一般データ保護規則(GDPR)は、2018年5月25日に導入されました。その目的は、個人のデータ権利を強化し、データを管理および処理する機関にいくつかの義務を課すことです。 GDPRコンプライアンスには広範囲にわたる範囲があり、世界中の多くの企業に影響を与える可能性があります。
GDPRの範囲には、EU内に居住する個人の個人データを収集、保存、または処理するすべての欧州連合(EU)組織(国籍に関係なく)、および欧州居住者に商品やサービスを提供する非EU組織が含まれます。または、個人を特定できる情報を処理するEU以外の組織。
GDPRに違反している組織が見つかった場合、最高2,000万ユーロ、つまり世界の年間収益の4%の罰金が科せられます。 EUは、GDPRコンプライアンスに違反して組織に罰金を科し始めています。 Googleが罰金(Googleの場合は4,400万ユーロの罰金)に直面し、Amazon、Apple、Netflix、Spotifyもデータ保護の罰金のリスクにさらされています。
欧州連合は、世界中のマネージドサービスプロバイダー(MSP)がGDPR法に準拠するようになることを期待しています。圧倒的多数のMSPは、ヨーロッパのクライアントまたはヨーロッパの顧客の個人情報を処理します。以前はデータ保護ルールに従うのはデータ所有者の責任であったため、MSPは処理されているデータを認識していないことがよくあります。 MSPはデータプロセッサとして分類されるため、エンドクライアントに提供される技術サービスはGDPRの範囲に含まれます。基本的に、GDPRは、MSPが処理されているデータの種類を認識していることを要求します。
たとえば、将来の従業員の求人応募を処理するためにファイルサーバーを使用して、クライアントとそのHR部門にサービスとしてのインフラストラクチャを提供するMSPについて考えてみます。これらには、個人を特定できる情報が含まれています。このデータはMSPのストレージインフラストラクチャでホストされているため、MSPとクライアントはGDPRへの準拠について共通の責任を負っています。
GDPRガイドラインでは、MSPは、不正または違法な処理や偶発的な損失や損傷からの保護を含め、すべての個人データのセキュリティを確保する方法でデータを保護する義務があります。 EU法では、データ管理者とデータ処理者に同等の責任が課せられているため、管理上、物理的、および技術的な保護手段を講じる必要があります。これには、すべての関係者間で責任を共有するモデルが必要です。
GDPRの範囲内のデータの種類は、次のような個人を特定できる情報です。
- 個人の経歴情報 –名前、住所、社会保障番号、生年月日、電話番号、メールアドレスなどのほか、体重、目の色、その他の特徴など、人の外見の詳細
- 財務情報 –給与、税コード、学生ローン情報など
- ウェブデータ – IPアドレス、Cookie保持データなど
- 健康、生体認証、または遺伝学のデータ –病歴、長期の病気情報、健康保険金請求など
- 個人情報 –性的指向、政治的意見、宗教的信念、組合員など。これには、FitbitやGoogleマップトラッカーなどの地理追跡情報も含まれる場合があります。
(出典:https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data)
上記の詳細は、GDPRの範囲内にあるデータ型のほんの一部にすぎません。実際、GDPRに準拠する可能性が高いデータの量は膨大であり、ほとんどすべてのソフトウェア、データ、テキスト、オーディオ、またはビデオコンテンツを含めることができます。このアプローチは、データが正しく処理されるように、マネージドサービス部門内のデータプロセッサとデータハンドラに圧力をかける可能性があります。さらに複雑にするために、データは明示的にオプトインした顧客によって提供される必要があります。 個人データを処理することになります。
データプロバイダーに許可が与えられると、マネージドサービスプロバイダーは、GDPRの第5条に準拠していることを確認する責任があります。この第5条では、個人データは次のようになります。
- 合法的に、公正かつ透過的に処理されます
