一流のオランダ研究教育協会とのコラボレーションで Zoom のデータ プライバシー保護を向上

本日、SURF から公開されている、Zoom のミーティング、ウェビナー、チャットのサービスに関するデータ保護影響評価（DPIA）の公開を発表いたします。

SURF はメンバーに代わって、主要ソフトウェア サプライヤーと交渉し、ツールの欧州のプライバシーおよびセキュリティ基準へのコンプライアンスの獲得と評価を行い、調査結果を DPIA に文書化します。 これにより SURF の会員は、ビデオ カンファレンス ツールなどのソフトウェアを購入する際に、自由に選択することができます。

SURF が公開する DPIA は、テクノロジー プロバイダーの重要なベンチマークであり、データ保護およびリスク分析に関する現在のパフォーマンスを正確に追跡するとともに、プラクティスを向上する機会を特定します。

Zoom は、今回の DPIA の作成における SURF の協力に感謝しています。 DPIA は、Zoom のデータ プライバシーに対する継続的改善の取り組みを支援するとともに、Zoom が欧州のデータ保護ポリシーおよび原則を尊重していることを反映しています。 Zoom は、欧州の企業、政府、市民とのエンゲージメントを拡大することを約束します。

DPIA は、企業のデータ収集および使用のプラクティスに関する技術的および法的な詳細なレビューで、欧州連合（EU）のデータ保護に関する法律、特に EU 一般データ保護規則（GDPR）への準拠を判断するものです。 DPIA は、企業が個人データの処理、その処理に伴うリスクの洗い出し、そうしたリスクを軽減するための措置の提供をどのように行っているかを分析します。

DPIA の評価プロセスにおいて、Zoom はデータの収集および利用のプラクティスを特定し、それらのプラクティスを実証する証拠を提供しました。 SURF は、Zoom の現在の能力を評価し、DPIA の中でプラクティス向上のための提言を行いました。すべては欧州市民に対するデータ保護を強化するための取り組みです。

評価はこの発表で下記のとおり公開します。

SURF と Zoom は、DPIA に関して協働する過程で、いくつかのアクションについて合意しました。 これには以下を含みます。

• 新たなプライバシー機能の開発:
  • データ ロケーション ソリューション: 欧州の Zoom 顧客は、米国における個人データの処理に関してプライバシー上の懸念を抱いており、すべての個人データが欧州で処理されることを望んでいます。 Zoom は、SURF と相談して、今年末までにこれをほぼ実現することを約束しています。 例外がある場合には、合意し文書化します。
  • EU サポート サービス: Zoom は、2022 年半ばまでに個別の欧州サポートデスクを設立し、EU での業務時間に EU アカウントのサポートを行います。 EU アカウントがこの業務時間外にサポートを必要としたり、エスカレーションにより EU 域外のサポートを必要としたりする場合、Zoom は、お客様が明示的に同意する場合にのみ、各サポート チケットを用いて、そのようなサポートを提供します。
  • データ主体アクセス リクエスト（DSAR）: Zoom は、お客様が、エンタープライズ アカウント管理者および教育機関向けアカウント管理者用の 2 つのセルフサービス ツールを用いて、DSAR に応答する能力を強化します。
  • コミュニケーション設定センター: Zoom は、2022 年末までに、すべてのアカウント オーナー向けにマーケティング設定用セルフサービス ツールを開発します。

• 透明性とドキュメンテーションの向上:
  • プライバシー データシート: Zoom は、定期更新されるプライバシー データシートを公開することで、個人データの処理に関する公開ドキュメントを改善しました。
  • データ転送影響評価（DTIA）の更新: Zoom は、スイス人法学者 David Rosenthal が作成したフォーマットに基づき、新しい DTIA を作成しました。 この DTIA は、Zoom を利用している個人に対するプライバシー リスクが無視できるレベルであることを示しています。
  • Zoom の役割と責任の明確化: Zoom は、教育機関向け顧客およびエンタープライズ顧客（データ コントローラ）が 、Zoom に独立したデータ コントローラとして一部の個人データを「追加的に」処理するよう許可している限られた状況を除き、すべての個人データについて Zoom をデータ プロセッサとして再分類するのが適切であると同意しました。 これは、Zoom が一般公開されているウェブサイトから収集する個人データにも適用されます。

• Zoom のデータ保護プラクティスの強化:
  • 個人データの保存: Zoom は、お客様の個人データを保存するプラクティスを明確化し、最小化しました。
  • 設計とデフォルトを通じたプライバシー保護: Zoom により、製品開発ライフサイクル全体にわたって、設計とデフォルトのプロセスを通じた堅牢かつ積極的なプライバシー保護が実装されます。
  • 従業員トレーニング: Zoom は、従業員に新しいトレーニングを展開し、すべての人に幸せを届けながら、プライバシー保護を常に考慮するよう徹底しています。

• 進捗状況の測定: Zoom は、SURF とともに、データ保護向上の機会と目標達成に向けたロードマップを文書化しました。 SURF と Zoom は隔月の予定で進捗状況について協議します。

Zoom は、SURF と Zoom 間の DPIA に関する協力および今後に向けた協力の両方が、Zoom のベンチマークに役立ち、データ プライバシーとデータ保護の戦略を発展させるだろうと述べています。

DPIA で述べられているように、「Zoom による多くの改善策と、限定的な特定の目的による新たな DPA のおかげで、Zoom のお客様は、契約上の保証とプライバシー管理に頼って、あらゆる個人データが承認された目的以外で処理されることがないようにできるようになるはずです。」

Zoom のプライバシーとセキュリティについて詳しくは、トラスト センターをご覧ください。