新しいEU General Data Protection Regulation (GDPR)は2018年5月25日に施行されます。その結果、あらゆる規模の企業がGDPRによってもたらされる変更点を確認し、自社に特有の組織的および技術的な影響を特定する必要があります。定められた期限まで1ヶ月を切った現在でも、多くの企業がまだ「GDPR対応」が完了しているとはみなされていません。その多くは、適切なITセキュリティおよびプライバシーポリシーの導入に追われています。クラウドコンピューティングとデータ保護レベルの向上は、密接に関連している必要があります。初期の混乱はあるものの、この新しい規制上の課題は、クラウドプロバイダーとクラウドユーザーの両方に新たな機会をもたらす可能性があります。
要約? スキップして6つの主要な基準へ…
はじめに
デジタル化が進む中、データ保護とデータセキュリティへの注目がますます高まっています。これらは、デジタルトランスフォーメーションの道を成功裏に進めるための重要な要件とみなされています。
GDPRの背景と目的は、EU加盟国間での調和を図り、EU圏内で統一されたデータ保護法を有効にすると同時に、関係者の法的地位を向上させることにあります。以下に、GDPRに照らし合わせた最も重要な変更点をいくつか紹介します。
- 違反に対する制裁金は大幅に引き上げられます – 違反の重大性に応じて、年間売上高の最大2%または4%になります。
- 透明性と情報提供の要件により、対象となる個人の権利が大幅に強化されます。
- データ保護に関するよく知られた義務に加えて、電子機器のプライバシーに配慮したデフォルト設定など、新たな義務が導入されます。
- この新しい規制は、EUに拠点を置いていないものの、EU市民からデータを収集する企業にも適用されます。
課題
企業の意思決定者やセキュリティ専門家は現在、新しいGDPR規制がどのようなものになるのか、そしてGDPRの導入をどのように準備し、実施すべきかを自問しています。さらに、“GDPR対応”という問題は、最高情報セキュリティ責任者(CISO)の心にも響いています。
多くのビジネス意思決定者は、これが“誰も気づかないような、ブリュッセルからのまた新たな規制”だと考えるでしょう。しかし、GDPRを考慮すべき正当な理由があります。何よりもまず、規制の変更によってすべての関係者の権利が強化されます。これにより、将来的にEU市民に影響を与えるデータ侵害が発生した場合、重大な金銭的制裁につながる可能性があります。
潜在的な物的損害に加えて、企業の評判に対する潜在的な損害も非常に重要です。メディア各社はプライバシー問題を公表しようとしています。これは、新しい要件に準拠するために必要な専門知識をまだ備えていないすべての企業に対する警告です。なぜなら、2018年5月にGDPRが施行されることで、制裁金が劇的に引き上げられるからです。最大 € 20 million または年間売上高の最大4%の制裁金が科される可能性があるため、GDPRのトピックはあらゆる規模の企業の経営陣レベルで注目を集めています。
クラウドコンピューティングにおけるGDPR
データ保護に関する新しい規制”は、課題であると同時に機会でもあります。“GDPR対応”の重要な指標は、企業内のデータ保護に対する考え方と提供されるデータ保護のレベルであり、これはビジネスに不可欠なワークロードがクラウドインフラストラクチャ上で「何を、どこで、どのように」運用されているかを意味します。
多くの企業にとって、GDPRは複雑なプロジェクトです。GDPRがもたらす法的、技術的、組織的な課題は、これまでのところ部分的にしか解決されていません。特に、クラウドコンピューティング環境、IoT環境、またはビッグデータシナリオにおける大規模な移行プロジェクトの場合、日常業務に追われ、GDPRの実施に対応する時間がほとんどありません。しかし、多くの実施課題に加えて、GDPRは、特にクラウドコンピューティングの文脈において、新しいデータ保護およびITセキュリティ戦略を再定義して実施することにより、卓越した成果を上げる機会も提供します。
その結果、クラウドコンピューティングというテーマは、GDPRの文脈において多くの疑問を投げかけています。技術的な観点から言えば、クラウドコンピューティングはデータ処理契約です。したがって、クラウドユーザーは、プロバイダーがデータを処理する方法を常に完全に把握しておく必要があります。クラウドプロバイダーやリソースプロバイダーは自らの機能をサポートするのみであり、管轄当局の法的要件に依存しています。言い換えれば、クラウドプロバイダーと企業の双方が、GDPRの下で各クラウドサービスの最小限の法的要件を満たさなければなりません。
GDPRの背後にある潜在的な課題をどのように活用すればよいでしょうか?主に2つの疑問があります。一方では、企業はどのクラウドプロバイダーを信頼できるかを知る必要があります。他方では、企業は「GDPR準拠」となるために、どのような技術的および組織的措置を講じる必要があるかを知る必要があります。
