EUが攻撃開始：クラウドコンピューティング企業はGDPRの影響を受けるのか？

[[230772]]

欧州連合の一般データ保護規則（GDPR）が5月25日に正式に施行されました。2016年の発表以来、2年間の移行期間があっという間に過ぎました。デジタル企業のリーダーたちは準備ができているでしょうか? GDPR の脅威にさらされているグローバル企業は、EU で合法的にビジネスを行うことができるのでしょうか?

GDPR のデータ プライバシー保護条項の一部は私たちの「常識」に反するものであるため、ビジネス リーダーや製品ビジネス デザイナーは、どのような行動が規制に違反し、どのような行動がリスクをもたらすかを学び、理解することがさらに必要になります。法務担当者は非常に詳細かつ専門的な解釈と分​​析を提供し、また多くの戦略と対応策も示していますが、大多数の中国企業にとって、GDPRに対する関心と理解のレベルはまだ不十分です。

特に、世界市場に積極的に参入する準備をしているインターネット企業にとって、国の無謀な成長に対する寛容さと企業自身の急速な発展は、多くの問題を潜ませている。これらの若者は、「コンプライアンス遵守」の重要性と違反のリスクをあまり理解していません。 GDPR の規則の多くは、インターネット デジタル企業の事業運営の中核に関係しています。 GDPRが発効した後、ビッグデータやクラウドサービス企業がGDPRの影響を受ける可能性が高くなると個人的には考えています。

先週は主にビッグデータについてお話ししましたが、今日はクラウドコンピューティングに関することについてお話ししたいと思います。

国境を越えたデータフローに対するこれまでの制限

かつて、EU のデータ保護要件についての私の理解は、データは国外に持ち出すことができないという 6 つの単語だけでした。この印象がこれほど深いのは、1995 年に欧州連合が非常に厳格なデータ保護指令を発行したためである。

指令によれば、 「EU市民の個人情報を第三国に転送し保管して処理することは、第三国が関連する国内法または国際公約を通じて個人データに適切な保護を提供している場合にのみ許可されます。」では、これらの国とはどこでしょうか？スイス、ニュージーランド、カナダ、アルゼンチンなどです。ここには米国も中国もありません。

EU がデータ保護を厳格に実施している根本的な理由は、国民の個人のプライバシーと権利に注意を払っているためです。しかし、海の向こうのアメリカは違います。データ処理ルールの定義をテクノロジーとビジネスの観点から考察します。特に、インターネットの急速な発展の第一波がアメリカ企業によって牽引されたとき、彼らは主に「業界分散保護メカニズム」を採用し、EUのコンポーネント保護の要求を満たすことができませんでした。そこで、2000年に米国と欧州連合は「セーフ ハーバー協定」を締結しました。この協定では、米国企業がセーフ ハーバーに加入し、セーフ ハーバーの要件を遵守することを公約する限り、EU の個人データを米国に転送して処理できることが明確に規定されていました。

これは、厳格なデータ保護指令の裏口を開き、要件を満たしていないアメリカ人がデータを転送できるようにするようなものです。もちろん、このバックドアは米国への信頼から開かれたものだが、米国はこの信頼を裏切ったのだ。

スノーデン氏が2013年に提供した文書は、米国の諜報機関がこの「バックドア」を利用して盗聴や監視を行うことができることを示した。スキャンダルが発覚した後、EU加盟国はセーフハーバー協定の個人データ保護能力に疑問を呈した。最終的に、2015年10月に欧州司法裁判所はセーフハーバー協定を却下し、米国企業によるデータ移転は「違法」となった。そこで、EUと米国は2016年2月に「EU・米国プライバシーシールド」協定を締結し、関連企業に対してより厳格な管理手法を課すことを発表しました。そして4月にGDPRが施行されました。

このように広い世界では、EU のデータを持ち出すことができるのは、EU が承認している数か国と、EU と特別協定を結んでいる米国だけです。データ保護に関しては、EUが最も保守的であると言えます。実はEUだけでなく、他の国や地域でも同様の法律や規制があります。具体的な内容には違いはあるものの、その核心はデータの流出を制限することです。

例えば、中国の「サイバーセキュリティ法」や「データの国外移転に関する弁法」では、個人情報や重要なデータは通常は中国国内で保管することが原則であると規定されている。ビジネス上の必要性により海外に提供する必要があり、セキュリティ評価に合格した場合にのみ、海外に転送できます。評価のルールや手順も非常に複雑です。本当に必要でなければ、評価を申請する人は多くないと思います。

GDPRは国境を越えたデータフローの制限を緩やかに緩和

GDPR は史上最も厳しいデータ保護規制であると主張されていますが、実際にはデータの流出には有利です。

なぜそんなことを言うのですか？

まず、利用規約がより明確に設計され、説明されているため、企業は何ができて何ができないか、どのような許可が必要かを正確に把握できます。例えば、GDPRに規定された法的条件を満たしている限りデータを輸出できることが明記され、EU加盟国はライセンスを通じて国境を越えたデータフローを管理できなくなりました。

