| IT総合情報ポータル「ITmedia」 | ITとビジネスのニュース専門サイト「ITmedia News」 | 企業のためのIT情報サイト「ITmedia エンタープライズ」 | IT製品導入支援サイト「TechTargetジャパン」 | 経営者とCIOのコミュニティー「ITmedia エグゼクティブ」 | PCとMacの専門サイト「ITmedia +D PC USER」 | 携帯、スマートフォンの専門サイト「ITmedia +D Mobile」 | 電子書籍の専門サイト「ITmedia eBook USER」 | デジカメの専門サイト「ITmedia デジカメプラス」 | AV機器の専門サイト「ITmedia +D LifeStyle」 | 旬なモノネタ「ITmedia ガジェット」 | ニコ生、Ustreamの動画番組表「ライブガイド」 | ビジネスブログ・メディア「ITmedia オルタナティブ・ブログ」 | ちょっと気になるネットの話題「ねとらぼ」
2012年02月23日 09時00分 UPDATE
特集/連載

新しいEU保護“規則”がクラウドに及ぼす影響とは【前編】新しいEU保護規則で増える、クラウド利用者に課せられる責任と要件

欧州連合(EU)が2014年の施行を目指すデータ保護規則では、個人情報の収集や処理を行う企業にとっての義務や責任が増す。クラウドサービスの事業者と利用者はどんな対応を迫られるのか。

[Francoise Gilbert,TechTarget]
共有する
プリント/アラート

 欧州連合(EU)が現在の95/46/EC指令(通称「データ保護指令」)に代わって2014年からの施行を目指す「EUデータ保護規則案」の草案(PDF)がこのほど公表された。この草案では、欧州経済領域(EEA)における個人情報保護の在り方に関するルールを、欧州委員会がどう刷新しようとしているのかが見て取れる。この草案が、2012年1〜3月中に公開される見通しの最終版にほぼそのまま受け継がれた場合、明確化、複雑性の解消、行政負担の軽減という点では大幅な改善となる。一方で、個人情報の収集や処理を行う企業にとっては義務や責任が増す。本稿ではEUデータ保護規則案に盛り込まれた幾つかの条項を取り上げ、クラウドコンピューティングの利用者とサービス事業者に及ぼす影響について検討する。

欧州経済領域の統一ルール

 現在のEEAのデータ保護フレームワークと最も大きく異なるのは、これが「指令」(directive)ではなく「規則」(regulation)になるという点だ。つまり、参加各国の国内法として直接的に効力を持つことになる。

 現在の枠組みであるEU指令95/46/ECはこの限りではなかった。EEA参加国の国内法とするのではなく、各国の法律に置き換えたり取り込んだりする必要があった。結果的に、それぞれの国が独自の解釈で指令に示された原則を取り入れたため、期待されたような統合性や一貫性を欠く、継ぎはぎ状態が出来上がっていた。

 新しいEUデータ保護規則では、ルールは1つしかない。すなわち各国が自由に選択する余地はない。規則案が通過した時点で、その条項はそのままEEA参加国の国内法体系の一部となる。文言は変更されず、同じ主題に関する国内法がある場合は、EU規則の方が優先される。

 言い換えれば、EEA全体で1つの法律ができるということだ。この統一性は企業に歓迎されるだろう。営業拠点がどこにあっても、欧州経済領域にいる限り、果たすべき義務は同じであることが保証されるからだ。

クラウドサービスを使う場合のセキュリティ要件

 EUデータ保護規則案の第26条は、現在の文言がそのまま採用された場合、クラウドサービスに影響を及ぼす重要な条項になる。同条項は現在のEU指令95/46/ECの第16条の文言を拡大したものだが、より具体的で包括的になっている。

 まず、自社のデータをクラウドで処理することを選択した企業(データ管理者)が選定すべきサービス事業者は、データ処理において保護規則に定められた条件を満たし、なおかつ個人の権利を確実に保護できる技術的、組織的対策を保証している事業者でなければならない。言い換えれば、データ管理者(クラウドサービスの顧客企業)は、データ処理者(クラウドサービス事業者)がセキュリティ対策を講じているかどうかだけでなく、その事業者が実行しているプロセスと採用しているセキュリティ対策が規則に準じていることを確認する必要がある。この条件は問題になるかもしれない。クラウドサービス事業者は一般に、自社が採用しているセキュリティ対策の性質や、自社の管理下にあるデータの処理方法について、情報を共有したり公開したりしたがらないからだ。

 規則案の第26条ではこの他にも、現行のルールより大幅に厳しくなる規定が幾つかある。例えば、クラウドサービスの顧客とクラウドサービス事業者間の契約において、サービス事業者が顧客の許可なくサードパーティーのサービスを保持することは禁止しなければならない(26条(2)(d))。一般に、クラウドサービス事業者はこの種の条項の受け入れを拒んできた。従って交渉の難航が予想される。

 契約においてはまた、契約が終了した後はデータ処理者が全データをデータ管理者に引き渡すことを義務付けなければならない(26条(2)(g))。さらにデータ処理者は、コンプライアンス管理のために必要な全情報を、データ処理者の責任においてデータ管理者および国のデータ保護監視当局に開示することも義務付けられる。この条項はデータ保護の観点からは理にかなっているが、クラウドサービス事業者にとっては管理上の負担が生じ、サービス料の値上げにつながる公算が大きい。

 後編では、EUデータ保護規則案第30〜32条のセキュリティ条項について取り扱う。30条では、データ管理者とサービス事業者が取るべきセキュリティ対策や両者に義務付けられたリスク評価について、31、32条ではセキュリティが破られた場合の通知義務について規定している。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

共有する
プリント/アラート