CISOの機会と義務 – 適切なクラウドパートナー
適切なクラウドパートナーは、GDPRの観点から貴重なスパーリングパートナーになり得ます。コンプライアンスとセキュリティにおける専門知識により、貴社が“GDPR対応”になるのを支援できるからです。
マルチクラウド戦略を採用する場合、各クラウドプロバイダーのデータ保護ポリシーを評価する必要があります。ハイブリッドおよびマルチクラウドのアプローチは、調整がはるかに複雑であるため、データ保護のリスクが高くなる可能性があります。特にパブリッククラウド環境において、多数の異なるクラウドプロバイダーが存在することは、CISOがGDPR準拠を確保することを困難にします。GDPR準拠の強さは、最も弱いリンクの強さと同じです。例えば、マルチクラウド展開内の単一のクラウドプロバイダーによる違反や不遵守は、GDPR準拠を成功させるためのすべての取り組みを台無しにする可能性があります。
6つの主要な基準
以下に、潜在的なクラウドパートナーを(GDPR準拠の観点から)評価するために使用できる簡単な基準のリストを掲載します。
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]セキュリティとプライバシー
最初のステップは、プロバイダーが貴社のITセキュリティ要件にどの程度準拠できるかを評価することです。クラウドプロバイダーがセキュリティおよび「Privacy by Design」への準拠を証明する簡単な方法の1つは、ISO 27001またはISO 27018の認証を取得することです。取得していない場合は、実施済みのデータ保護影響評価(DPIA)やセキュリティ評価を通じて証明することができます。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigmaのコンプライアンス
CloudSigmaは、ISO 27001認証を取得しており、お客様のクラウドの提供および管理に使用される当社のインフラストラクチャとサービスのすべての側面が、セキュリティとデータプライバシーに関する最高のISO認証基準に準拠していることを保証します。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
リスク管理
幅広い重要なデータを取り扱う企業は、(GDPR規則第28条に従って)十分な保証を提供しなければなりません。これらの保証は、データ管理者が以下を使用していることを証明する必要があります。
「適切な技術的および組織的対策を実施するための十分な保証を提供する処理者のみ。かつ、処理が本規則の要件を満たし、データ主体の権利の保護を確実にするような方法で行われること。」”
したがって、クラウドプロバイダーがレビューのために定期的な監査を実施していることを確認する必要があります。また、処理の安全性を保証するための技術的および組織的対策のスコアリングと評価も必要です。さらに、クラウドパートナーが顧客に監査権を付与していることを確認する必要があります。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma コンプライアンス
CloudSigmaのクラウドプラットフォームをご利用のお客様は、正式に、当社が提供するサービスに関連して、セキュリティ、運用、およびプロセスの監査を実施する権利を有しています。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
データの所在地
データの一般的な所在地は常に把握しておく必要があります。しかし、すべてのクラウドパートナーがクラウドの所在地に関して必要な透明性を提供しているわけではありません。クラウドプロバイダーの本社が、必ずしもデータのホスティング場所であるとは限らないことに注意してください。さらに、一部の企業は、ユーザーに知らせることなく、バックグラウンドで異なるクラウドロケーション間でデータを移動させることがあります。これはクラウドパートナーの利用規約の一部である可能性があります。最後に、クラウドサービスプロバイダーは複数の場所にデータを保存することがあります。そして、その一部はEEA(欧州経済領域)外にある可能性があります。データ管理者として、複数国にまたがるクラウド戦略を定義し、十分性の要件やデータのローカライズ法を遵守する必要があります。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma コンプライアンス
当社の利用規約の一環として、CloudSigmaはクラウドの所在地を国ごとに法的に分離するように構成されています。その結果、各ロケーションは現地の法的枠組みのみに従うことになります。その一方で、エンドのお客様には100%ローカルなクラウドソリューションを提供しています。
また、各ロケーションは技術的に相互接続されておらず、CloudSigmaは正確なデータの所在地に関して最高の透明性を保証します。データがクラウドロケーションの間で転送されることはありません.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