2つ目は標準契約条項の拡大です。すでに施行されている 3 つの標準契約テンプレートを保持することに加えて、加盟国のデータ規制当局は他の標準契約条項を指定することもできます。この変化は、ビジネス協力の余地を拡大するだけでなく、企業にビジネスモデルの革新の可能性をもたらします。

3つ目は、「拘束的企業準則」（BCR）の合法性を認めることです。つまり、企業グループが BCR 承認を取得すれば、個人データをグループのメンバー間で合法的に転送できることになります。これは多国籍企業にとっての万能の解決策です。

これらの解釈から、以前の「データ保護指令」と比較して、GDPR は国境を越えたデータフローの明確な方法とチャネルを定義しており、主にインターネットの発展に適応していることがわかります。

インターネット企業は、従来の産業のようにあらゆる場所に事業体を設立するわけではありません。それらのほとんどは、1 つのポイントを通じてグローバル サービスを提供しており、必然的にデータの国境を越えた流れや海外での処理が伴います。つまり、インターネット企業があらゆる国（地域）にシステムを構築することを許すと、構築コストや運用コストが大幅に増加し、ビジネスが成り立たなくなる可能性が高くなります。

したがって、EUがこれまでの厳格な規則を守り続けると、インターネット企業はヨーロッパから撤退せざるを得なくなる可能性がある。しかし、今ではインターネットが徐々にトレンドになりつつあります。インターネット企業がヨーロッパに事業を拡大しなければ、テクノロジーがもたらす利益や価値を享受することは難しくなるだろう。長期的には、その結果は想像できる。

国民のプライバシー権を守ることと時代の流れに遅れないことのジレンマに直面したEUは、最終的に後者を選択しましたが、それは賢明な選択だと思います。

クラウドコンピューティング企業は GDPR の影響を受けるでしょうか?

これまでの分析から、国境を越えたデータフローに関する規則がより明確かつ詳細になり、より運用しやすくなったため、クラウドサービス企業が欧州市場に参入することが以前よりも容易になっているようです。たとえば、SaaS サービスを提供する企業は、サーバーやストレージ デバイスがヨーロッパ外にある場合でも、準拠認定を受けている限り、EU の顧客にサービスを提供できます。しかし、国境を越えたデータフローのルールの改善は、クラウド サービス プロバイダーの問題の一部しか解決しません。より大きなリスクは、EU のデータ保護規則の設定とクラウド コンピューティングのビジネス モデルの間に矛盾が生じる可能性があるという事実にあります。

データセキュリティをより包括的に保護するために、GDPR では、データ管理者 (クラウド コンピューティングの顧客など) とデータ処理者 (クラウド サービス プロバイダーなど) に同じ要件を課しています。このポリシーの本来の目的は、データにアクセスする各企業にデータセキュリティを保護する責任を負わせることです。しかし、クラウド コンピューティングは複数のレイヤーで構成されており、オープン性と企業間の自由な組み合わせとコラボレーションを重視しています。これら 2 つを組み合わせると、矛盾と衝突が生じます。

たとえば、GDPR では、データ処理者はデータ管理者の許可なしに別の処理者を雇用してはならないと規定されています。データ管理者が異議を唱えた場合、データ処理者はデータを第三者に提供することはできません。これは、PaaS プラットフォームがユーザーやアプリケーションを開発する前に、事前に IaaS ベンダーの同意を得る必要があることを意味しますか?

たとえば、GDPR では、データ処理者はデータ管理者から書面による通知を受け取った後にのみデータを処理できることが規定されています。このルールは、クラウド サービスのシナリオでは実装がほぼ不可能です。上位層アプリケーションからの書面による通知がなければ、基盤となるインフラストラクチャとプラットフォームはデータを処理できません。

クラウド コンピューティング サービス プロバイダーとその顧客の間で締結される協力協定または契約は、本来は相互の同意に基づく市場行動です。両者は交渉し、それぞれの要求に基づいて最終的に業務の分担と利益の分配を決定します。クラウド サービス企業は、顧客の実際の状況に基づいて、さまざまなレベルのサービスと機能を提供できます。クラウド サービスは世界的に普及し始めたばかりなので、このタイプの協力では、クラウド サービス企業がテンプレートを提供し、最終的に顧客と交渉するケースが多くあります。

しかし、GDPR のデータセキュリティ保護の要件は、両当事者間の契約に実装する必要があり、これらの詳細はクラウド サービスの基本ルールと矛盾するため、クラウド サービス プロバイダーは GDPR に直面したときに困惑する可能性があります。

Gartner は、グローバル IaaS マジック クアドラントを発表しました。 AWSとAzureは依然大きくリードしており、Googleが初めてリーダーの領域に参入した。さらに驚くべきは、今回発表されたマジック・クアドラントには、トップ3社に加え、アリババ・クラウド、オラクル、IBMを含めて6社しか残っていないということだ。

Alibaba Cloudを除いて、すべてアメリカの企業です。

これらの非EU企業はヨーロッパでビジネスを行うことができますか? GDPR 規則にはどのように準拠できるのでしょうか?他の企業と比較すると、クラウド サービス プロバイダーはより複雑な問題に直面しています。多くの場合、彼らは従いたくないのではなく、うっかりルールに違反してしまうのです。 GDPR の弾丸はクラウド サービス企業に本当に打撃を与える可能性があります。