あなたが知らなかった問題
もしあなたの会社が従来のメッセージングアプリを通じて請求書、注文書、納品書、または顧客データを含む文書を送信しているなら、そのデータはおそらくヨーロッパにないサーバーを経由しています。あるいはヨーロッパにあったとしても、外国の法律に従う企業のものです。GDPRはそれについて言いたいことがあります。
欧州のデータ保護規制は、あなたのデータがどこにあるか、誰がアクセスできるか、どの管轄下にあるかを把握することを求めています。中央サーバーを持つメッセージングアプリを使用すると、あなたの文書はあなたが管理していないインフラを通過します。あなたの顧客のデータは——たとえ一時的であっても——別の会社の、別の国の、別の法律の下にあるマシンに保存されます。
サーバーがないと何が変わるか
ピアツーピア通信では、データは送信者のデバイスから受信者のデバイスに直接送られます。中間サーバーを経由しません。第三者のインフラに保存されません。文書はルーゴにあるあなたのコンピューターを出て、バルセロナにあるあなたの顧客のコンピューターに届きます。あるいはベルリン。あるいはリスボン。しかしSilicon Valleyを経由することは決してありません。
これは些細な技術的詳細ではありません。ここでは、GDPRへの準拠は努力と善意によって実現するのではありません。アーキテクチャが違反を不可能にするから実現するのです。第三者への転送がないため、国際的なデータ転送はありません。データはあなたのデバイスと相手のデバイスにあります。それ以外のどこにもありません。
誰にとって重要か
もしあなたが弁護士で、メッセージングを通じてクライアントに契約書を送っているなら、その契約書のデータはサーバーを経由します。もしあなたが税理士で確定申告を共有しているなら、そのデータはサーバーを経由します。もしあなたが医師で患者に報告書を送っているなら、健康データはサーバーを経由します。これらすべてのケースで、あなたは機密情報の管理を、あなたが選んでおらず管理もしていない企業に委ねています。
意図的に何か間違ったことをしているわけではありません。使っているツールが他の選択肢を与えてくれないのです。あなたの業務データが第三者のサーバーを経由しない唯一の方法は、通信が直接的であることです。仲介者なし。あなたの画面から相手の画面へ。
自動的なコンプライアンス
P2P通信では、メッセージングプロバイダーのサーバーがどこにあるかを監査する必要がありません。Privacy ShieldやEUの標準契約条項への準拠を確認する必要がありません。データが「欧州経済領域外で処理される可能性がある」と説明する条項をプライバシーポリシーに追加する必要がありません。第三者があなたのデータを処理していないため、これらは一切適用されません。
コンプライアンスは誰の善意にも依存しません。プロバイダーとのデータ処理契約にも依存しません。アメリカの企業が欧州の法律への取り組みを維持することにも依存しません。アーキテクチャに依存します。そしてアーキテクチャは検証可能で、不変で、考えを変えることがありません。
次の監査への質問
次に誰かがあなたの顧客のデータがどこにあるか尋ねたとき、最良の回答は「私のデバイスと相手のデバイスにあります。それ以外のどこにもありません。」です。百ページの報告書は不要です。プロバイダー契約を審査するDPOも不要です。あなたの顧客のデータプライバシーは、約束ではなく、設計によって保証されています。