- 適切な技術的または組織的手段(「完全性および機密性」)を使用して、不正または違法な処理や偶発的な損失、破壊、または損傷に対する保護を含む、個人データの適切なセキュリティを確保する方法で処理されます。
- データは、処理されたら、合意された時間に合法的に破棄する必要があります
(出典:http://www.privacy-regulation.eu/en/article-5-principles-relating-to-processing-of-personal-data-GDPR.html)
データ処理に関する第5条の分類により、MSPは、クラウドソフトウェアを含め、提供するソフトウェアとサービスがGDPRに準拠していることを確認する必要があります。これにより、仮想化ソフトウェア、ハードウェアプロバイダー、ネットワークレイヤーなど、すべてMSPによって準拠していることが確認されたアイテムが対象になります。 MSPがプライベート、パブリック、またはハイブリッドクラウドモデルを活用する場合、GDPRのガイドラインの範囲内で安全なアーキテクトに基づいて構築する必要があります。
MSPにとって、GDPRの範囲内のすべてのデータのバックアップとデータアーカイブに関する正確な記録を保持することが重要です。 MSPは、エンドユーザーデータをすばやく識別し、データの記録(バックアップログなど)を提供し、必要に応じてデータを削除または回復できる必要があります。これはすべて、個人が保持しているデータのコピーを要求するGDPRで認められている権利に関連しています。
GDPRはまた、MSPに所有権を置き、セキュリティポリシーと手順を作成して、スコープ内のすべてのデータを確実に保護します。技術的な安全対策はさまざまですが、通常、保存中および転送中の仮名化とデータ暗号化、厳格なパスワードポリシー、データの継続的な整合性と可用性を保証するデータの保持に関するルールが含まれます。
MSPは、すべての物理的な建物のインフラストラクチャが安全であることを確認し、アクセス制御リスト、監視監視、物理的な資産の保護とデッドロック、さらには24時間年中無休のオンサイトセキュリティ担当者などのポリシーを実施する責任もあります。
クラウドプロバイダーは、データをパブリックまたはプライベートにプッシュおよびプルするときに、アクセスおよびID制御(IAM)、セキュリティで保護されたActive Directoryサービス、データキー管理サービス(KMS)、SAMLデータフェデレーションサービスなどのGDPR準拠のビジネスサービスを提供することが増えています。
>GDPRのもう1つの重要な要素は、データ侵害が発生した場合にデータ処理MSPに課せられる要件です。 MSPは、侵害がいつ発生したかを証明し、アクセスまたは変更された情報を正確に特定できる必要があります。 MSPは、適切なデータ保護当局、さらには侵害の影響を受けた人物にも通知する必要があります。最も重要なことは、情報漏えいは発見から72時間以内に確認する必要があることです。
MSPは、コンプライアンスを確保するための技術ソリューションを実装することがよくあります。トレンドマイクロなどのウイルス対策サービスには、リモートワイプと呼ばれるツールがあります。たとえば、範囲内のデータを含むラップトップが紛失または盗難にあった場合、デバイスをワイプしてデータを保護し、データ侵害のリスクを軽減することができます。 ITシステムへの不正なサードパーティアクセスを監視する脅威分析ソフトウェアやネットワークファイアウォールなどの他のツールも展開できます。サービスの詳細な監視とロギングアクティビティも不可欠です。
結論として、GDPRは依然として世界中の組織に影響を与える非常に新しいEU法であり、新しい法律の下での非常に複雑で発展途上の判決により、多くの組織がGDPRコンプライアンスの獲得に苦労しています。さらに、個人データを表示、編集、および削除する個人の権利は、この複雑さを深めます。ほとんどのMSPは、データ処理プロセスと手順を更新し、データハンドラーとの責任分担モデルに同意する必要があります。最終的に、EUは、GDPRがすべてのグローバル企業のアジェンダの最前線にあることを保証するために、GDPRペナルティをより定期的に施行し始めます。