーバーへ送る必要があるでしょうか。いいえ。圧縮はあなた自身のマシン上で起こせます。それを外へ送ることは、処理者を1つ、あなたが結んでいない契約を1つ、そしておそらく正当化できない移転を1つ追加します。すべてはファイルサイズを変えるためだけに。それは最小化の正反対です。
なぜローカル処理は、このほとんどを回避できるのか
ここが、問題全体を小さくしてくれる部分です。ファイルが端末から一歩も出なければ、第三者はそれを処理しません。処理者がいなければ、追いかけるべき第28条の契約もありません。国境を越えるものは何もなく、ゆえに正当化すべき移転もありません。あなたは依然として管理者であり、データ主体に対して通常の注意義務を負いますが、書類仕事の大きな塊が単純に適用されなくなります。ほかの誰もそのデータに触れていないからです。
これが、完全にブラウザ内で動作するツールの背後にある考え方です。コードはローカルで、あなたのコンピューターのメモリ内で作業を行い、PDFはその場に留まります。それが私たちがreader.meを作った方法です。あなたがPDFを圧縮するとき、ファイルはブラウザ内で処理され、私たちのサーバーには決して届きません。ブラウザのDevToolsを開き、Networkタブを見れば、あなたの書類を含むものが何も外へ出ていないことを確認できます。
企業とフリーランサーのための実践ステップ
正しい側に立ち続けるための、いくつかの習慣です。
- 氏名、各種番号、連絡先を含むあらゆる書類を、個人データとして扱う。 請求書、契約書、履歴書、医療フォームはすべて該当します。
- 何かをクラウドツールへアップロードする前に、処理者が誰かを尋ねる。 DPAがない、サーバーの所在地について明確な答えがない場合は、依頼者のデータをそこに通さないこと。
- 圧縮、結合、分割のような日常業務には、ローカルツールを既定にする。 ブラウザ内で動作するなら、精査すべき処理者はいません。
- 個人データに触れるサービスの簡単な記録を残す。 GDPRはいずれにせよ、管理者がこれを把握していることを期待しています。
- 本当にクラウドサービスが必要なときは、実体のあるDPAを提供し、データの所在を教えてくれるものを選ぶ。
ルールは重く聞こえますが、日々の解決策は軽いものです。ほとんどのPDF作業に、サーバーはそもそも要りません。ファイルをあなたのマシン上に留めれば、法的な重みのほとんどは、そもそもあなたに降りかかってこないのです。