2026年準拠ガイド
電子署名とRGPD:DPO向けガイド
電子署名ソリューションの導入には、複数のRGPD関連の質問が生じます。データはどこにホストされているか?誰がアクセスできるか?Cloud Actのリスクはあるか?本ガイドでこれらの質問に答え、貴社の組織にRGPD準拠したソリューション選択方法を説明します。
更新日
電子署名ソリューションはどのような個人データを処理しますか?
電子署名プラットフォームは複数のカテゴリーの個人データを処理します。
- 署名者の身元:名前、名字、メール、電話番号
- ドキュメント内容:潜在的に機密個人データ(雇用契約、健康データ、財務データ)
- 監査証跡データ:IPアドレス、タイムスタンプ、ユーザーエージェント
- 行動データ:タブレット上の手書き署名トレース(QESバイオメトリックの場合)
ホスティングとEU外転送
RGPDは、個人データがEU外に転送される場合、適切なレベルの保護を提供する国へ、または適切な保証(SCCs、BCRs)の下でのみ転送されることを要求します。電子署名ソリューションの場合、これは以下を意味します:
- EU拠点 → ネイティブ転送、追加的な手続きなし
- 米国ホスティング (SCC付き) → 可能だがCloud Act由来の残存リスク
- 米国事業体 (Cloud Act) → EU ホスティングでもリスク排除不可
米国Cloud Actと電子署名
Cloud Act (2018) は米国当局に、米国法人が管理する企業のデータへのアクセスを認可します。これはヨーロッパに保管されているデータにも適用されます。DocuSign、Adobe Sign、Dropbox Sign は米国企業であり、Cloud Act の対象です。Certyneo はフランス企業であり、このような治外法権に服していません。
| Solution | ソリューション別 Cloud Act リスクレベル |
|---|---|
| Certyneo | リスクなし — フランス企業 |
| Yousign | リスクなし — フランス企業 |
| DocuSign | 残存リスク — 米国企業 |
| Adobe Acrobat Sign | 残存リスク — 米国企業 |
| Dropbox Sign | 残存リスク — 米国企業 |
DPA および法的根拠
署名ソリューションによるデータ処理は、有効な法的根拠 (契約、正当な利益、または同意) に基づく必要があります。署名サービスプロバイダーとのデータ処理契約 (DPA) を締結する必要があります。Certyneo は RGPD 準拠の DPA を提供し、電子署名が可能であり、RGPD 第28条で要求される要素を含んでいます。
DPO向けの推奨事項
- 1法的住所が EU またはイギリス (ブレグジット後の適切性決定) にあるサービスプロバイダーを選択してください
- 2ホスティングが EU 内に限定されており、EU 外のサーバーへの複製がないことを確認してください
- 3RGPD 第28条に準拠した DPA を取得し署名してください
- 4文書内で機微データを処理する場合は、影響評価 (AIPD) を実施し記録してください
- 5データ保持期間と契約終了時の削除ポリシーを確認してください
電子署名に関する RGPD 質問
- 電子署名は個人データの処理を伴いますか?
- はい。署名者のメールアドレス、名前、および潜在的に電話番号が収集されます。文書の内容も個人データを含む可能性があります。署名サービスプロバイダーは RGPD の意味での処理者であり、第28条の義務に服しています。
- DocuSign は RGPD 準拠ですか?
- DocuSign は RGPD 準拠であると主張し、SCC を提供しています。ただし、米国企業として、Cloud Act に服しています。CNIL は、Cloud Act がヨーロッパのデータに対して、US 企業がホストしている場合、たとえ EU 内でも排除できないリスクを生じることを指摘しています。
- Certyneo は RGPD 準拠ですか?
- はい。Certyneo はフランス企業であり、EU 内 (ドイツ IONOS) でホストされており、Cloud Act に服していません。データは転送中 (TLS 1.3) および保存時に暗号化されています。Certyneo は RGPD 第28条に準拠した DPA を提供しています。
- 署名ソリューションの使用について AIPD を実施する必要がありますか?
- 標準的な電子署名については、AIPD が必須ではありません。機微データ (医療、労務管理における組合員データなど) を含む文書に署名する場合、またはプロファイリングや大規模監視を伴う場合に必須です。