セキュリティ機能
GDPRは、保存時および転送時の暗号化から、アクセス制御、データの仮名化および匿名化に至るまで、多くのデータ保護手段を要求しています。これを実現するには、選択できる十分なセキュリティ機能を備えたクラウドパートナーを選択してください。たとえば – バックアップ、暗号化、アクセス制御ポリシーなどです。クラウドパートナーにそのようなポリシーがない場合は、ご自身でセキュリティ機能に対処する必要があります。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma コンプライアンス
CloudSigmaは、お客様がコンピューティングのさまざまな側面を保護できるようにするための機能やツールを提供し、高度なセキュリティとプライバシーの実現に努めています。当社のブログでは、セキュリティ機能について説明する多くの記事を掲載しています。例えば、ブートレベルの暗号化, アクセス制御ポリシー、2段階認証、SSHキーなどがあります。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
データの所有権
クラウドプロバイダーの顧客として、お客様はデータ管理者(Data Controller)となります。これは、お客様自身のデータに対する管理権と所有権を維持しなければならないことを意味します。これは、クラウドパートナーとデータ処理合意書(DPA)を締結し、パートナーがGDPRに準拠したデータプライバシー保護要件を遵守していることを保証することで実現できます。独自のDPAを起草することも、クラウドパートナーが利用規約の標準的な一部としてDPAを作成しているか確認することもできます。独自のDPAを使用するメリットは、収集される個人データや「特別」なデータの種類を指定できる点にあります。パートナーのDPAを使用する場合でも、独自のDPAを使用する場合でも、データ管理者(すなわちお客様)がデータを所有し、データ処理者(すなわちクラウドパートナー)が第三者とデータを共有しないことが規約に明確に記載されていることを確認してください。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigmaのコンプライアンス
CloudSigmaは、データ処理合意書(DPA)を作成し、お客様がGDPRの義務を遵守できるようにしています。当社は、DPAを参照し、GDPRに準拠するために、利用規約およびプライバシーポリシーの関連部分を更新しました。
さらに、当社の標準的なプライバシーポリシーは、クラウドにおける顧客データのすべての収集、保存、および使用について説明している、非常に透明性の高い文書です。
お客様は、ファイルシステムレベルでデータへの完全かつ排他的なアクセス権を保持します。CloudSigmaのシステムは、VMやドライブの内部へのアクセス権や可視性を持っていません。CloudSigmaのクラウド管理システムは、従業員の権限とアクセスを制限するアクセス制御フレームワークを実装しており、システム上で実行されたアクションをログに記録します。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
データの削除
クラウドパートナーとの契約が終了した後に、データをダウンロードまたは消去できることを確認する必要があります。また、サービスを解約した後に、クラウドパートナーがデータを削除することも確認してください。一部のクラウドプロバイダー(特にISO認証を取得しているプロバイダー)は、契約終了後のデータ削除に関する標準化されたポリシーを採用しています。クラウドプロバイダーがデータを削除するまでにどのくらいの時間がかかるかを確認するようにしてください。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigmaのコンプライアンス
CloudSigmaでは、システムがすべての顧客データを自動的に処理します。これには、ドライブの削除、廃止されたアカウントのスケジュール削除などが含まれます。
CloudSigmaはクライアントのドライブデータのコピーを作成しません。お客様がドライブを別のストレージシステムにクローンすることを選択しない限り、唯一のコピーは当社のクラウド内に存在します。
さらに、当社のデータ処理合意書の一環として、サービスの利用中または利用終了後に、データの訂正、削除、ブロック、および/または利用可能にすることを要求することができます。
[/vc_column]
[/vc_row]
では、貴社は現在、どの程度“GDPR対応”ができていますか?
CloudSigmaおよびGDPRに関する詳細情報については、dpo (at) cloudsigma.com までお気軽にお問い合わせください。
出典:
コメント
コメントはまだありません。最初のコメントを投稿しましょう。