暗号通貨を個人データとして
Bitcoinウォレットアドレスは、"1"、"3"、または"bc1"で始まるBase58Checkエンコーディングの26〜35の英数字の文字列です。Ethereumアドレスは"0x"に続く40の16進数の文字です。これらのアドレスは擬似匿名であり、個人を直接特定するものではありませんが、GDPRの下では、追加の処理を通じて個人にリンクできる擬似匿名データは個人データと見なされます。
KYCデータを保持する暗号通貨取引所(ウォレットアドレスを確認済みの顧客の身元にリンクする)は、GDPRの範囲内で個人データを保持しています:ウォレットアドレスはKYC記録と組み合わせることで自然人を特定します。ウォレットアドレス単体は取引所のデータ環境内で個人データです。なぜなら、取引所はそれを個人にリンクできるからです。
2024年12月から施行されるEU MiCA(暗号資産市場)規制は、金融規制のレイヤーを追加します:暗号資産サービスプロバイダー(CASP)は、顧客データ保護のための適切な管理を実施する必要があります。MiCAとGDPRの交差点は、ヨーロッパの暗号取引所が同じウォレットアドレスデータに対して金融規制(CASPのためのMiCAのデータ保護要件)と一般データ保護法(GDPR)の両方に直面することを意味します。
検出ギャップ
標準のPII検出ツールは、従来の金融識別子のために設計されています:IBAN、口座番号、ルーティング番号、SWIFT/BIC。これらのツールは暗号通貨アドレス形式を認識していません。Bitcoinウォレットアドレス、Ethereumアドレス、SWIFTコードを含む文書は、SWIFTコードが検出され、暗号アドレスエンティティタイプを含まないツールによって2つの暗号通貨アドレスが見逃されます。
KYC文書を処理するヨーロッパの暗号取引所の場合:顧客の銀行口座IBANは標準ツールによって検出されます。初期資金提供に使用された顧客のBitcoinウォレットアドレスは検出されません。銀行からの送金のSWIFTコードは検出されます。トークン購入に使用されたEthereumアドレスは検出されません。
見逃された検出は小さなギャップではありません — ウォレットアドレスは暗号コンテキストにおけるコア金融識別子であり、従来の銀行コンテキストにおける口座番号と同じくらい敏感です。
GDPR第32条(1)(a)は、基本的な技術的措置として擬似匿名化と暗号化を要求しています。**GDPRの罰金の56%**は不十分な暗号化を要因として挙げています。すべての検出されたPIIを暗号化するが、暗号通貨ウォレットアドレスを検出できない組織は、コアビジネス運営に関連するものを何も暗号化していません。
出典: