×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
大幅な遅延や追加コストを招く? 新しいEUデータ保護規則の適用
前編「新しいEU保護規則で増える、クラウド利用者に課せられる責任」に続き、新しいEUデータ保護規則のセキュリティ条項(30~32条)を解説する。30条ではデータ管理者とサービス事業者が取るべきセキュリティ対策について、31、32条ではセキュリティが破られた場合の通知義務について規定している。
※前編:新しいEU保護規則で増える、クラウド利用者に課せられる責任
→http://techtarget.itmedia.co.jp/tt/news/1202/23/news03.html
●情報セキュリティとリスク評価の義務付け
EUデータ保護規則案第30条のセキュリティ条項も、EU指令95/46/ECより拡大され、一般的な米国の法律に比べても厳格になっている。
30条(1)ではデータ管理者と処理者の双方に対し、処理作業のリスクおよび処理される個人情報の性質によるリスクの度合いに応じたセキュリティ対策を義務付けている。これに該当するEU指令95/46/ECの第17条では単に、「適切なセキュリティ対策」を義務付けているにすぎなかった。規則案で定められたセキュリティ対策は、処理作業および保護対象となる個人情報の性質に応じた具体的なリスクに対応したものでなければならず、最先端の技術と導入コストを検討する必要が生じる。さらに、30条(2)ではデータ管理者と処理者の両者に対し、リスク評価の実施を義務付けている。
こうした規定は現行のベストプラクティスや業界標準に沿ってはいるが、ビジネスモデルが変わらない限り、クラウドサービスにとっては負担が生じる公算が大きい。実際のところ、現行のクラウドのビジネスモデルは画一的であるのが普通だ。形態によっては、例えばIaaSのように、そのサービスでホスティングするデータの性質をサービス事業者が知らない(あるいは知りたくない)ものも多い。従って、リスク評価を実施して処理されるデータの種類に応じた具体的な対策を講じることは、大幅な遅延と追加的なコストを発生させる可能性もある。
一方、特定市場や特定の種類のデータを対象とするSaaSサービス事業者は一般に、この新条項を活用してテーラーメード型、ターゲット型のセキュリティ対策やリスク評価プロセスの提供をアピールできるかもしれない。こうしたサービスは特定の種類のデータを対象とするのが一般的であり、リスク評価とテーラーメード型のセキュリティ対策という要件を比較的容易に満たすことができる。
●情報流出の通知義務
EUデータ保護規則案31条と32条は、セキュリティが破られた場合の通知義務について規定している。ほとんどの米国企業にとって、これは非常に身近な概念だ。しかし米国の法律と大きく違うのは、EU規則案では「個人情報流出」に該当する範囲がはるかに広いという点だ。
同規則案で定義する個人情報流出とは、セキュリティが破られたことに起因する個人情報の偶発的あるいは不正な破壊、紛失、改ざん、無断公開、不正アクセスを指す。これは極めて広範な定義だ。このEEAの個人情報の定義の中に、「データの持ち主に関するあらゆる情報」という文言があることに留意したい。これは真に「あらゆるデータ」を意味する。米国の大半の州のセキュリティ侵害法が対象としているような、社会保障番号やクレジットカード情報、医療情報などにとどまらない。つまり、電子メールアドレスや電話番号などを紛失したり不正に改ざんされたりした場合も、個人情報の流出に該当する。
個人情報が流出した場合に適用されるルールも、米国に47あるどの情報流出公開法と比べてもはるかに厳格だ。規則案では個人情報の流出が起きた場合、可能であれば24時間以内に、データ管理者(ほとんどの場合はクラウドサービスの顧客)から国の監視当局に情報流出の発生を報告しなければならない。さらに、もしその情報流出が「個人情報の保護、あるいはデータの持ち主のプライバシーに悪影響を及ぼす可能性がある」場合は監視当局に連絡後、遅滞なくデータの持ち主にも通知することを、第32条でデータ管理者に対して義務付けている。この要件も、現在の米国の法律に比べてずっと厳しい。
今後の施行文書によってこの要件が緩和され、明確化されない限り、同条項は流出通知の洪水状態を引き起こし、一般市民に不必要なトラブルと混乱を引き起こす公算が大きい。この混乱が翻って、企業に不必要な追加コストを生じさせる可能性もある。企業は事態を公表したことで発生する不安に対処するため、コールセンターやサポートの手配、通信手段の確保を迫られるからだ。
●今後の展開
新しいEUデータ保護規則の最終版は2012年に調印され、2年後の2014年半ばから後半ごろに施行される見通しだ。規則案の取りまとめには1年以上を要していることから、現行案は最終版に極めて近いと思われる。つまり最終版が現行の案と大きくことなることはなさそうだ。米国のクラウドサービス事業者とクラウドサービスのユーザーは、欧州の新しいデータ保護規制がより厳しく複雑になり、要件が増えて厳格化される時代に備えた準備と予算が必要だ。
保護規則案の全文に関する包括的な分析は、IT Law GroupのWebサイトで参照できる。
(※)本稿は2012年1月25日に公表された規則案の微修正を反映して、2012年2月2日に改訂された。
※関連記事:パブリッククラウド利用前に押さえておきたい4つのセキュリティリスク
→http://techtarget.itmedia.co.jp/tt/news/1103/30/news04.html
