ヨーロッパの教育機関によるプライバシー評価を支援

※この投稿は米国時間 2022 年 8 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。

生徒と教育者の誰もが、プライベートで安全な学習ツールにアクセスできるべきです。Google Workspace for Education と Chromebook によって教育と学習は積極的に変革され、世界中の 1 億 7,000 万人以上の生徒と教育者にとって安全な学習環境が実現しています。Google の教育プロダクトは、データ保護を中心に構築されており、学校管理者は Google のサービスを使う際にプライバシー コンプライアンスを示すことが可能です。

ヨーロッパの学校は、Google のようなテクノロジー プロバイダのプロダクトやサービスを使う前に、EU の一般データ保護規則（GDPR）または同様の法律により、データ保護影響評価（DPIA）の実施を求められることがあります。Google Workspace for Education を使っている学校は、学校とその生徒が Google のコアサービスを通して提出、保存、送信、受信した個人データの管理者1とみなされます。GDPR では、データ管理者は DPIA が必要かどうか評価し、必要に応じて DPIA を完了する責任があります。

GDPR のもとで複雑な DPIA の要件を満たすことは、多くのお客様にとって難しい場合があります。管理者であるお客様のみが DPIA を完了できますが、お客様がこれらのコンプライアンス義務を果たせるよう Google がサポートします。Google の Cloud DPIA Resource Center（Cloud データ保護影響評価リソース センター）では、GDPR のもとでお客様が負う可能性のある DPIA に関する義務についての概要と、お客様（およびその弁護士）がこれらの法的義務を評価し、果たすための出発点として使用できる Google Workspace for Education に関する情報をご確認いただけます。

Google Workspace for Education について、すべての保護者と教師が知っておくべきこと

Gmail、Classroom、カレンダー、グループ、ドライブ、ドキュメントなどの Google Workspace for Education のコアサービスにおいて、Google はそれぞれのお客様が文書化した手順に沿ってのみ、お客様とそのエンドユーザーから提供されたデータ（個人データを含む）を処理します。これらのコアサービス内のデータが広告目的で使用されることは決してなく、広告がコアサービス内に表示されることもありません。

これらのコアサービスによって生徒と教育者が得られるメリットの例をいくつかご紹介します。

• Google カレンダーとグループでは、個人およびチームのカレンダーを管理し、グループを作成することで、学校の管理を効率化できます。

• Google ドキュメントとドライブでは、クラスメートがリアルタイムで共同作業を行えます。

• Google Classroom では、教育者が生徒に対して安全かつプライベートにフィードバックを提供し、両者の時間を節約できます。

• Google Classroom では、教育者が今後の授業を計画する際に、成績の傾向を考慮することもできます。

Google Workspace for Education のコアサービスを使う場合、学校がコンテンツを最初から最後まで管理します。また、学校のシステムにおけるドメイン管理者は、Google のプライバシーとセキュリティの設定を使用して、このデータを直接管理できます。ドメイン管理者は柔軟かつ自律的にデフォルト設定を変更し、高度なセキュリティ アップグレード オプションを使用または有効にして、データ保護要件を満たせます。Chrome には、Google がデータにアクセスできないことを保証する同等の設定があります。たとえば、管理者は完全にChrome 同期を無効にすることで、同期データが Google に送信されないようにできます。また、お客様はさまざまなブラウザとオペレーティング システムで、Google Workspace for Education を使用できます。さらに、今のところ他のクラウド プロバイダにはない Google の高度な暗号化技術を使って、Google の担当者がお客様の明示的な許可なしで鍵サービス2に関連する顧客データを復号できないようにできます。  

Google は Google のプロダクトを使う学校と同じ目標を共有しています。それは、教育者と生徒の安全を守りながら、学習を支援することです。学校がテクノロジー ニーズを評価し、リスク評価を実施する際、Google は学校と協力して、その過程で生じる可能性のあるあらゆる疑問に答える手助けをします。Google は、ヨーロッパ全体の DPIA を実施する多くのお客様と協力し、お客様をはじめ、規制当局や政策担当者などの関係者と定期的に連携することで、Google のオペレーション、ポリシー、プラクティスの透明性を確保しています。ここに Google の核があり、Google が行っているプライバシー コンプライアンスへの取り組みが凝縮されています。

このようなコラボレーションの最近の例として、オランダ政府は Google Workspace for Education に対して DPIA を実施し、オランダの学校におけるクラウドの導入を促進しています。この取り組みの結果として、Google は新しいサービスデータのプライバシーに関する契約上のコミットメントを提供する予定であることを発表しました。これは顧客データに対するコミットメントと一致するものです。この新しいコミットメントが一般提供されると、Google はお客様の指示によりデータ処理者としてサービスデータを処理することになります。ただし、一部の限定的な処理3に関しては、引き続きデータ管理者としてデータを処理します。これらの変更によって、ヨーロッパの規制当局およびお客様の要件に対応できると確信しています。

また、すでにご存じかもしれませんが、Google Workspace for Education と Chromebook に関してヘルシンゲル市の自治体が実施した DPIA について、最近デンマークのデータ保護機関がある裁定を下しました。この裁定はヘルシンゲル市にのみ影響するものですが、このことは多くのヨーロッパの国で懸念を生じさせることになり、学校で使用する Google Workspace for Education および Chromebook のプライバシーとセキュリティについて誤解を招きました。デンマークのデータ保護機関は、裁定の根本的な理由は Google Workspace for Education のプライバシー、セキュリティ、GDPR コンプライアンスに関する不備ではなく、デンマークにおける Google Workspace for Education の使用を禁止しているわけではないということを、国内のメディアなどで明確に伝えています。Google はヘルシンゲル市と協力して、質問への回答、Workspace for Education 管理コンソールの技術的な設定の確認、データ保護影響評価を実施した他のヨーロッパのお客様によるベスト プラクティスの共有に取り組んでいます。

Google では、あらゆるテクノロジー プラットフォームやオンライン サービスを使用して生徒のデータを処理する際に、データに関連するリスクを学校が評価することが最も重要であると認識しています。Google の Cloud DPIA Resource Center を活用することで、お客様が GDPR を遵守して Google Workspace for Education の評価を完了できることを願っています。Google は引き続き、お客様が生徒のデータを適切に保護するのに必要なツール、リソース、サポートを提供していきます。

Google が収集するデータとその使用方法について詳しくは、Google Workspace for Education のプライバシーに関するお知らせをご覧ください。

^{1. GDPR によれば、データ管理者は個人データを処理する目的と手段を決定します。}

^{2. 現在、Google の CSE 暗号化は Google ドライブと Google ドキュメントで利用可能であり、現時点で対象となっている他の鍵サービスは、Google スプレッドシートと Google スライドです。2022 年末までに Gmail、Google カレンダー、Meet への機能拡張が予定されています。}

^{3. たとえば、支払いとアカウント管理、キャパシティ プランニングと予測モデル、セキュリティ リスクや技術的な問題の検出、防止、対応などです。}