ブロックチェーンなどの新しい技術は分散型台帳とよばれ、データの分散管理とイミュータビリティーという特性をベースに、セキュリティの向上、透明性の向上、そして復元力を約束します。
一方、EU一般データ保護規則(European Union General Data Protection Regulation、以下「GDPR」、2018年5月25日施行)は、EU市民から得た、またはEU市民に関する個人データの使用と保護について規定しています。
この規則は個人データを広範囲に定義するもので、特定された、または識別可能な自然人に関するあらゆる情報が含まれます。欧州現行法の解釈によれば、暗号化した、またはハッシュ化した個人データに加えて、特定の個人を紐付ける公開鍵暗号にまでその範囲は及びます。
また、組織によるGDPRの違反には厳格な罰則が設けられており、全世界での売上高の4%、もしくは2000万ユーロのうちでより高額な方を上限とした制裁金が科されます。
GDPR:集中管理型、制限的、消去可能
GDPRは、特定可能なデータ管理者が個人データを管理し、そのデータ管理者または特定可能で限定した処理者とサブ処理者がデータを処理することを前提に策定されています。個人データの使用を保護するには、データ管理者と処理者は自社が保有する個人データにアクセスできるのは誰で、どこで誰に移転され、そして誰によってアクセスされているかを管理しなければなりません。
また、GDPRはEU市民に個人データに関して一定の強制力を付与しています。例えば:
- 個人データの取得された目的のために、そのデータがもはや必要ではなくなった場合、その個人がデータ取り扱いへの同意を撤回した場合、または違法な個人データ処理が継続している場合、個人データを消去させる権利を有する
- 不正確な個人データの訂正を求める権利を有する
- データの正確性に不服が申し立てられた場合、データの処理がもはや必要ではなくなった場合、または個別の異議申し立てがある場合、データの処理を制限させる権利を有する
これら権利の適用は、一人のデータ管理者と把握可能な数の処理者による集中管理型のデータベースであれば理解できなくもないですが、分散型の場合果たしてどのように適用すればよいのでしょうか?
ブロックチェーン:非集中型、分散型、イミュータブル
ブロックチェーンには、ビットコインなどの誰でも参加できるパブリック型と、管理者の許可が必要となるプライベート型(特定の参加者グループに制限した利用)があります。プライベート型では、プライベートチェーンを構築する組織がデータ管理者であり、GDPR遵守に直接的な責任を負います。これに対しオープン型では、ブロックチェーンにEU市民の個人データを加える個人や組織の誰もがデータ管理者とみなされるかもしれません。そして、GDPRの遵守に責任を負うことになるかもしれないのです。
ブロックチェーンの参加者についても同様です。オープン型またはプライベート型ブロックチェーンを問わず、ブロックチェーンの管理体制に応じて、少なくともデータ処理者と見なされることは間違いなく、場合によってはデータ管理者とみなされるかもしれません。
一般的にブロックにはヘッダーと暗号化されたコンテンツ(ペイロード)が含まれますが、オープン型では参加者全員がヘッダーを閲覧することが可能です。プライベート型では取引ごとに閲覧者をコントロールすることもできます。ブロックチェーンは、ブロックに記録されたデータの変更や削除が出来ないことから、非常に信頼の高いデータベースと言えます。
ブロックチェーンとGDPRは共存できるのか?
いいえ、オープン型ブロックチェーンでは無理があります。プライベート型ブロックチェーンでも、現存する技術と現行のEUデータ保護法の解釈では簡単ではありません。最もハードルが高い問題は二つあって、管理とデータの消去です。
データ管理者は、個人データのアクセス、拡散、処理、そしてサブ処理を管理する責任を負います。これを現実的にオープン型ブロックチェーンへ適用することは不可能です。一方、プライベート型では細心の注意と入念な準備が必要となるでしょう。一例として、データ管理者は各データ処理者、つまりブロックチェーンの参加者全員と、書面によるデータ処理の合意に備える必要がでてくるかもしれません。
次に、データの消去では二つの解決策が考えられます:
- オフチェーンストレージ
- 個人データを恒久的にアクセス不能にするプロセスを構築する(「ブラックリスト方式」)
オフチェーンストレージ
選択肢の一つは、ブロックチェーンのネットワーク外に個人データを保管し、個人データに接続された参照値(リンク)とハッシュ値のわずかな情報をブロックチェーンに保管します。これであれば、ブロックチェーンの形態を維持したまま、個人データを取り除くこと(消去)が可能です。しかしこの手法では分散型台帳が持つ多くのメリット、例えば優れた安全性や冗長化による迅速な復旧などを諦めることになります。
ブラックリスト方式
データの「消去」についてGDPRは定義していません。Interplanetary Database FoundationのGreg McMullen氏(ドイツを拠点とする弁護士でブロックチェーンのエキスパート)は、暗号化した個人データにアクセスできる暗号鍵の破棄が消去にあたるとみるべきだが、但しこれは、ベストプラクティスに則り、監査可能な状況下で実施されることとしています。しかし、データ保護法の当局側がこの考え方をどう受け止めるのか、その判断を待つ必要があります。
結論
プライベート型ブロックチェーンを構築する場合、GDPRを念頭に置き、次の点を十分明確にした上で取り組みます:
- EU市民の個人データへのアクセス権を有する者
- データの管理方法
- 規則に準拠した処理者の管理、そして
- 個人データの閲覧、修正、消去、そして制限の求めに対する対処法
詳細は、Michèle Finck氏の記事「Blockchains and Data Protection in the European Union(欧州連合におけるブロックチェーンとデータ保護)」でご確認いただけます。.
トリップワイヤが提供する基本的なセキュリティコントロールは、GDPRの遵守と維持に役立てることが可能です。詳細についてはこちらをクリック。
