2012年02月27日 09時00分 UPDATE
特集/連載

新しいEU保護“規則”がクラウドに及ぼす影響とは【後編】大幅な遅延や追加コストを招く? 新しいEUデータ保護規則の適用

新しいEUデータ保護規則は、現状のクラウドサービスに負担を掛ける公算が大きい。例えば、処理されるデータの種類に応じてセキュリティリスク評価を講じることは、大幅な遅延と追加コストを発生させる可能性がある。

[Francoise Gilbert,TechTarget]

 前編「新しいEU保護規則で増える、クラウド利用者に課せられる責任」に続き、新しいEUデータ保護規則のセキュリティ条項(30〜32条)を解説する。30条ではデータ管理者とサービス事業者が取るべきセキュリティ対策について、31、32条ではセキュリティが破られた場合の通知義務について規定している。

情報セキュリティとリスク評価の義務付け

 EUデータ保護規則案第30条のセキュリティ条項も、EU指令95/46/ECより拡大され、一般的な米国の法律に比べても厳格になっている。

 30条(1)ではデータ管理者と処理者の双方に対し、処理作業のリスクおよび処理される個人情報の性質によるリスクの度合いに応じたセキュリティ対策を義務付けている。これに該当するEU指令95/46/ECの第17条では単に、「適切なセキュリティ対策」を義務付けているにすぎなかった。規則案で定められたセキュリティ対策は、処理作業および保護対象となる個人情報の性質に応じた具体的なリスクに対応したものでなければならず、最先端の技術と導入コストを検討する必要が生じる。さらに、30条(2)ではデータ管理者と処理者の両者に対し、リスク評価の実施を義務付けている。

 こうした規定は現行のベストプラクティスや業界標準に沿ってはいるが、ビジネスモデルが変わらない限り、クラウドサービスにとっては負担が生じる公算が大きい。実際のところ、現行のクラウドのビジネスモデルは画一的であるのが普通だ。形態によっては、例えばIaaSのように、そのサービスでホスティングするデータの性質をサービス事業者が知らない(あるいは知りたくない)ものも多い。従って、リスク評価を実施して処理されるデータの種類に応じた具体的な対策を講じることは、大幅な遅延と追加的なコストを発生させる可能性もある。

注目テーマ

ITmedia マーケティング新着記事

news014.jpg

御社にもできる営業改革、効率化の余地を発見する5つの質問
今回のテーマは中小企業の営業改革です。HubSpotの顧客管理や営業支援機能の活用法を紹介...

news015.jpg

Pinterestユーザーが探している「生活を豊かにするアイデア」とは?
画像共有サービスの「Pinterest」でユーザーが探している「ライフスタイルをより豊かにす...

news014.jpg

認知度86.5%、言葉だけは知られている「民泊」――クロス・マーケティング調査
民泊初利用のきっかけは、口コミが27%を占めるようです。