ほとんど誰も気づかない問題
弁護士がクライアントから機密書類を受け取ります。医師が同僚と診断について話し合います。心理士が精神科医と患者の治療を調整します。税理士が申告データを送ります。全員がメッセージアプリでそれを行っています。そしてほぼ誰も、そのメッセージがどこに行き着くかを考えていません。
答えは、ほとんどの場合、管理できないサーバー、知らない法律の国、データを蓄積することがビジネスモデルの企業が運営するサーバーです。メッセージは転送中に暗号化されているかもしれませんが、サーバーに到達すれば、他者のインフラに保存されたコピーです。
法律が定めていること
欧州GDPRは明確です。第三者の個人データを扱う者は、適切な技術的措置で保護する責任があります。善意だけでは不十分です。アプリが暗号化していると言うだけでは不十分です。クライアントのデータが欧州の規制に準拠していないサーバーにあるなら、責任はあなたにあります。
GDPRだけではありません。守秘義務 — 弁護士、医師、心理士、監査人などに対して規制されている — は、クライアントとのコミュニケーションが機密であることを求めます。「可能な限り」機密ではなく、真に機密です。使用するチャネルが技術的にそれを保証できなければ、負うべきでないリスクを負っていることになります。
専門家に必要なものは?
機密情報を扱う専門家が必要とするものは驚くほどシンプルです。メッセージが自分のデバイスから受信者のデバイスへ、中間サーバーを経由せずに直接届くチャネル。クラウドにコピーが残らないこと。個人の電話番号を教える必要がないこと。インフラが欧州の規制に完全に準拠していること。
複雑なアプリは必要ありません。研修も必要ありません。働き方を変える必要もありません。すでに使っているもの — インスタントメッセージ — と同じものが必要です。ただし、情報が会話に参加する2人のデバイスから出ないという技術的保証付きで。
暗号化と非保存の違い
メッセージを暗号化してサーバーに保存するのは、書類を金庫に入れて見知らぬ人の家に置いておくようなものです。金庫は確かに良いものです。でも書類はまだ他人の家にあります。その他人は裁判所命令を受けるかもしれない、サイバー攻撃に遭うかもしれない、単に利用規約を変更するかもしれません。
代替案は、書類があなたのオフィスを出ないことです。あなたのデスクからクライアントのデスクへ、仲介者を介さず直接届くこと。これがデバイス間の直接通信が行うことです。仲介者を排除します。仲介者が悪いからではありません。仲介者が不要だからです。セキュリティにおいて、不要なものは常にリスクです。
責任の問題
結局のところ、すべての専門家が自問すべき問いはこうです。もし明日クライアントとの会話が漏洩したら、技術的に安全なチャネルを使っていたことを証明できますか?データが私たちのデバイスから出なかったことを証明できますか?別の大陸の企業の善意に頼らなかったことを証明できますか?
クライアントとのコミュニケーションに選ぶツールは、あなたが彼らの信頼をどう評価しているかを物語っています。信頼が約束ではなく、アーキテクチャに依存するよう設計されたツールがあります。