個人データの移行は？ セーフハーバー協定から再考するビッグデータの保管：ビッグデータ利活用と問題解決のいま（2/3 ページ）

[笹原英司，ITmedia]

重みを増す個人データの保管

　前述のLIBE委員会報告書が指摘したように、EU-米国間を結ぶビッグデータ／IoTプロジェクトでは、国境を越えてクラウド環境を利用するケースが増えており、セキュリティ／プライバシー対策も複雑化している。

　セーフハーバー協定順守の前提条件として、EU域内発の個人データを米国内に預けるユーザー企業は、利用するクラウドサービスプロバイダーが、EU独自のプライバシー保護の要求事項にどう対応しているかをあらかじめ確認し、プロバイダー側はこれら要求事項の順守状況について、ユーザーやEU域内の監督当局に回答できる体制を備えておく必要があったわけだ。

　筆者が参画するクラウドセキュリティアライアンス（CSA）は、EUの厳格なプライバシー保護規制へのクラウドサービスプロバイダーの対応の観点から、2013年2月、「欧州連合のクラウドサービス販売向けプライバシーレベル契約の概要」（関連PDF）を公表し、2015年5月には、「プライバシーレベル契約[V2]：欧州連合のクラウドサービス提供向けコンプライアンスツール」を公表している。

CSA発行「プライバシーレベル契約[V2]：欧州連合のクラウドサービス提供向けコンプライアンスツール」

　例えば、CSAの「プライバシーレベル契約[V2]」では、データセキュリティ対策の要件として、可用性、完全性、機密性の3大原則に加えて、透明性、分離性（目的の制限）、介入性、ポータビリティ、説明責任を挙げている。また個人データの置き場所に関連して、保存、ミラーリング、バックアップ、リカバリなど、個人データが処理される可能性があるすべてのデータセンターのロケーションを特定することを挙げている。

　またCSAは、EUの2014年〜2020年研究開発フレームワーク計画「ホライズン2020」の一環で、中小企業におけるSLA（Service Level Agreement）の共通の理解を働きかけ、SLAの標準化や透明性の確保を行っていくことを目的とした「SLA-Ready」プロジェクトにパートナーとして関わっている。

　SLA-Readyに関連して2015年9月、欧州委員会が「クラウドコンピューティングサービスのためのサービスレベル契約の基準用語とパフォーマンス基準」を公表しており（関連情報）、欧州市場でクラウドを利用したビッグデータ関連ビジネスの創出・拡大を狙う日本のスタートアップ企業にとって参考になるだろう。

　ちなみに、2015年9月3日に参議院で可決・成立した改正個人情報保護法は、個人情報の取り扱いのグローバル化の観点から、国境を越えた適用と外国執行当局への情報提供に関する規定の整備と、外国にある第三者への個人データの提供に関する規定の整備を掲げている。今後EU-日本間のセーフハーバー協定締結をめざすのであれば、SLA-Readyの動向からも目が離せない。