GDPRにおける「忘れられる権利」とブロックチェーンの考察

欧州連合の一般データ保護規則:GDPRがブロックチェーンテクノロジーにどのように影響するかについて、GDPRのデータプライバシー権と、分散台帳:DLTとして機能するブロックチェーンの概念との相互作用により、パラドックスが生まれました

参考文献:BDP Blog GDPR & Blockchain: At the intersection of data privacy and technology

法的強制力があるGDPRによりデータプライバシー規制に準拠する必要があります。なぜなら違反すると、最大2,000万ユーロ、または収益の4%のいずれか大きい方の罰金が科せられるためです。

一方でブロックチェーンのトランザクションまたはデータの一部が分散台帳に記録されると書き換わることはありません。つまり分散台帳に記録することは、GDPRの原則であるデータ主体の「忘れられる権利」に違反するため、GDPRがブロックチェーンの開発を妨げることに繋がります。GDPRの第17条(1)は、データ主体が同意の撤回時または処理への異議申し立て時に個人情報の消去を要求することにより「忘れられる権利」を有することを明確に規定しています。ただし、第17条(1)(b)および(3)は、データ主体の「忘れられる権利」は個人情報を処理するための、または法的義務の遵守のために、管理者の法的または正当な理由によって無効にすることを認めています。よってブロックチェーンの文脈では管理者の正当な利益によって法的義務を無効にされることが想定されます。

たとえば、金融の文脈では、銀行の顧客確認のプログラム(know your customer (KYC) programs)に関してマネー・ローンダリング防止のため監督上の実務を確立していくことについて準拠する必要があり、取引に関与する当事者の個人情報を含めて取引の記録を保持する必要があります。国際物流の文脈では、貨物の出荷リストに含まれる個人情報は、税関の輸出入手続きと事後調査のため帳簿書類を保存する必要があります。

技術的な観点から、代表的なビットコインは管理者が不要な分散型のパブリック・ブロックチェーンを使用していますが、企業向けには管理者が必要な中央集権型のプライベート・ブロックチェーンが主流です。GDPRに対応するためには管理者がアクセス権限をコントロールし、データがどのように配布/保存されるかを監視できるプライベートブロックチェーンを採用することで、コンプライアンスを確保することが可能です。

GDPRコンプライアンスの文脈でブロックチェーンに役立つ可能性のあるもう1つの機能は、個人データの「オフチェーンストレージ」の概念です。個人情報を分散台帳にアップロードする代わりに、分散台帳に記録された個人情報のハッシュのみを使用して維持できます。必要に応じてオフチェーンに保存されている個人情報を削除して、ハッシュキーを使用できなくすることができます。この回避策によってデータ主体の「忘れられる権利」を保証します。

最後に、ブロックチェーンの不変性に関する別の解決策は、GDPRコンプライアンスのためにスマートコントラクトを利用することです。スマートコントラクトは、コードに記述された当事者間の合意条件を備えた自己実行型コントラクトであり、条件またはイベントの発生によって自動的にトリガーされます。スマートコントラクトは、すべてのアクセス権を取り消したり、コンテンツ(つまり、そこに含まれる条件や個人情報)を一定期間後に削除したりして、個人データにアクセスできないようにする方法で作成できます。

幸いなことに、コミュニティはGDPRへの準拠するための回避策とソリューションを開発できます。やがてブロックチェーンとGDPRが平和的に共存すると思います。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター