GDPRとクラウドコンピューティング: 知っておくべきこと

欧州からの新しいデータ規制は、クラウド コンピューティングを使用する企業にいくつかの問題を引き起こすでしょう。トラブルを避けるために知っておくべきことは次のとおりです。

2018 年 5 月 25 日現在、欧州連合の一般データ保護規則 (GDPR)、EU 規則 2016/679 により、欧州連合 (EU) のすべての居住者に対するデータ保護要件が統一されています。さらに、GDPR は EU 外への個人データの輸出と処理も対象としており、これはクラウド コンピューティング ユーザーがコンプライアンスについてますます懸念している分野です。

[[224785]]

では、企業はどのように準拠するのでしょうか?この規制の精神は、EU 居住者のプライバシーを保護することです。多くの人は、自分のデータは EU 内の居住国に保存する必要があると考えていますが、実際には、データの収集と使用が GDPR 規制に準拠している限り、データは世界中のどこにでも保存できます。

企業が EU 居住者と取引を行う場合、従うべき基本的なルールがいくつかあります。これらの規則をサポートするために、GDPR では、データ管理者、データ処理者、データ保護責任者 (DPO) など、いくつかの役割を定義しています。

データ管理者は、個人を特定できる情報 (PII) がどのように、どのような目的で処理されるかを定義します。繰り返しになりますが、規制が遵守されている限り、これは EU の内外で発生する可能性があります。

データ処理者は個人データ記録を維持および処理します。 GDPR では、違反に対して処理業者に責任を負わせています。企業とクラウド プロバイダーの両方が違反の責任を問われる可能性があるため、クラウド ベースのプラットフォームの使用を検討する際にはこれが重要です。たとえアウトソーシングされたプロセッサが実際に規制に違反したとしても、企業とクラウド コンピューティング プロバイダーの両方が問題に直面する可能性があります。基本的に、企業は雇用するサプライヤーの行為または不作為に対して責任を問われる可能性があります。

DPO は、EU 居住者のデータを保管および処理するすべての企業にとって必須の役割です。これは、GDPR コンプライアンスについて企業を教育し、問題や違反が発生した場合に規制当局との連絡窓口となるために指定された人物です。

ほとんどの Global 2000 企業と同様に、企業が EU 居住者とビジネスを行う場合、これらの新しい規則を今すぐ理解することが必須です。実際、企業が GDPR への取り組みを再構築し、改善し始めていない場合、すでに手遅れになっている可能性があります。

この取り組みの一環として、GDPR に準拠した用語を含めるようにサービス レベル契約 (SLA) を更新してください。ここでも、企業とクラウド プロバイダーの両方が何らかのリスクを負っており、GDPR の基本的なルールとプロセスに従わない場合は、両者とも相手の利益を損なう可能性があります。

したがって、企業は GDPR への準拠能力をよりよく理解するために、少なくとも年に 2 回は内部コンプライアンス監査を実施することをお勧めします。これらの規制に違反した場合、企業はEUに拠点を置いているかどうかに関係なく、厳しい罰金を科せられることになります。

コンプライアンスコストにより、一部の中小企業は EU 居住者にサービスを提供できなくなる可能性がありますが、そうした企業はそうしないようにする必要があります。他の企業も、プロバイダーだけでなく自社自身も GDPR 規則に準拠していることを確認する必要があります。