/写真トーマス・ロイハルト CC
ヨーロッパの実務における個人データ
国際個人データ保護協会は、法律的な意味で比較的若いです。 前世紀の80年代に形成されたプライバシーの一般規定。 それらは、1948年の世界人権宣言の原則に基づいています。 個人データの処理に関する基本規定は、1981年に欧州評議会条約の形式で公開されました。 ロシアによるこの条約の批准は2005年に行われました。
条約が当初の形で採択されて以来、多くの加盟国はデータ処理に関する現地の規則を厳しくする措置を実施しています。 これは主に、プライバシーに関する新たな課題を生み出した新しいテクノロジーの出現によるものです。 別の理由は、個人データを使用したサイバー詐欺の増加です。 それ以外の場合、このタイプの犯罪は「個人情報の盗難」と呼ばれます。 ビッグデータ時代のずっと前に、偽文書を使用して銀行から麻薬とお金を入手するために使用されていました。
ネットワーク上で送信される個人情報の量の増加に伴い、個人情報の盗難がサイバー犯罪者の主なツールとして人気を集めています。 Javelin Strategy&Researchによると、2016年に個人データを使用したオンライン詐欺による被害の合計は過去最高でした。 前年の150億ドルに対して、160億ドルに達しました。
2013年、英国詐欺防止サービス(CIFAS) は 、個人による情報の違法使用の件数が50%以上増加したと報告しました。 同時に、欧州議会は個人データの保護に関する法律を厳しくしました。 これは、1年前に提案された一般データ保護規則(GDPR)の開発の基礎となりました。
GDPRは、活況を呈しているデジタル経済の文脈で生じています。 データが特定の価値を獲得していることが明らかになりました。 個人情報の流動性の問題については、国家間の物理的な境界が障害でなくなり、ヨーロッパ各国のさまざまな指令が矛盾と困難を生み出しただけです。 2012年、欧州委員会は1995年のEUデータ保護指令の包括的な改革の必要性を認識しました。
技術の進歩とグローバル化により、データの収集、使用、保存の方法が根本的に変わりました。 2014年、欧州議会はGDPRに対して強い支持を示しました。本会議中に賛成621票、反対10票。 2016年1月28日に、欧州評議会47か国と欧州の機関、機関、部門が第10回欧州データ保護デーを祝い、4か月後にようやく規制を承認しました。 2018年5月25日に発効します。
欧州の議員は、すべてのEU加盟国に適用される統一された法的枠組みの作成を目指しています。 GDPRの目的は、収集および処理されるデータを最小限に抑え、システム設計の機密性の原則を尊重することです。 この規制の目的は、法的確実性を高め、管理業務の負担を軽減し、データを運用する組織のルールを順守するコストを削減することです。 実際には、この規制は、EU諸国の国民の個人データを扱うすべての企業のビジネス環境を強化しています。
質問の基本概念である「識別情報」の文言が修正されました。 GDPRによれば、人が何らかの方法で理論的に確立できる場合、データは個人的なものです。 つまり、今後、データを保存および処理するヨーロッパの企業は、行動を注意深く監視する必要があります。フルネームなどの明らかな情報だけでなく、個人を特定することも可能です。
/写真Blue Coat Photos CC
GDPRは、違反者に対する制裁も強化しています。 ペナルティは、会社の年間売上高の最大4%または2,000万ユーロに達する可能性があります。
GDPRに従って、個人データ処理者は、文書の維持、適切なセキュリティ基準の適用、データ保護担当者の任命、国際データ転送規則の順守、および国家監督当局との協力を含む、いくつかの特定の義務を遵守する必要があります。 ハンドラーは、これらの規則を実施する責任を直接負います。 ESETウイルス対策ソフトウェア開発者は、新しい要件によりデータ処理サービスのコストが増加する可能性が高いと結論付けています。
GDPRには、他の面倒な側面があります:規制当局の代表者(国家データ保護庁)に72時間以内に脆弱性を通知する必要性、データを暗号化して分布をゾーニングする必要性、個人の忘れる権利の尊重、およびデータを要求する権利。
すべての変更に備えるために、欧州市民の個人データを扱う企業および政府機関には、1年未満の残りがあります。 ドイツの調査会社Bitkom Research は 、2017年6月現在、200のIT企業の20%が規制の要件の実装の準備をまだ開始しておらず、3つの企業のうち1つだけが最初の準備措置を開始していることを発見しました。
