クラウドサービス事業者のためのGDPR - 概要

クラウドプラットフォームは、現代の企業にとってますます重要なツールとなっており、その理由は容易に理解できます。2020年には米国企業のデータの85%がクラウドストレージにあり、パブリッククラウドの市場規模は2025年までに6790億ドルに達すると予想されています（Statista、CRN）。

しかし、企業がクラウドへの移行をますます進めるにつれ、クラウドストレージのデータセキュリティの問題が重要性を増しています。特に、2018年に発効した厳格なGDPRの要件を考慮しています。

企業の中には、クラウドプロバイダーを利用してデータを保存することで、GDPRのコンプライアンス違反として罰金を科せられるのではないかと懸念しているところもあります。

これは、第三者が関与していることを考えると理解できますが、保存・管理されているデータの安全性が必ずしも低くなるという理由はありません。

クラウドとは？

クラウドとは、簡単に言えば、膨大なデータを保存するために設計されたサーバーのネットワークです。

企業は、このハードウェアを利用して自社のデータを保存し、インターネットを通じてアクセスすることができます。

代表的な例としては、Dropbox、Google Cloud、Amazon Web Servicesなどがあります。

大きく分けて、クラウドソフトウェアは3つのタイプに分類されます。

1. パブリック - 無料または有料で複数の組織に配信されるインターネットベースのクラウドサービス
2. プライベート - 1社専用の社内クラウドサービス
3. ハイブリッド - パブリック・クラウドとプライベート・クラウドを組み合わせたもの

また、別の方法で分類されることも多い。

• IaaS（Infrastructure-as-a-Service） - 企業がお金を払ってクラウドプロバイダーのコンピューティングおよびストレージリソースにアクセスするサービス
• Software-as-a-Service (SaaS) - 企業が料金を支払って、インターネット上でオンデマンドのソフトウェアにアクセスするサービスです。
• Platform-as-a-Service (PaaS) - 企業がブラウザ上でアプリケーションを構築するための開発・配備環境を備えたサービス

企業にとってのクラウドのメリット

クラウドストレージは、データのセキュリティや管理コストの削減、コミュニケーションの改善、チームワークの向上など、企業にとって大きなメリットを低価格で提供します。

また、セキュリティの強化、ITインフラの問題によるダウンタイムの減少、企業の成長に伴う優れた拡張性などのメリットもあります。

これらを総合すると、クラウドソフトウェアは、企業に重要な競争力をもたらす柔軟性を提供することになります。

• 84%の企業が導入後数ヶ月で業務の改善を報告（Multisoft社）。
• 中小企業では、サードパーティのクラウドプラットフォームを利用した方が、社内で代替手段を維持するよりも40％もコスト効率が高いと回答しています（Multisoft）。
• 94%の企業が、データをクラウドに移行した後、オンラインセキュリティが大幅に向上したと報告している（Salesforce社）

クラウドソフトウェアはGDPRによってどのような影響を受けたか？

重要なのは、91%の企業が、GDPRのような政府の要求に対するコンプライアンス業務において、クラウドストレージプラットフォームが大きな助けとなっていると考えていることです（Salesforce）。

クラウド・ストレージ・プラットフォームは、データ転送時に高度な暗号化を採用し、権限のないユーザーが個人情報にアクセスできないようにするなど、セキュリティを重視した設計になっています。

しかし、GDPRによって、クラウド上での個人情報の保存・処理方法が大きく変わり、EUのプライバシー監視機関であるEDPSは、アマゾンのAWSやマイクロソフトのAzureクラウドサービスが市民のデータを効果的に保護しているかどうかを調査しています。

GDPRのクラウドサービス事業者に対する要求事項は以下の通りです。

• 個人データの処理に関する原則を策定する
• データ処理のプロセスがGDPRの8つのデータ主体の権利を尊重するようにすること
• データ処理および制御活動に関わるすべての人に対して、プライバシー・バイ・デザインの要件を確立すること
• データ所有権およびデータポータビリティ権に関する管理の実施
• データのプライバシーを確保するためのセキュリティ対策の導入
• 国際的な関係者へのデータ処理に関する原則の確立
• データ違反を管理するための方針および手順の策定
• 契約上の合意、データ保持期間およびその他の適用要件の確立に関する方針の策定

クラウド上のデータに対する企業の責任とは？

サードパーティのセキュリティ問題はGDPRの大きな関心事であり、サードパーティのクラウドプラットフォームが顧客企業に代わってデータを保存している場合も含まれます。

GDPRでは、個人情報のセキュリティに対する説明責任に関して、「データ管理者」と「データ処理者」を区別しています。

つまり、個人情報が自社のサーバーに保存されているかどうかに関わらず、個人情報を安全に保つ責任は企業にあるということになります。

クラウドプラットフォームを選択する際の注意点

クラウドに移行する前に、企業は個人データの流れを適切に把握し、プライバシー影響評価を行うことが望まれます。

その際には、以下の点を考慮する必要があります。

• データ主 権 GDPRの規制では、データは欧州連合内に保存しなければならないと定められています。 幸いなことに、データの保存先を選択できるクラウドサービスプロバイダーが多数存在するため、ヨーロッパのデータセンターを利用しているプロバイダーを選択することができます。
• データの安全性クラウドストレージプラットフォームがどのような安全性を備えているかを確認し、エンドツーエンドの暗号化を提供しているものを選びましょう。 最終的には、プロバイダーが適切なセキュリティ手順を実施していることに満足する必要があります。
• データ対象者の尊重 EUのデータ対象者の8つのプライバシー権を遵守しているクラウドプロバイダーを選択します。この情報は、クラウド企業が容易に提供できるはずです。
• デザインとデフォルトによるデータ保護クラウド企業がセキュリティをデザインと手順に統合していることを確認する - 例えば、機密情報へのアクセスを制限するゼロナレッジ暗号を使用するなど。 これは、データ違反があった場合、最終的に自社の責任となることを考えると、重要なポイントです。

GDPR対応には継続的な作業が必要

企業がデータをクラウドに移行した後は、運用手順やプロセスが引き続きGDPRに準拠していることを確認するために、定期的な監査を実施することが賢明です。

また、クラウドプラットフォームが、与えられたセキュリティ保証に引き続き準拠しているかどうかも定期的に確認することが望ましいです。

このような作業は、通常、独立したサードパーティの監視機関やレビューサイトが行っており、どのオプションを選択するかを決定する前に検証する必要があります。