大幅な遅延や追加コストを招く？ 新しいEUデータ保護規則の適用：新しいEU保護“規則”がクラウドに及ぼす影響とは【後編】

新しいEUデータ保護規則は、現状のクラウドサービスに負担を掛ける公算が大きい。例えば、処理されるデータの種類に応じてセキュリティリスク評価を講じることは、大幅な遅延と追加コストを発生させる可能性がある。

[Francoise Gilbert，TechTarget]

　前編「新しいEU保護規則で増える、クラウド利用者に課せられる責任」に続き、新しいEUデータ保護規則のセキュリティ条項（30〜32条）を解説する。30条ではデータ管理者とサービス事業者が取るべきセキュリティ対策について、31、32条ではセキュリティが破られた場合の通知義務について規定している。

情報セキュリティとリスク評価の義務付け

　EUデータ保護規則案第30条のセキュリティ条項も、EU指令95/46/ECより拡大され、一般的な米国の法律に比べても厳格になっている。

　30条（1）ではデータ管理者と処理者の双方に対し、処理作業のリスクおよび処理される個人情報の性質によるリスクの度合いに応じたセキュリティ対策を義務付けている。これに該当するEU指令95/46/ECの第17条では単に、「適切なセキュリティ対策」を義務付けているにすぎなかった。規則案で定められたセキュリティ対策は、処理作業および保護対象となる個人情報の性質に応じた具体的なリスクに対応したものでなければならず、最先端の技術と導入コストを検討する必要が生じる。さらに、30条（2）ではデータ管理者と処理者の両者に対し、リスク評価の実施を義務付けている。

　こうした規定は現行のベストプラクティスや業界標準に沿ってはいるが、ビジネスモデルが変わらない限り、クラウドサービスにとっては負担が生じる公算が大きい。実際のところ、現行のクラウドのビジネスモデルは画一的であるのが普通だ。形態によっては、例えばIaaSのように、そのサービスでホスティングするデータの性質をサービス事業者が知らない（あるいは知りたくない）ものも多い。従って、リスク評価を実施して処理されるデータの種類に応じた具体的な対策を講じることは、大幅な遅延と追加的なコストを発生させる可能性もある。