一方、大企業はすでに戦略的な行動を取っています。 クラウドコンピューティングリーダーの連合が形成され、数百万のヨーロッパの顧客にサービスを提供しています。 CISPE (ヨーロッパのクラウドインフラストラクチャサービスプロバイダー)と呼ばれます。 IBM、Alibaba Cloud、Amazon Web Services、Microsoft Cloudなどの企業が連合に参加しました。 一緒になって、ITインフラストラクチャをクラウドに急いで移行する企業の流れに出会います。
すべてのGDPR要件に対する自己準備には非常に費用がかかります。 情報会社Veritas Technologiesの調査によると、企業は平均で140万ドル以上のコストを予測していますが、コストの増加と関連する移行は主にデータ処理に関連しています。 現在、活動に個人データの収集が含まれる企業では、信頼できるクラウドプロバイダーを見つけ、クラウドホスティングプロバイダーが必要なレベルのセキュリティを提供し、インシデントログを保持し、他のGDPR要件に準拠できることを確認することが重要です。
ロシアの個人データ
ロシアでは、企業のITインフラストラクチャも現在クラウドに移行しています。 欧州諸国と同様に、立法プロセス、より具体的にはFZ-152「個人データの保護」が原動力です。 法律は、国内のロシア人のデータの保存と処理を規定しています。 法律の新しい要件は、ロシアに登録されたすべての企業、ロシアに駐在員事務所と支店を持つ外国企業、ロシアに関連する活動を行う他の外国企業に従い、ロシア国民の個人データに適用されます。
ロシア語の解釈では、個人情報とは、名前と会社名、銀行カード番号、携帯電話番号を含むメールアドレスなど、個人を特定できる情報です。 個人データに関する法律が施行されて以来、最も注目を集めた先例は、2016年にロシアでリソースブロックが発生したアメリカのソーシャルネットワークLinkedInに対する訴訟でした。
/写真ウィキメディアコモンズ CC
欧州経済圏外へのEU市民の個人データの転送に対するGDPRの態度に関しては、これは可能ですが、委員会の決定に基づいています。 法の支配、人権と基本的自由の保護、政府機関から転送されたデータへのアクセス、その他の法的側面などの要因が考慮されます。
21 EU諸国には現在、企業に特定のタイプの(主に個人的な)データをローカルレベルで保存することを義務付ける法律があります。 メインのCISPEコードは本質的にヨーロッパ内のヨーロッパのデータを保存することを目的としていますが、ヨーロッパのIT企業のクラウドへの流出は依然としてデータプロセッサの要件と関連しています。 ロシアでは、同じ傾向が国内の個人データの処理に起因しています。 同時に、海外で処理することもできますが、国内で保管および収集する必要があります。 この要件を満たす責任は、データオペレーターにあります。
法的要件に準拠するために、ロシアのユーザーのデータを使用して、物理インフラストラクチャを仮想ストレージに置き換えることを目的としたロシアのユーザーのデータ。 専門家が指摘したように、2016年現在、ロシアの「クラウド」市場は2年間で数回成長し、880億ルーブルに達しました。
専門家は、外国企業向けにロシアのユーザーの個人データを使用した作業を実装するためのいくつかのオプションを提供しています。 最初の方法は、データベースをロシアの物理サーバーまたは仮想サーバーに転送することです。 別の方法では、ロシア国外にあるデータベースに情報を最初に入力します。 同時に、ロシア連邦の領土でデータベースのコピーを使用できるようにし、サーバー間のリアルタイム同期を構成します。 法律の要件は、ロシアのサーバーにデータを最初に収集して保存することで満たされ、海外の本社と同期する可能性があります。
別のオプションは、個人データホスティングサービスです。 このサービスは、 IT-GRADクラウドソリューションプロバイダーによっても提供されます。 このソリューションは、情報ストレージを保護し、法律で規定されている追加要件への準拠を保護する一般的な手段を提供します。 サプライヤーは、すべての付属定款への準拠を保証し、連邦法の規定と一致する認定機器を提供します。
同時に、「PDNホスティング」サービスは、外国企業だけでなく、オンラインストアまたはマーケティングリサーチシステムをプロバイダーのクラウドでホストする小規模企業から始まり、個人を処理および保管する大企業で終わるロシア企業のさまざまな代表者にとっても有用です。データは法的要件に準拠するだけでなく、適切なレベルの信頼性も確保する必要があります。
クラウドホスティング企業には多くの利点があります。 これは、ハードウェアメーカー(NetApp、Cisco、IBMなど)の認定機器を使用した安全なホスティングであり、暗号化ソフトウェアとハードウェアの使用も同様です。 同時に、152-の要件に従ってインフラストラクチャを導入する手順が簡素化され、法的リスクが減少します。
PS最初の企業IaaSブログのトピックに関するいくつかの資料: