{{brizy_dc_image_alt imageSrc=
{{brizy_dc_image_alt imageSrc=

GDPRがクラウドコンピューティングに与える影響

{{brizy_dc_image_alt entityId=

クラウドコンピューティングの利用拡大

今日の世代では、企業や組織がデジタル インフラストラクチャを採用するにつれて、「クラウド コンピューティング」プラットフォームとアプリケーションが成長しています。

クラウド コンピューティングは、通常インターネット経由でアクセスされるリモート サーバー ネットワークを詳細に扱い、ユーザーがデータを保存、管理、処理できるようにします。

現在、クラウド コンピューティングは情報技術分野で現象となっており、ヨーロッパの企業は平均 608 個のクラウド アプリを使用しており、これらのサービスは毎年数十億ドルの収益を生み出しています。

GDPRが登場

しかし、2018年5月25日、欧州連合は、欧州連合加盟国の個人データとプライバシーを保護することを主な特徴とする「一般データ保護規則」を導入しました。

これは、組織が自社のシステムだけでなくクラウド サービス内で個人情報を保護し識別する方法も意味します。

また、組織がデータフローの透明性をどのように確保し、関連する不具合をどのように検出し、個人データの漏洩をどのように報告し、従業員のプライバシーをどのように扱っているかについても扱っています。これは、EU 出身であるかどうかに関係なく、EU 居住者/市民のデータを持つあらゆる企業または組織に適用されます。

GDPRによるクラウドコンピューティングの課題

1: クラウドにおけるデータ保持:

GDPRの規定により、組織は個人データを定められた目的に必要な期間を超えて保存することはできません。そのため、保存期間が経過したデータは、ローカルサーバーとクラウドサーバーの両方から削除する必要があります。

2: データ侵害への対応と調整:

クラウドプロバイダーとの契約には、データ侵害の通知とプロトコルを必ず含める必要があります。両当事者間の契約では、侵害発生時に遅滞なく企業に通知する義務があります。

将来、クラウド プロバイダーが何らかのデータ侵害に遭った場合、その時点でできるだけ早く企業に通知し、企業が自ら、またはクラウド プロバイダーや他のサード パーティ ソリューションの支援を受けて状況を管理できるようにする必要があります。

3: 欧州経済領域外でのデータ処理:

クラウドプロバイダーによってデータが複数の場所、さらには欧州経済領域外に保存されている可能性があります。このような状況では、管理者(企業)は、データを保存したい国をホワイトリストに登録することを決定できます。

4: データの所有権:

クラウド プロバイダーとの契約では、顧客の個人データの所有権はプロバイダーにあることが明記される必要がありますが、データが他の国に保存されている場合は、その責任は組織にあります。

5: メタデータの可視性:

クラウドプロバイダーはさまざまな種類のメタデータを収集するため、組織がクラウドプロバイダーのサービス契約を締結する場合は、メタデータに関する知識も取得する必要があります。

メタデータの保護、所有権、配信のオプトアウトの権利、メタデータの収集など、組織が緊密に連携する必要があるさまざまなバリエーションがあります。

トップクラウドサービスプロバイダーは GDPR にどのように対応しましたか?

Googleクラウド

GDPR が施行される 1 年前、Google は G Suite とその他すべての Google クラウド プラットフォーム全体での GDPR 準拠への取り組みについて発表しました。

Google は常にプライバシーとセキュリティを最優先事項として捉え、クラウド サービスと顧客間の透明性を維持するよう努めています。

同社は、GDPR ガイドラインの要件を満たすためにクラウド サービスに関する新しいアップデートをリリースしました。

データ漏洩のリスクを最小限に抑えるため、Google はサードパーティの監査と認証を通じてサービスをテストしました (認証には、情報セキュリティ管理システム向けに実装された ISO 27001 と、クラウド セキュリティ管理向けの ISO 27017 が含まれます)。

AWS 上の VMware クラウド

Amazon は、GDPR のガイドラインを満たすために Schellman & Company, LLC によって検証された VMware Cloud on AWS により、セキュリティとプライバシーを次のレベルに引き上げました。

VMware では、情報セキュリティ グループ、法務およびコンプライアンス チーム、VMware セキュリティ エンジニアリング コミュニケーション & レスポンス グループ (vSECR)、VMware セキュリティ インシデント レスポンス チーム (vSIRT)、セキュリティ オペレーション センター (SOC) など、社内全体にセキュリティとプライバシーの専門家を配置しています。

これらのチームは協力して、あらゆる種類の脅威を特定するためのポリシー、プログラム、および方法を構築します。

VMware セキュリティ インシデント レスポンス チーム (vSIRT) は、VMware 全体にわたるあらゆる種類のデータ侵害とインシデントのフォレンジックの処理を担当します。

結論

GDPR は EU で施行されて以来、国民にとって重要なデータ保護手段となり、世界中のクラウド プロバイダーにとって新たな課題と潜在的なチャンスの両方をもたらしています。

クラウド プロバイダーの多くは、EU でサービスを提供するために直面​​する可能性のある課題が複数あるため、まだ準備ができていませんが、シナリオに適応すれば、プログラムを簡単に実行できます。

Google や Amazon などの業界の大手企業は、GDPR 規範に準拠し、保護されたサービスを提供できるよう、すでに最善のポリシーを準備しています。

ブログをもっと見る

{{brizy_dc_image_alt entityId=
最適なデータ匿名化ツールに関する概要
{{brizy_dc_image_alt entityId=
仮想化の5つのレベル
{{brizy_dc_image_alt entityId=
PaaS vs. SaaS:両者の詳細な違い