TLS は電子メールを安全に暗号化し、GDPR に準拠するには十分ですか? 多くの人は「はい」と答えますが、それは弁護士次第です。 でも何のために? SSEPPmail の tephan Heimel がこの疑問に光を当てています。
エンド カスタマーとコンサルティングおよび導入企業の両方で、「GDPR に準拠した方法で通信するには TLS (Transport Layer Security) で十分である」という意見を耳にすることが増えています。通常、その背後には、暗号化通信 Exchange を介して通信するための最も単純な方法を求める欲求があります。他のコミュニケーションパートナーとの電子メール。 残念ながら、これは誤った結論です。
GDPRにはこう書いてあります
この評価を法的な観点から見るには、GDPR の第 32 条「処理のセキュリティ」と GDPR の第 83 条を詳しく見ることをお勧めします。
GDPR の第 32 条では、個人データの処理責任者は、このデータが不正アクセスから保護されていることを保証する必要があると規定しています。 義務を負う当事者は、適切な技術的および組織的措置を講じなければなりません。 ここではデータの仮名化と暗号化が可能です。 暗号化により、個人データへのアクセスを許可されていないすべての人が個人データにアクセスできないようにする必要があります (GDPR 第 34 条第 3 条を参照)。 ここでは、あらゆる場合に TLS が適切なテクノロジであるかどうかを自分で判断できます。
漠然とした答えには注意してください
法的な観点から見ると、包括的な声明が良いアプローチであることはほとんどありません。 そのため、弁護士の最初の答えは通常、「状況によります…」となるのです。
紛争が生じた場合には、問題の事実をケースバイケースで調査する必要があります。 テストでは、暗号化がまったく必要なかった、TLS 暗号化で十分だった、または純粋な回線暗号化に加えてコンテンツのエンドツーエンド暗号化を使用する必要があったことが示される場合があります。
「GDPR 準拠の通信には TLS で十分である」などの一般的な記述には注意が必要です。 データ保護規制を遵守するためには、責任者 (EUGDPR 第 4 条第 7 号に従って) が引き続き責任を負います。 なぜなら、リスクが彼にあるだけでなく、その結果は、必要に応じて個人的にも彼に影響を与えるからです。 考えられる制裁には、経営陣やコンプライアンス、データ保護、情報セキュリティの特別代表者に対する求償請求などが含まれる。 損害賠償は通常、民法に基づいて請求されます。 これには、責任制限のない経済的損失も含まれます。 公法に基づく制裁には、罰金、懲役または行政罰が含まれます。 規制措置により、事業の閉鎖につながる可能性もあります。
安全な電子メール通信の技術
これらの潜在的な危険性を考慮すると、リスクを最小限に抑え、電子メールのセキュリティを最大限に高めるために、可能な限りあらゆる実践的な措置を講じることが重要です。 頻繁に使用される TLS 暗号化に加えて、機密メールを保護するために他のさまざまな暗号化方式を使用できます。 これには、エンドツーエンドの暗号化を提供し、承認された受信者のみがコンテンツを復号できるようにする S/MIME や PGP などのテクノロジーが含まれます。
同様に、自発的暗号化の使用は、必要に応じて特定の電子メールまたはメッセージを暗号化し、追加のセキュリティ層を作成するための実行可能なオプションです。 これらのテクノロジーはすべて、基礎となるインフラストラクチャ上に構築する必要がなく、送信機と受信機の間で独立して機能するように開発されました。
理想的には、電子メール通信の機密性と完全性がいかなる状況においても GDPR 違反の理由にならないように、これらのテクノロジーを組み合わせます。
詳細はSEPPmail.de
SEPPmailについて
スイスとドイツに拠点を置く、国際的に活動し、所有者が管理する SEPPmail は、「セキュア メッセージング」分野のメーカーです。 自発的で安全な電子メール トラフィックを実現する、数々の賞を受賞した特許取得済みのテクノロジは、電子メッセージを暗号化し、必要に応じてデジタル署名を提供します。 安全な電子メール ソリューションは世界中で利用可能であり、電子メールを使用した安全な通信に永続的に貢献しています。