データのプライバシーおよびセキュリティ
このページでは、ビジネスが大規模にWhatsApp経由でユーザーにメッセージを送信するためのスタンドアローンサービスとして、MetaがクラウドAPIをどのように提供しているか説明しています。Metaは、ビジネスがクラウドAPIで利用することもできる追加のオプションサービスも提供しています。例えば、ビジネスはMetaのAI機能を利用してクラウドAPI経由で顧客と会話できます。ビジネスがこれらのサービスを使用することにした場合、異なる規約が適用される可能性があります。Metaがこれらのサービスのデータをどのように処理するかについての詳細は、該当するドキュメントをご覧ください。
メッセージフロー
いずれかのビジネスにユーザーがメッセージを送信すると、そのメッセージは、ユーザーとクラウドAPI間でエンドツーエンドで暗号化され送信されます。シグナルプロトコルについては、ユーザーとクラウドAPIとが、ビジネスに代わって暗号化鍵のネゴシエーションをし、セキュリティの確保されたコミュニケーションチャネルが確立されます。WhatsAppは、ユーザーとビジネスの間で交換されるメッセージ内容には一切アクセスできません。
クラウドAPIがメッセージを受信すると、それは暗号解除されてビジネスに転送されます。メッセージは、APIの基本機能の提供に必要な時間だけ、クラウドAPIによって一時的に保管されます。
ビジネスからユーザーへのメッセージのフローは、その反対のパスになります。ビジネスがメッセージをクラウドAPIに送信します。クラウドAPIサービスがメッセージを一時的に保管して、WhatsAppプラットフォームにメッセージを送信するタスクを引き受けます。再送信が必要になった場合のため、メッセージが保管されます。
すべてのメッセージは、WhatsAppに送信される前に、クラウドAPIによりシグナルプロトコルを使ってユーザー(受信者)とのネゴシエーションにより確立された鍵で暗号化されます。
WhatsAppは転送サービスとしての役割を果たします。クライアントとサーバーの両方のメッセージ転送ソフトウェアが提供されます。送信されるメッセージの内容は表示しません。(ビジネスが全ユーザーにメッセージを送信しようとするなど)異常なメッセージパターンを検出したり、ユーザーからのスパムレポートを収集したりすることにより、ユーザーを保護します。
Metaによって運用されているクラウドAPIは、WhatsAppとクラウドAPIのビジネス間の仲介役を果たします。言い換えると、それらのビジネスは自分の代理として操作する権限をクラウドAPIに与えていることになります。このため、WhatsAppはそれらのビジネス宛てのすべてのメッセージをクラウドAPIに転送します。WhatsAppは、それらのビジネスから発信されるすべてのメッセージもクラウドAPIから受信することを予期します。これは、オンプレミスクライアントの場合と同じクライアント動作です。
Metaは、クラウドAPIサービスを提供することにおいて、データ処理事業者としての役割をビジネスの代理で果たします。そのため、ビジネスはMetaに対して、WhatsApp Businessプラットフォームへのプログラムによるアクセスを提供するようリクエストしました。
クラウドAPIは、クラウドAPIを使うビジネス宛てのメッセージをWhatsAppから受信します。またクラウドAPIは、それらのビジネスが送信したメッセージをWhatsAppに送信します。Metaの他の分野(クラウドAPI以外)では、メッセージコンテンツを含め、クラウドAPIビジネスコミュニケーションへのアクセスはありません。Metaは広告にクラウドAPIデータを一切使用していません。
データの保管と収集
クラウドAPIによって収集、保管、およびアクセスされるすべてのデータは、用途が適切であることを確認し、WhatsAppクライアントから予期される高レベルのプライバシーを維持するために制御され、監視されます。
ビジネスの電話番号やビジネスの住所などのビジネスに関する情報は、Metaおよびビジネスマネージャ製品によって維持されており、それらはMetaの定めるサービス規約に従います。クラウドAPIは、ビジネスマネージャやほかのMetaシステムを活用し、ビジネスの代理としてクラウドAPIへのアクセスを識別します。
