GDPR(「一般データ保護規則」)施行に向けての準備について

新たに施行されるEUの革新的なデータプライバシーのルールを順守するにあたって、その必要な準備についてのご案内です。

GDPRについてよくご存知の方にとっても、ニュースに頻繁に現れる奇妙な文字ということだけをご存知の方にとっても、とても重要なことなのです。

GDPRとは、EU(欧州連合)の「一般データ保護規則(General Data Protection Regulation」を意味し、EU市民に関連する商品やサービスを提供するビジネス、またはEU市民の個人情報を何らかの方法で取り扱うすべてのビジネスに影響を与えることになります。デジタル時代においては、GDPRは世界中の企業に網羅的に影響を与えるかもしれません。新たな規則は、すでによく知られたプライバシー指針を基礎としていますが、英国情報コミッショナーのElizabeth Denham氏は、「間違いなく、これは誰にとっても大変革をもたらすものだ。」と警鐘を鳴らしています。

この法律は、EUを基盤とするデータ保護関連法の寄せ集めを統合すると同時に、既存の法律および規則の時として形式的で不規則な義務を、実質的で不順守に対するより厳しいペナルティーを伴うものに差し替えることを目的としています。GDPRに違反した企業には、2000万ドルまたは年間グローバル収入の4%を上限とする罰金が科せられることがあります。データプライバシーに関するこの新たな規制は実効的な執行力を持ち、企業は複雑で費用のかかるコンプライアンスを求められます。

GDPRはEU議会を2016年4月に通過し、今年の5月末日に施行されます。どの企業もその影響を把握する真っ最中です。エクイニクスでは、これに関して多くの質問があることを理解しているので、エクイニクスがどのように自社のGDPR順守に取り組んでいるのか、またGDPR施行時にどのようにしてお客様やビジネスパートナーをサポートできるかという観点で回答を準備しています。

 

GDPRがなぜ今浮上したかについて

データプライバシーとデータ保護に関する規則は古くからヨーロッパにありますが、法律の執行には一貫性がなく、国によって異なる傾向にあり、国内外で活動し、それぞれの体制を構築しようとする企業に煩雑さをもたらしました。EU内で標準的なデータプライバシーの体制を作る動きは、GDPRの背後にある政策目標の中の一つなのです。この動きは、アメリカ国家安全保障局による、EUの個人とグループのデータ・マイニングを含むスパイ行為の発覚後、EU内で個人のデータプライバシー保護に関する懸念が増加したことと無関係ではありません。この出来事によって、世界中のEU市民をより統一的に強く保護することの重要性が増したのです。

 

GDPRの中心となる信条について

GDPRの中心となる原則は、人々が自分の個人データに何が起きているのかを知り、そして管理する権利を有するということです。人々はまた、個人データは注意深く取り扱われ、可能な限り高い水準で保護されるという安心を得ることができなければなりません。そして、仮に個人データが第三者に開示される場合は、本人がそれを知り、誰がデータを取り扱い、何を開示し、どのように開示され、どのように第三者に使用されるのかということに影響を与えることができるようになっていなければなりません。これらは新しい原則ではありません。GDPRは現在のアプローチを厳格化するものであり、これらの原則が確実に順守され、不順守されにくくすることを目的として、データセキュリティーのパラメーターに関するさらなる透明性と説明責任を要求しているのです。

 

企業がGDPRを具体化するにあたっての主な課題について

クラウド・コンピューターの時代においては、データは即時にどこにでも移動することができます。重要な問題は、ある人が自分の個人データに絶えず何が起きているかを、いついかなる時も知ることが現実的に可能かどうかということです。これは特に、クラウドサービスを採用する業界トレンドにおいては、企業に対して特に厳しい要求となります。しかしながら、企業はこの要求に対応できる方法を見出さなければならないのです。クラウドサービスのプロバイダーは、この厳しい問いかけに幾通りかの方法で答えているのです。そして最先端のデータセンターと世界中に拠点を持つエクイニクスは、クラウドサービスプロバイダーが開発し、企業に提供するソリューションの中でその役割を担っているのです。

 

企業はGDPRの順守にどのように取り組むかについて

GDPRに定められた原則は、かなり概括的に規定されています。これを、コンプライアンスはめったに白黒つけられないという事実と併せて考えると、企業にとっては、GDPRの必要とする要件が企業にとってもつ意味を理解し、そのリスク評価と分析を実施しなければならないということを意味しています。例えば、多くの個人データを取り扱わないある会社は、いつも大きな獲物を追っている当局から万が一ターゲットにされた場合に備えて既存のポリシーを「シルバー」レベルに引き上げるかもしれません。しかし、同じような他の会社は、当局と衝突した場合の風評と経済的リスクはその会社のブランドにとって重大すぎるという理由で「Gold」に引き上げるかもしれません。これらすべてのケースにおいて、企業のサプライチェーンは重要であり、ITインフラストラクチャの一部であるクラウドベースのアプリケーションに依拠している場合と、あるいは給与計算、カスタマー・ケアやサービスの外注などの昔ながらのベンダーとの関係に依拠している場合とを問わず、リスク評価の一部であるべきなのです。

 

GDPRを順守するために動き出している企業に対してエクイニクスができることについて

近日、エクイニクスが社内に創設したプライバシー・オフィスは、社内のデータプライバシーに

関する事象を包括的に、かつ一貫性をもってコーディネートすることを支援し、およびGDPRの順守に取り組んでいるお客様を支援します。エクイニクスの中核となる強みは、企業がこの新たなコンプライアンス対策の主要部分を推し進める際に、非常に具体的に支援できる立場にあることです:

 

  • 業界トップのセキュリティ-がデータを安全に保管:物理的セキュリティーは、データセキュリティーの不可欠な部分であり、お客様のデータ(個人情報を含む)を含むサーバーは、データが可能な限り最高水準で保護されるようGDPRに沿って安全性を確保します。エクイニクスは物理的セキュリティーに優れており、同様の堅牢なアプローチを物理的セキュリティーのパラメーターにも適用しています。これは Equinix Cloud Exchange Fabric のようなサービスに使われるのと同じもので、エクイニクスのインフラに構築されているのです。

 

  • 近接データがお客様のデータを近いところに保存:GDPRそのものは、個人データをそのユーザーの近くにとどめるよう義務づけておらず、また個人データの転送を禁じるものでもないということを明確にしておくことは重要です。しかしながら、個人データを近くの「その地域に」保管する原則は、間違いなくデータプライバシーに親和的な考え方であり、またEU市民のデータを取り扱う企業の、GDPRコンプライアンスの負荷を減らすものなのです。 お客様とエンドユーザーは、どこに自分たちのデータがあるのかを知り、管理できることの保証を求めるので、データが近距離にあるならば、それはしごく容易なことです。エクイニクスのグローバル相互接続プラットフォームは、EMEAの13か国、65データセンターを含むため、エクイニクスが第三者パートナーとともに提供する Data Hub のようなサービスは、企業とその取り扱う個人データをほぼ世界中のエンドユーザーの近くに置くことができるのです。あなたのコンプライアンス計画を順調に進めるための助言:エクイニクス・グローバル・ソリューション・アーキテクト(略称GSA)はGDPRの一部始終を理解しています。GSAは今後お客様に、ITインフラをどのようにデザインしてGDPRを先取りするか、GDPRの施行後に、その要件を効率よく充足するにはどうすればよいかを、データの所在と配信オプションを含めて助言することができます。

 

詳しくは、物理的なセキュリティに関するビデオをご覧ください。

IBXデータセンターの環境 – 物理的セキュリティ.

Print Friendly


Related Content

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です