グローバル企業による個人データの保存に関するEU市民の懸念は、近年著しく増大しており、すでにオープンなinりに直面しています。 その理由は、通信技術の急速な発展、個人データ漏洩の増加、個人情報の保護に関する漠然としたIT巨人の方針、統一された透明なルールの欠如でした。
活動家からの圧力の下で、欧州司法当局と欧州議会は、同胞の個人データと評判を保護するための一連の法律を可決しました(「一般データ保護規定」-GDPRおよびセンセーショナルな「 忘却権 」)。 しかし、最近の出来事から判断すると、機密情報の保存のための闘争はまだ終わっていません。
EU以外の市民の個人データの保存が禁止される可能性さえありました。 Facebook、Amazon、Googleなどの企業からの個人データの処理に関する既存の合意がEUプライバシーポリシーに反し、その後「情報フローの調整」につながる可能性があるという懸念が表明されました。
マクシミリアンシュレムスvs.サイレントハーバー
2015年10月、欧州司法裁判所は、サイレントハーバーとして知られる個人データの使用に関する大西洋横断協定をキャンセルしました。 これに先立ち 、オーストリアのマクシミリアン・シュレムスによって開始されたいくつかの法廷審問が行われました。
オーストリアの法学修士であるメディア学者シュレムスは学生として、Facebookは米国のユーザーに関するすべての情報を保存し、EUの法律に関係なくそれを使用していると疑い始めました。 ソーシャルネットワークに何度も電話をかけた後、ShremsはFacebookからCD-ROMを受け取り、自分に関するすべての情報がアメリカに保存されました。 最初の閲覧で、彼は削除され、パブリックビューから閉じられたメッセージを見つけました。これらはまだ会社のデータベースにありました。
これらの違反に基づいて、活動家は2011年8月にアイルランドの個人データ裁判所に苦情を申し立てた。 裁判所はソーシャルネットワークに対し、データの機密性に注意を払うよう命じましたが、Zuckerbergの会社はこの決定を無視しました。
それから、マックスは彼の仲間とともに、ヨーロッパ人のデータプライバシーの権利のために戦うことを決めました。 彼は「データ保護の権利の行使のための連合」、「Facebookに対するヨーロッパ」を作成しました(Verein zur Durchsetzung des Grundrechts auf Datenschutz " http://europe-v-facebook.org/ ")。
2013年、シュレムスはダブリンのソーシャルネットワークに対して新しい訴訟を提起しましたが、彼は却下され、その後活動家は欧州司法裁判所(ECC)へのケースの転送を求めます。
2015年10月、ESS は 、アメリカ企業のサーバー上のヨーロッパ人のデータは十分に保護されていないと判断しました。これは、欧州連合の法律に違反します。 ESS司法長官のYves Botは、主にアメリカのintelligence報機関が個人情報を入手できることを批判しました。 上記の事実に基づいて、サイレントハーバー契約を非難することが決定されました 。
この決定を受けて、エドワード・スノーデンはツイッターで次のように書いています。「おめでとう、マックス・シュレムス、あなたは世界をより良く変えた」 英国および米国の多くのメディアは、シュレムスに「スノーデン事件の継続」というタイトルを与えました。
クワイエットハーバーの廃止後、「現代の契約条項」が続き 、その下で数千の多国籍企業が大西洋横断データ転送を行いました。
シュレムズが述べたように、「欧州司法裁判所がモデル契約を有効であると認識できるとは思わない。それ以前は同じアメリカの法律に基づいてクワイエットハーバーを終了する決定を下したからだ。 すべてのデータ保護弁護士は、「モデル契約」が非常に信頼できないことを知っていますが、それは彼らが思いつくことができる最も簡単で迅速なソリューションでした。 米国が法律を大幅に変更するまで、状況を解決する方法はないと思います。」
2015年の終わり以来、EUと米国は、EU-US プライバシーシールドと呼ばれる、Quiet Harborに代わる新しい契約について議論しています。 2016年8月1日に発効したこのプロジェクトには、ユーザーの個人データへのアクセスを制限および制御する米国政府の書面によるコミットメントが含まれています。
また、米国国務長官に直接報告する独立オンブズマンが任命され、アメリカのintelligence報機関の行動に関するヨーロッパ人の苦情を特定し、対処することに留意されたい。
新しいEU個人データストレージ要件
2016年4月、欧州議会は最終的に「一般データ保護条項」であるGDPRを批准しました。GDPRは2018年5月4日に発効します。 欧州連合の企業は、2年以内にビジネスを新しい法律に合わせる必要があります。 専門家によると、大量のデータ、ソーシャルメディア、およびモノのインターネットの全盛期の影響が増大していることを考えると、データ保護の改革は長らく遅れています。
