個人データの移行は? セーフハーバー協定から再考するビッグデータの保管:ビッグデータ利活用と問題解決のいま(1/3 ページ)
EUから米国への個人データ移転に大きく影響する判決が下されたが、このことは企業が個人などに係るビッグデータの取り扱いにも多大な影響を与えることになりそうだ。
2015年10月6日、欧州連合(EU)司法裁判所が「EUから米国への個人データ移転に関するセーフハーバー協定は無効」との判断を下した(関連記事)。今回はガバナンスやポリシーの観点から、クラウド化・グローバル化が進むビッグデータストレージの保管への影響を考える。
デジタル化と個人保護の間で揺れるセーフハーバー協定
本連載の第25回で「EU個人データ保護規則」策定に向けた動きを取り上げたが、今回はEUのデジタル化推進政策と個人データ保護政策のバランスの観点から、その後の動向を紹介する。
欧米間では2013年11月に欧州委員会が公表した「EU-米国間のデータ流通における信頼の再構築」(関連PDF)に基づき、セーフハーバー協定交渉と同時並行で、犯罪・テロ捜査に係る個人データ保護の協議が行われていた。2015年9月、欧州委員会は、EU-米国間の個人データ保護に係る包括的合意をめぐる交渉が妥結したと発表した(関連リリース)。
合意書は、EU加盟国市民がプライバシー権を侵害されたとみなした場合、米国の裁判所に提訴することを認める法律を米国政府が制定することを条件として、以下のような措置を挙げている。
- 犯罪行為の防止、捜査、訴追を目的としたデータの共有を制限する
- 米国やEU加盟諸国による共有データの第三国への移転を制限する
- 米国は個人データを内密に保持する場合、その期間を公表しなければならず、恒久的に持ち続けることはできない
- データ侵害によって個人情報が流出した場合に備え、EUと米国が対処の仕組みを設ける
このように、犯罪・テロ捜査を目的とした場合については、個人データの生成から廃棄に至るまでのライフサイクル管理を厳格化する方向で、欧米間の調整が進んでいる。
他方でビッグデータやIoTの観点からは、2015年9月に欧州議会の市民的自由・司法・内務(LIBE)委員会が「ビッグデータおよびスマートデバイスとそれらがプライバシーに及ぼす影響」と題する報告書を公表している(関連PDF)。
この報告書は、EUにおける「個人データ保護規則」と域内デジタルマーケットの障壁撤廃を目指す「デジタル単一市場戦略」とのバランスに着目して、ビッグデータやスマートデバイス/IoTの動向を分析した点が特徴だ。供給の増加やサービスの効率化、気候変動や健康状態、病気の流行のモニタリング、政府の不正や無駄の防止など、ビッグデータやIoTがもたらすメリットの重要性を挙げる一方で、個人のプライバシーに係る権利が脅かされるリスクを指摘している。
「EUデータ保護規則」に関しては、ビッグデータ/IoTがプライバシー/個人データ保護にもたらす脅威の見直しとともに、国境を越えたデータ移転、クラウド環境上でのコンフリクトなど、ビッグデータ/IoTとクラウドコンピューティングの相互連携に伴う課題について言及している。
このように、デジタル化推進政策と個人データ保護政策の間のバランスが揺れ動く中で、EU-米国間のセーフハーバー協定を無効とする判断が下されたが、最終的にはEU域内の当事国であるアイルランドの監督機関の判断に委ねられることになる。いずれにせよ、セーフハーバー協定に基づきEU域内から米国への個人データ移転が認められていた企業にとって、米国内のストレージシステムに保存しているEU域内発の個人データの扱いは大きな課題だ。なお、米国政府側の対応状況については「export.gov」のセーフハーバー協定に関するWebサイトが参考になる(関連情報)。
関連記事
- 欧州連合司法裁、米国への個人情報移転協定は無効と判断
GoogleやFacebookが欧州のユーザー情報を米国に移転することを認めるEUと米国の「セーフハーバールール」は無効であるとの判断をEU司法裁判所が下した。EUはルールの見直しを進めるとしている。 - 欧州にみる個人データ保護とビッグデータ利活用のバランス
欧州では「EU個人データ保護規則」の制定と本格施行に向けた取り組みが進展している。プライバシー/セキュリティの管理と、ビッグデータ利活用を通じたイノベーションとのバランスをどう図ろうとしているのだろうか。 - 米国で進むビッグデータの相互運用性の標準化とセキュリティ
2014年5月にホワイトハウスがビッグデータ報告書を公表して早一年が経ち、米国ではビッグデータに関わるイノベーションと同時に標準化の活動も急ピッチで進んでいる。今回は最前線の動向をお伝えしよう。 - 米国の情報漏えいに学ぶビッグデータのセキュリティ対策
サイバー攻撃に起因する情報漏えいが発覚した場合、事後対策時にその組織を所管する複数の官庁が関わり、インシデント報告の提出先も多岐に渡るケースが多い。リアルタイム性が要求されるビッグデータのセキュリティではどのように対応すればいいのだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.