EUが一般データ保護規則(GDPR)を通過させたとき、DMARC集計(RUA)および失敗(RUF)レポートに見られるデータを含む、さまざまなタイプのデータに関する世界的な検討が始まった。ドイツのインターネット業界団体であるECOによる法的分析では、DMARCデータのあらゆる側面と、レポート作成者と消費者同様にGDPRに関連する懸念事項を分解しています。
集計レポートの評価
この分析では、AggregateレポートとFailureレポートを区別してレビューしている。Aggregateレポートは、メールサービスからドメインの所有者に毎日送信され、そのドメインからのメッセージであると主張するメッセージ、それらがSPFとDKIMのチェックを通過したかどうか、それらのメッセージがDMARCルールに従ってどのように処理されたかについての洞察を提供する。送信者を区別するために、送信メールサーバーのIPアドレスがレポートに含まれます。
この懸念は、ウェブサイト訪問者の動的IPアドレスを法的に保護された個人データと判断した2017年のドイツ連邦司法裁判所の判決に起因する。静的IPアドレスはすでに全会一致で個人データと認定されており、GDPRはこの決定を再確認した。
重要な違いは、判例法によれば、IPアドレスもトラフィックデータとして適格であるということである。トラフィックデータは、”電気通信システムの障害やエラーを検出、絞り込み、除去する “ために使用されることがある。さらに、電子メールの送信者は、電気通信サービスの提供に協力するサービス・プロバイダーに該当する。また、第三者がこれらの目的を達成するためにデータを受信し、分析することも認められている。
フィッシング、スパム、設定ミスはすべてシステムの欠陥またはエラーとみなされる。報告書はまた、IPアドレスは付加的な情報との結合によってのみ個々のユーザーを特定することができると指摘している。また、フィッシングがもたらすリスクは、レポートにIPアドレスを含めることで生じる懸念を上回る。
すべてを考慮した上で、「このレポートは基本的にデータ保護法の下で許可され、正当化される。しかし、比例性の原則は常に遵守されなければならない。」
失敗報告についてはどうだろうか?
このレポートには、故障レポートに関してさらに考慮すべき点がある。障害レポートはメッセージに固有であり、より詳細に問題を特定するために使用することができます。レポートには、IPアドレス、送信メールアドレス、受信メールアドレス、件名、メール本文が含まれる可能性があります。多くのプロバイダーは、これらのレポートを全く送信しない一方、件名とメール本文を完全に削除するなど、含まれるデータを大幅に削減するプロバイダーもあります。
ECOの報告書では、障害報告書を作成する事業者が不必要なデータを削除するための慣行について、次のように述べている。
「データエコノミーの原則に基づき、詐欺メールの受信者の個人データが送信されないようにするため、リダクティングに頼ることが緊急に推奨される。これらのデータには、電子メールの件名、本文、受信者の電子メールアドレスが含まれます。」
障害レポートを作成するエンティティは、このような懸念を考慮する必要があります。DMARCを実装し、障害レポートを消費するドメイン所有者として、データを再編集する責任は、あなたのコントロールの範囲ではありません。しかし、障害レポートに関してさらに懸念がある場合は、DMARCレコードにRUFアドレスを指定しないことで、いつでも障害レポートを無効にすることができます。
レシーバーの承認
このレポートでは、レポートの受信者が承認され、データを受信する意思があることを確認するなどの追加推奨事項も提示している。可能であれば、まずDMARCポリシー・ドメインにレポートを配信し、それから外部のレポート・アドレスに転送する。
結論
ECOの分析では、集約されたレポートが “スパムやフィッシングを検知・絞り込み、通信システムを保護するため “に使用される限り、”DMARCの導入はEUのGDPRと矛盾しない “と結論付けている。しかし、障害報告書の作成者は、DMARCの効果的な使用に必要のない情報を冗長化すべきである。
報告書の全文は、Certified Senders Allianceで入手できる。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