クラウドAPIを通じて送受信されるメッセージは、クラウドAPIだけがアクセスできます。Metaの他のいかなる部分もこの情報を使うことはできません。再送信などのクラウドAPIサービスの基本機能を提供するため、メッセージの最大保持期間は30日となっています。30日が経過すると、それらの機能は利用できなくなります。
アカウント特定のために使われる電話番号を除き、ビジネスの通信相手のユーザーに関する情報をクラウドAPIが利用することはありません。その情報は、WhatsAppクライアントコードを通じてメッセージを配信するためだけに使われます。ユーザー電話番号は、個々のメッセージの発信元または宛先として使われます。そのため、メッセージが削除されるとそれらも削除されます。MetaのクラウドAPI以外のいかなる部分もこの情報にアクセスできません。
どの時点においてもメッセージ内容がWhatsAppにシェアされたり送信されたりすることはなく、WhatsApp従業員のだれもメッセージ内容にアクセスできません。
| クラウドAPIデータ | システム | Metaの残りの部分からアクセス可能? | WhatsAppからアクセス可能? |
|---|---|---|---|
メッセージ内容 | クラウドAPI | いいえ | いいえ |
消費者電話番号 | クラウドAPI | いいえ | はい |
個人を特定しない統計情報 | クラウドAPI | はい | はい |
統合シグナル - ビジネスごと | WhatsAppクライアント | いいえ | はい |
ビジネス情報 | ビジネスマネージャ | はい | はい |
請求 - ビジネスごと | はい | はい |
よくある質問
Metaは、利用者に表示される広告にWhatsAppメッセージを使用することはありません。ただし、ビジネスにとっては当然のことですが、ビジネスは受け取ったメッセージを自社のマーケティングの目的で使用できます。これには、Facebookやその他のチャネル(メールやテレビなど)での広告も含まれる場合があります。
クラウドAPIは、ビジネスがクラウドAPIのローカルストレージを使用することを選択している場合を除き、Metaのデータセンターで運用されています。Metaのデータセンターは北米とEUにあります。
保存されたメッセージは暗号化されます。30日が経過すると自動的に削除されます。
他すべてのWhatsApp Business APIソリューションパートナー同様、Metaもビジネスの代わりに暗号化キーと復号化キーを管理しています。クラウドAPIを介したメッセージの送受信を可能にするため、クラウドAPIではビジネスの代わりに暗号化/復号化キーを管理しています。クラウドAPIの運用を行っているのはMetaですが、その規約により、クラウドAPIのサービス提供はメッセージ配信にのみ制限されています。WhatsAppがキーまたはメッセージにアクセスすることはありません。
弊社はSOC2 Type IIレポートを取得しています。詳しくは、 Metaビジネスメッセージのコンプライアンスセンター をご覧ください。
Metaは、個人データ保護と利用者のプライバシーをきわめて重要なものと考え、これからも変わらずデータ保護法制の遵守に努めます。クラウドAPIにおいても、Metaの利用者は一般データ保護規則(GDPR)に定められる義務を引き続き遵守できます。Metaでは、法的要件、業界の要件、規制上の要件、業界のベストプラクティスを遵守するよう徹底しています。 詳細情報をご覧ください。
MetaとWhatsAppは、EUや英国から米国にデータを移転する場合、GDPRを遵守した適切な移転メカニズムに依拠しています。
その他の情報については、以下の規約をご覧ください。
- ヨーロッパ地域にお住まいの方は、 WhatsApp Businessデータ移転に関する補足をご覧ください。
- 英国にお住まいの方は、 英国からのWhatsApp Businessデータ移転に関する補足をご覧ください。
適用される WhatsApp Businessデータ処理規約 または クラウドAPIに関するMetaホスティング規約 (該当復処理事業者のリストを含む)をご覧ください。
弊社は、Metaのビジネスおよびパートナーがそれぞれのデータの安全を確保しつつ、ビジネスソリューションを活用できるよう引き続き取り組んでまいります。