クラウド コンピューティングとルール: 嵐の目を追いかけて

ISO 27018 規制は、クラウド コンピューティング業界の参加者が個人データを適切に処理していることに対する信頼を構築するための実用的な基盤を提供し、より明確な立法と規制への道を開きます。

クラウド コンピューティング テクノロジーが急速に発展する中、法律や規制がどのように変化に対応しているかが人々に認識され始めています。業界が直面している大きな問題は、標準化されたガイダンスの欠如です。クラウド コンピューティングは特定の「クラウド コンピューティング法」の対象ではなく、そのサービスは直接規制されていません。代わりに、法律と規制の状況は、テクノロジー自体と同じくらい広範囲にわたり、複数の業界と地域にまたがるさまざまなルールの寄せ集めで構成されています。

[[267162]]

この幅広さを考えると、規制と技術革新の嵐の間のギャップを埋める手段として、立法による解決策から業界標準化へと徐々に移行しつつあります。

規制ガイダンス

直接的な法律はありませんが、近年、特に金融サービス分野の英国の多くの規制当局がクラウド技術の使用に関するガイダンスを発行しています。このガイダンスは、既存の規制ルールに従ってテクノロジーを使用する方法に重点を置いています。このガイダンスでは、規制要件に準拠してクラウド テクノロジーを導入するための段階的なプロセスは規定されていませんが、規制当局は企業が規制に準拠した方法で導入することはできないと考えていることが示されています。

しかし、規制が厳しい分野でクラウド コンピューティング ソリューションを大規模に導入する上での大きな障壁が残っています。それは、規制当局が受け入れる可能性のある正確な標準が不明であることです。どうやら、鍵となるのは標準化のようです。

標準化

一例として、国際標準化機構が発行した ISO 27018 規格が挙げられます。この規格は、クラウドにおける個人データの処理をカバーしています。この標準は、EU 規制当局の主な目的の 1 つである、クラウド コンピューティング サービス プロバイダー向けの監査可能なコンプライアンス フレームワークを導入し、信頼を促進し、すべての経済セクターでクラウド コンピューティングを迅速に導入して生産性を向上させることに直接対応しています (欧州委員会の 2012 年欧州クラウド コンピューティング戦略を参照)。

ISO 27018 は、データ処理者として機能するパブリック クラウド コンピューティング サービス プロバイダーが実装できる共通のセキュリティ カテゴリと制御のセットを作成することを目的としています。その目的は、パブリック クラウド サービス プロバイダーがデータ処理者として行動する際に適用される義務を遵守し、クラウド コンピューティング サービスの顧客に対して透明性を保つことを支援することです。

ISO 27018 の大部分は EU のデータ保護法に基づいていますが、この規格ではさらに踏み込んで、クラウド プロバイダーが顧客への個人データの返却、転送、処理に関するポリシーを実装すること (たとえば、サービスの終了時) と、事前に決められた間隔で (または処理に大きな変更があった場合) サービスの独立した情報セキュリティ レビューを実施することを保証することで、より多くの手続き上の問題に対処しています。

顧客の選択を支援する

クラウド コンピューティング サービス プロバイダーを選択する場合、顧客は法的義務に準拠しているプロバイダーを見つける必要があります。各クラウド サービス カスタマーは、適用される特定の法律に準拠する必要がありますが、ほとんどのクラウド カスタマーに適用される法律は、プライバシーとデータ保護に関する法律です。ここで、ISO27018 は顧客を次のように支援できます。

次は何ですか？

ISO 27018 規制は、個人データが適切に処理されているというクラウド コンピューティング業界の関係者の信頼を構築するための実用的な基盤を提供し、より明確な規制の策定への道を開きます。現在、これは法的枠組みとテクノロジーの急速な成長との間のギャップを埋める業界標準の例です。この標準化が進めば、法律や規制もイノベーションに追いつくことが可能になるでしょう。