新しいEUデータ保護規則は、現状のクラウドサービスに負担を掛ける公算が大きい。例えば、処理されるデータの種類に応じてセキュリティリスク評価を講じることは、大幅な遅延と追加コストを発生させる可能性がある。
前編「新しいEU保護規則で増える、クラウド利用者に課せられる責任」に続き、新しいEUデータ保護規則のセキュリティ条項(30〜32条)を解説する。30条ではデータ管理者とサービス事業者が取るべきセキュリティ対策について、31、32条ではセキュリティが破られた場合の通知義務について規定している。
EUデータ保護規則案第30条のセキュリティ条項も、EU指令95/46/ECより拡大され、一般的な米国の法律に比べても厳格になっている。
30条(1)ではデータ管理者と処理者の双方に対し、処理作業のリスクおよび処理される個人情報の性質によるリスクの度合いに応じたセキュリティ対策を義務付けている。これに該当するEU指令95/46/ECの第17条では単に、「適切なセキュリティ対策」を義務付けているにすぎなかった。規則案で定められたセキュリティ対策は、処理作業および保護対象となる個人情報の性質に応じた具体的なリスクに対応したものでなければならず、最先端の技術と導入コストを検討する必要が生じる。さらに、30条(2)ではデータ管理者と処理者の両者に対し、リスク評価の実施を義務付けている。
こうした規定は現行のベストプラクティスや業界標準に沿ってはいるが、ビジネスモデルが変わらない限り、クラウドサービスにとっては負担が生じる公算が大きい。実際のところ、現行のクラウドのビジネスモデルは画一的であるのが普通だ。形態によっては、例えばIaaSのように、そのサービスでホスティングするデータの性質をサービス事業者が知らない(あるいは知りたくない)ものも多い。従って、リスク評価を実施して処理されるデータの種類に応じた具体的な対策を講じることは、大幅な遅延と追加的なコストを発生させる可能性もある。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
生成AIへの期待値の変化 DeepSeek台頭がマーケターに突きつける課題とは?
AI 生成の広告に対する反発が続いた1年を経て、マーケターはパフォーマンス結果重視で非...
2024年に視聴者が検索したテレビCM 2位は中国のあのEVメーカー、1位は?
2024年にテレビCMを通して視聴者が気になりWeb検索したものは何だったのか。ノバセルが発...
Googleの広告収益成長が鈍化、中国のアレが原因?
YouTubeなどのプラットフォームの成長率は、米国の選挙関連支出の急増にもかかわらず低迷...