個人データの移行は? セーフハーバー協定から再考するビッグデータの保管:ビッグデータ利活用と問題解決のいま(2/3 ページ)
EUから米国への個人データ移転に大きく影響する判決が下されたが、このことは企業が個人などに係るビッグデータの取り扱いにも多大な影響を与えることになりそうだ。
重みを増す個人データの保管
前述のLIBE委員会報告書が指摘したように、EU-米国間を結ぶビッグデータ/IoTプロジェクトでは、国境を越えてクラウド環境を利用するケースが増えており、セキュリティ/プライバシー対策も複雑化している。
セーフハーバー協定順守の前提条件として、EU域内発の個人データを米国内に預けるユーザー企業は、利用するクラウドサービスプロバイダーが、EU独自のプライバシー保護の要求事項にどう対応しているかをあらかじめ確認し、プロバイダー側はこれら要求事項の順守状況について、ユーザーやEU域内の監督当局に回答できる体制を備えておく必要があったわけだ。
筆者が参画するクラウドセキュリティアライアンス(CSA)は、EUの厳格なプライバシー保護規制へのクラウドサービスプロバイダーの対応の観点から、2013年2月、「欧州連合のクラウドサービス販売向けプライバシーレベル契約の概要」(関連PDF)を公表し、2015年5月には、「プライバシーレベル契約[V2]:欧州連合のクラウドサービス提供向けコンプライアンスツール」を公表している。
例えば、CSAの「プライバシーレベル契約[V2]」では、データセキュリティ対策の要件として、可用性、完全性、機密性の3大原則に加えて、透明性、分離性(目的の制限)、介入性、ポータビリティ、説明責任を挙げている。また個人データの置き場所に関連して、保存、ミラーリング、バックアップ、リカバリなど、個人データが処理される可能性があるすべてのデータセンターのロケーションを特定することを挙げている。
またCSAは、EUの2014年〜2020年研究開発フレームワーク計画「ホライズン2020」の一環で、中小企業におけるSLA(Service Level Agreement)の共通の理解を働きかけ、SLAの標準化や透明性の確保を行っていくことを目的とした「SLA-Ready」プロジェクトにパートナーとして関わっている。
SLA-Readyに関連して2015年9月、欧州委員会が「クラウドコンピューティングサービスのためのサービスレベル契約の基準用語とパフォーマンス基準」を公表しており(関連情報)、欧州市場でクラウドを利用したビッグデータ関連ビジネスの創出・拡大を狙う日本のスタートアップ企業にとって参考になるだろう。
ちなみに、2015年9月3日に参議院で可決・成立した改正個人情報保護法は、個人情報の取り扱いのグローバル化の観点から、国境を越えた適用と外国執行当局への情報提供に関する規定の整備と、外国にある第三者への個人データの提供に関する規定の整備を掲げている。今後EU-日本間のセーフハーバー協定締結をめざすのであれば、SLA-Readyの動向からも目が離せない。
関連記事
- 欧州連合司法裁、米国への個人情報移転協定は無効と判断
GoogleやFacebookが欧州のユーザー情報を米国に移転することを認めるEUと米国の「セーフハーバールール」は無効であるとの判断をEU司法裁判所が下した。EUはルールの見直しを進めるとしている。 - 欧州にみる個人データ保護とビッグデータ利活用のバランス
欧州では「EU個人データ保護規則」の制定と本格施行に向けた取り組みが進展している。プライバシー/セキュリティの管理と、ビッグデータ利活用を通じたイノベーションとのバランスをどう図ろうとしているのだろうか。 - 米国で進むビッグデータの相互運用性の標準化とセキュリティ
2014年5月にホワイトハウスがビッグデータ報告書を公表して早一年が経ち、米国ではビッグデータに関わるイノベーションと同時に標準化の活動も急ピッチで進んでいる。今回は最前線の動向をお伝えしよう。 - 米国の情報漏えいに学ぶビッグデータのセキュリティ対策
サイバー攻撃に起因する情報漏えいが発覚した場合、事後対策時にその組織を所管する複数の官庁が関わり、インシデント報告の提出先も多岐に渡るケースが多い。リアルタイム性が要求されるビッグデータのセキュリティではどのように対応すればいいのだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.