この改革は、規則を統一し、EU市民のための単一で信頼性の高いデータ保護メカニズムを作成することを目的としています。 議員は、法的確実性のレベルを高めることで、デジタルサービス市場の革新が促進されることを望んでいます。
EDPS専門家レポートによると、進行中の議論は通知と同意の概念の誤解により複雑になっています。 データ保護に関する欧州の法律に従い、プライバシーポリシーの承認とは、サービスを使用することに対する損害や拒否なしに「はい」と言うことができる自由な選択を意味します。 また、人が同意するものを明確に理解する必要があります。
多くの研究は、データベースを集約する新しい製品とサービスの成功は、主にユーザーの信頼によるものであることを示しています。 多くの点で、GDPR要件の一部は、個人データを制御するための便利なツールをユーザーに提供することに関連しています。 また、ユーザーは、「忘却権」と、個人データが侵害された場合に通知を受ける機能を提供する必要があります。
新しいルールは、あるサービスプロバイダーから別のサービスプロバイダーに個人データを転送する機能を提供します。 このようにして、新興企業や中小企業は、今日のデジタルジャイアントが支配している市場へのアクセスを獲得し、より優れたPD保護で消費者を引き付けることができます。 これは、政治家が確信しているように、欧州経済の競争力を高めるだろう。
さらに、組織は、ユーザーが理解しやすく、簡単にアクセスできる方法で企業データ保護ポリシーを公開する必要があります。 ウェブサイト上の特別な「アイコン」は、個人データがどのように、誰によって、誰の責任の下で処理されるかを説明します。
このルールでは、個人データ保護ツールを開発の最初から製品とサービスに統合する必要があります(設計によるデータ保護)。これにより、企業は個人の通信を保護するための擬似匿名化、暗号化、プロトコルなどの「機密」技術の開発を促進します。
GDPRの導入に関連して、企業は活動を再編成する必要があるという事実により、コンサルティングサービスの需要が増加しています。
ITコンサルティングのリーダーの1つであるVeritas Technologiesは、GDPRの発効に向けた企業の準備を支援する一連の推奨事項を公開しています。
調査によると 、世界中の組織が保存および処理する情報の52%が「ダークデータ」です。企業が通常の業務の過程で収集、処理、保存するが、他の目的には使用できない情報リソースです-分析、ビジネス関係、または直接収益化のため。 したがって、「一般規定」の新しい規則は、ほとんどの企業が保存する情報の約半分にアクセスできないという事実によって妨げられる可能性があります。
コンサルティングオフィスは、「ダークデータ」の量を減らすためのソリューションをいくつか提供しています。 これを行うために、彼らは非構造化情報をよりよく理解し、情報へのアクセスを制御し、データを自動的に分類するプログラムを開発します。
そして、ロシアはどうですか?
2015年9月1日、ロシアで個人情報のローカライズを必要とする法律242「個人データに関する」の改正が施行されました。 大統領によって署名された文書によると、ロシアと外国企業はロシア人の個人データの記録、蓄積、保存を保証しなければなりません。 データベースはロシア連邦にローカライズする必要があります。 これらの標準への準拠は、 Roskomnadzor によって監視されています。 RAECの調査によると、242-FZが業界の牽引役になります-2018年までに、同国のデータ処理市場は2倍に成長します(263億ルーブル)。
規制法が施行されるまでに、多くの企業がロシアのデータセンターへの個人データの転送を発表しました:Samsung、Lenovo、Aliexpress、Ebay、PayPal、Uber、Booking.com、Obi、Teradata、Avito、Western Unionなど
法律の採用により、データストレージおよびデータ処理のロシア市場に存在する外国企業は、新規顧客の流入を経験しています。 特に、英国のIXcellerateは、ロシアの顧客ベースの大幅な拡大を発表しました。 メディアの報道によると 、Appleのような世界的な巨人はロシアのIXcellerateサーバー施設にローカライズされました。 国内のデータストレージおよび処理市場のもう1つの主要企業であるフランスの最大のモバイルオペレーターであるOrange Bussiness Servicesの子会社であるオレンジオフィスは、第242連邦法が施行される前に、ロシアの法律の革新についてヨーロッパの顧客に体系的に通知しました。 彼らはロシアのサーバーで完全に閉鎖されたオレンジのクラウドソリューションを使用するように招待されました。
欧州の規制当局は、施行の準備と個人データのローカリゼーションに関するロシアの法律の実施にも大きな関心を寄せました。 この会議の大部分は、昨年11月にモスクワで開催された会議「 個人データの保護 」に捧げられたもので、ヨーロッパの多くの認定団体が代表者を派遣しました。 EC当局が根拠とするのは、まさにロシアの規制経験である可能性があります。