(この記事はテクノロジー総合(TechTargetジャパン)から引用させて頂きました)
au 機種変更
※前編:新しいEU保護規則で増える、クラウド利用者に課せられる責任
→http://techtarget.itmedia.co.jp/tt/news/1202/23/news03.html
●情報セキュリティとリスク評価の義務付け
EUデータ保護規則案第30条のセキュリティ条項も、EU指令95/46/ECより拡大され、一般的な米国の法律に比べても厳格になっている。
30条(1)ではデータ管理者と処理者の双方に対し、処理作業のリスクおよび処理される個人情報の性質によるリスクの度合いに応じたセキュリティ対策を義務付けている。これに該当するEU指令95/46/ECの第17条では単に、「適切なセキュリティ対策」を義務付けているにすぎなかった。規則案で定められたセキュリティ対策は、処理作業および保護対象となる個人情報の性質に応じた具体的なリスクに対応したものでなければならず、最先端の技術と導入コストを検討する必要が生じる。さらに、30条(2)ではデータ管理者と処理者の両者に対し、リスク評価の実施を義務付けている。
こうした規定は現行のベストプラクティスや業界標準に沿ってはいるが、ビジネスモデルが変わらない限り、クラウドサービスにとっては負担が生じる公算が大きい。実際のところ、現行のクラウドのビジネスモデルは画一的であるのが普通だ。形態によっては、例えばIaaSのように、そのサービスでホスティングするデータの性質をサービス事業者が知らない(あるいは知りたくない)ものも多い。従って、リスク評価を実施して処理されるデータの種類に応じた具体的な対策を講じることは、大幅な遅延と追加的なコストを発生させる可能性もある。
一方、特定市場や特定の種類のデータを対象とするSaaSサービス事業者は一般に、この新条項を活用してテーラーメード型、ターゲット型のセキュリティ対策やリスク評価プロセスの提供をアピールできるかもしれない。こうしたサービスは特定の種類のデータを対象とするのが一般的であり、リスク評価とテーラーメード型のセキュリティ対策という要件を比較的容易に満たすことができる。
●情報流出の通知義務
EUデータ保護規則案31条と32条は、セキュリティが破られた場合の通知義務について規定している。ほとんどの米国企業にとって、これは非常に身近な概念だ。しかし米国の法律と大きく違うのは、EU規則案では「個人情報流出」に該当する範囲がはるかに広いという点だ。
同規則案で定義する個人情報流出とは、セキュリティが破られたことに起因する個人情報の偶発的あるいは不正な破壊、紛失、改ざん、無断公開、不正アクセスを指す。これは極めて広範な定義だ。このEEAの個人情報の定義の中に、「データの持ち主に関するあらゆる情報」という文言があることに留意したい。これは真に「あらゆるデータ」を意味する。米国の大半の州のセキュリティ侵害法が対象としているような、社会保障番号やクレジットカード情報、医療情報などにとどまらない。つまり、電子メールアドレスや電話番号などを紛失したり不正に改ざんされたりした場合も、個人情報の流出に該当する。
個人情報が流出した場合に適用されるルールも、米国に47あるどの情報流出公開法と比べてもはるかに厳格だ。規則案では個人情報の流出が起きた場合、可能であれば24時間以内に、データ管理者(ほとんどの場合はクラウドサービスの顧客)から国の監視当局に情報流出の発生を報告しなければならない。さらに、もしその情報流出が「個人情報の保護、あるいはデータの持ち主のプライバシーに悪影響を及ぼす可能性がある」場合は監視当局に連絡後、遅滞なくデータの持ち主にも通知することを、第32条でデータ管理者に対して義務付けている。この要件も、現在の米国の法律に比べてずっと厳しい。
今後の施行文書によってこの要件が緩和され、明確化されない限り、同条項は流出通知の洪水状態を引き起こし、一般市民に不必要なトラブルと混乱を引き起こす公算が大きい。この混乱が翻って、企業に不必要な追加コストを生じさせる可能性もある。企業は事態を公表したことで発生する不安に対処するため、コールセンターやサポートの手配、通信手段の確保を迫られるからだ。
●今後の展開
新しいEUデータ保護規則の最終版は2012年に調印され、2年後の2014年半ばから後半ごろに施行される見通しだ。規則案の取りまとめには1年以上を要していることから、現行案は最終版に極めて近いと思われる。つまり最終版が現行の案と大きくことなることはなさそうだ。米国のクラウドサービス事業者とクラウドサービスのユーザーは、欧州の新しいデータ保護規制がより厳しく複雑になり、要件が増えて厳格化される時代に備えた準備と予算が必要だ。
保護規則案の全文に関する包括的な分析は、IT Law GroupのWebサイトで参照できる。
(※)本稿は2012年1月25日に公表された規則案の微修正を反映して、2012年2月2日に改訂された。
※関連記事:パブリッククラウド利用前に押さえておきたい4つのセキュリティリスク
→http://techtarget.itmedia.co.jp/tt/news/1103/30/news04.html
(この記事はテクノロジー総合(TechTargetジャパン)から引用させて頂きました)
 【3月1日発送予定】Panasonic (パナソニック) ホームベーカリー (1斤) ノーブルシャンパン SD... |
au 機種変更
PR
カレンダー
スポンサードリンク
プロフィール
HN:
矢口 倫子
性別:
女性
最新記事
(03/27)
(03/27)
(03/27)
(03/27)
(03/26)