マイクロソフトが広範囲かつ内密な個人データ収集により巨額制裁金対象の可能性


マイクロソフトが広範囲かつ内密な個人データ収集により巨額制裁金対象の可能性 −オランダ当局がOfficeのDPIAを実施−

オランダ法務省が委託したMicrosoft Office に関するデータ保護影響評価(DPIA)が2018年11月5日付けで報告された。同報告は、Microsoft Office が「広範囲かつユーザーに知りえぬ手段」で収集した診断データ(diagnostic data:遠隔で収集するデータを含む)を保存していることについて、大きなリスクがあるとする。

オランダ政府では、30万人程度がMicrosoftのOffice Proplus Suite を利用しており、Office 365 サーバーに接続されている。Microsoft が収集するデータは次の3種類。
   ●顧客データ:ドキュメントファイル、通信のコンテンツなど
  ●診断データ:個々のユーザーのふるまいに関するイベントログなど
  ●機能データ:Microsoft のインターネットサービスに接続するために必須のもので、使用直後に削除、または、匿名化されるもの

この中で、問題とされているのは診断データである。このデータは、システムが生成したイベントログ等から収集され、定期的にMicrosoftに送られるが、2万5千種類のイベントを20から30の分析チームが分析し、様々な目的で利用している。このような個人データ収集に関して、マイクロソフトは資料を公開していない。オランダ政府は、このような個人データ処理は、以下の観点から違法であるとしている。
  ●透明性の不足
  ●診断データの収集を終了させる手段がない
  ●機微/機密/特別カテゴリーデータの不法な保管
  ●共同管理者であるべきところを処理者と誤って認定したこと
  ●復処理者や実際の処理における不十分な管理
  ●目的限定の欠如
  ●EEA域外への個人データ移転の根拠としているPrivacy Shieldが訴訟手続き中であること
  ●診断データ保持期間が不定であること、削除ツールの欠如

これのリスクを緩和する対策について、オランダ政府とMicrosoftでの検討がされているが、まだ合意に至ってはいない。

https://www.privacycompany.eu/en/impact-assessment-shows-privacy-risks-microsoft-office-proplus-enterprise/

関連記事