電子署名とGDPR：DPO向けガイド

電子署名ソリューションはどのような個人データを処理しますか？

電子署名プラットフォームは複数のカテゴリーの個人データを処理します。

• 署名者の身元：名前、名字、メール、電話番号
• ドキュメント内容：潜在的に機密個人データ（雇用契約、健康データ、財務データ）
• 監査証跡データ：IPアドレス、タイムスタンプ、ユーザーエージェント
• 行動データ：タブレット上の手書き署名トレース（QESバイオメトリックの場合）

ホスティングとEU外転送

GDPRは、個人データがEU外に転送される場合、適切なレベルの保護を提供する国へ、または適切な保証（SCCs、BCRs）の下でのみ転送されることを要求します。電子署名ソリューションの場合、これは以下を意味します：

• EU拠点 → ネイティブ転送、追加的な手続きなし
• 米国ホスティング (SCC付き) → 可能だがCloud Act由来の残存リスク
• 米国事業体 (Cloud Act) → EU ホスティングでもリスク排除不可

米国Cloud Actと電子署名

Cloud Act (2018) は米国当局に、米国法人が管理する企業のデータへのアクセスを認可します。これはヨーロッパに保管されているデータにも適用されます。DocuSign、Adobe Sign、Dropbox Sign は米国企業であり、Cloud Act の対象です。Certyneo はフランス企業であり、このような治外法権に服していません。

DPO向けの推奨事項

1. 1法的住所が EU またはイギリス (ブレグジット後の適切性決定) にあるサービスプロバイダーを選択してください
2. 2ホスティングが EU 内に限定されており、EU 外のサーバーへの複製がないことを確認してください
3. 3GDPR 第28条に準拠した DPA を取得し署名してください
4. 4文書内で機微データを処理する場合は、影響評価 (AIPD) を実施し記録してください
5. 5データ保持期間と契約終了時の削除ポリシーを確認してください

電子署名に関する GDPR 質問

電子署名は個人データの処理を伴いますか?

はい。署名者のメールアドレス、名前、および潜在的に電話番号が収集されます。文書の内容も個人データを含む可能性があります。署名サービスプロバイダーは GDPR の意味での処理者であり、第28条の義務に服しています。

DocuSign は GDPR 準拠ですか?

DocuSign は GDPR 準拠であると主張し、SCC を提供しています。ただし、米国企業として、Cloud Act に服しています。CNIL は、Cloud Act がヨーロッパのデータに対して、US 企業がホストしている場合、たとえ EU 内でも排除できないリスクを生じることを指摘しています。

Certyneo は GDPR 準拠ですか?

はい。Certyneo はフランス企業であり、EU 内 (ドイツ IONOS) でホストされており、Cloud Act に服していません。データは転送中 (TLS 1.3) および保存時に暗号化されています。Certyneo は GDPR 第28条に準拠した DPA を提供しています。

署名ソリューションの使用について AIPD を実施する必要がありますか?

標準的な電子署名については、AIPD が必須ではありません。機微データ (医療、労務管理における組合員データなど) を含む文書に署名する場合、またはプロファイリングや大規模監視を伴う場合に必須です。