Cloudflareは「欧州クラウド行動規範」のプライバシー認証を新たに取得し、GDPRへの準拠を実証することで、クラウドサービスの信頼性を強化しました。
インターネット上のプライバシーに関する法律は世界中で異なっており、近年では国境を越えたデータ転送に関する内容が多く記載されています。多くの規制は、欧州一般データ保護規則(GDPR)のように、個人情報が世界中に流れる前に十分な保護対策を実施することを要求しています。この法律は、組織が個人情報をどのように慎重に取り扱わなければならないかについて、当然のことながら高い基準を定めており、法律家によって規制の起草の際に個人データが国境を越えることが想定されています。同規則の第5章では、こうした国境を越えた個人情報のやり取りについて特に取り上げています。
個人情報の保管場所に関する透明性は重要ですが、個人情報がどのように取り扱われ、どのように安全かつセキュアに保管されるかも非常に重要です。Cloudflareでは、世界中の個人情報のプライバシーを保護することを信条とし、お客様にデータの処理方法と処理場所に関するツールと選択肢を提供しています。簡単に言えば、お客様が世界中にデータを転送することを選択した場合でも、1つの国にデータを残すことを選択した場合でも、同一の安全かつ慎重な方法でデータが取り扱われ、保護される必要があります。
そして本日、評価の過程を正常に完了し、GDPRに準拠し、世界中のクラウドで個人データを保護していることを証明する「欧州クラウド行動規範」のコンプライアンスマークを取得したことを発表します。私たちはこのことを誇りに思います。
個人情報が世界のどこに保存されているかだけでなく、どのように扱われているかが重要です
同じGDPRの法律家らは、組織が一貫性、透明性、安全性のある方法で個人情報を扱い、保護することを望むだろうということも予想していました。第40条で「行動規範」と呼ばれる条文は次の文から始まります:
「加盟国、監督機関、欧州データ保護会議及び欧州委員会は、様々な取扱部門の特性及び中小零細企業の特殊事情を考慮に入れた上で、本規則の適正な適用に貢献することを意図した行動規範の作成を奨励するものとする。」
個人情報保護法の遵守を証明するための行動規範の使い方にも長い歴史があります。GDPRと同様に、1995年に制定されたEUデータ保護指令(正式には指令95/46/EC)にも、既に共同体規範の草案を各国当局に提出し、それらの規範をEU連合が正式に承認するという規定が含まれていました。
公式のGDPR行動規範
2016年にGDPRが採択されてから、最初の行動規範が正式に承認されるまでに丸5年かかりました。そして2021年5月、欧州データ保護理事会(EU各国のデータ保護当局の代表で構成されるグループ)は、「クラウド・サービス・プロバイダのためのEUデータ保護行動規範」、すなわちEUクラウド行動規範(略して「EU Cloud CoC」)をGDPRの最初の公式行動規範として承認しました。EU Cloud CoCは、欧州委員会、クラウドコンピューティングコミュニティのメンバー、欧州のデータ保護当局の意見を取り入れながら、何年にもわたってこの規範の開発に協力した組織であるSCOPE Europeに代わり、ベルギーの監督当局が理事会に提出したものです。
この規範は、クラウドサービスの購入者と提供者のためのフレームワークです。購入者は、クラウドサービスの提供者が個人情報をどのように取り扱うかをわかりやすく理解することができます。クラウドサービスの提供者は、クラウドサービスの購入者に対して、個人情報を安全かつ成文化された方法で取り扱うことを証明するために、独立した評価を受けます。EU Cloud COCの場合、規範に準拠したクラウドサービスを購入する者は、この規範が正式な承認を受けているという事実だけを基に、クラウドプロバイダがGDPRに準拠した方法で顧客の個人情報を取り扱っていることを認識することができます。
規範の内容
この規範は、クラウドサービスの提供者がGDPR第28条(「処理者」)および関連条文を実施するための明確な要件を定義しています。このフレームワークは、データ保護方針、技術的および組織的なセキュリティ対策を範囲に置いています。これには、プロバイダの契約条件、機密保持と記録管理、顧客の監査権、潜在的なデータ漏洩への対処方法、プロバイダの下請け処理の取り組み方法(メインのデータ処理者と共にサードパーティに個人データの処理を委託する場合)、などの節があります。
このフレームワークは個人データが合法的に国際的に転送される方法を範囲に置いており、EU Cloud CoCはこれが法的に準拠した方法で行われることを保証していますが、規範自体は第三国への転送の「保護」またはツールとしての役割を果たすものではありません。将来的な規範の更新では、追加モジュールでその機能を拡張する可能性がありますが、2023年3月現在、開発中となっています。
EU Cloud CoCの要求事項とGDPRへの準拠を示す方法を探る
例1
この規範の要件の1つは、顧客の「データ保護影響評価(DPIA)」を支援するための手順を文書化することです。GDPRではこれについて以下のように示しています:
「…予定された取扱作業の個人データ保護への影響評価を実施しなければならない。」- GDPR第35条第1項
そのため、クラウドサービスプロバイダは、顧客が独自の評価を行う際にサポートするためのプロセスを文書化しておく必要があります。顧客を支援することで、サービスプロバイダは自身がGDPRの厳格なデータ保護基準に取り組んでいることも示すことになります。Cloudflareはこの要件を満たし、個人データの処理に使用する下請け処理業者の詳細を公開し、ダッシュボードで利用可能な監査レポートに顧客を誘導することで、さらなる透明性の向上へと繋げています。
GDPRでは、データ保護影響評価に関連する行動規範についても言及されています:
「…承認された行動規範の遵守は、特にデータ保護影響評価の目的に照らして、…実施される取扱い作業の影響を評価において当然に考慮されなければならない。」- GDPR第35条8項
そのため、影響評価を作成する際、クラウドの利用顧客は、サービスプロバイダが承認された行動規範を遵守していることを考慮しなければなりません。行動規範には、顧客とクラウドプロバイダの双方に対するもう一つのメリットがあります!
例2
この規範のもう一つの要件は、クラウドサービスプロバイダが暗号化機能を提供する場合、それが効果的に実装されていなければならないというものです。この要件はさらに、強力で信頼できる暗号化技術に従い、最先端技術を考慮し、顧客の個人データへの不正アクセスを適切に防止した上で実装する必要があることが明記されています。暗号化は、クラウド上の個人データを保護する上で非常に重要です。暗号化なしでは、脆弱な暗号化を使用したり、旧態化した暗号化を使用している場合、プライバシーとセキュリティは確保することはできません。したがって、暗号化を適切に使用し、見直すことで、クラウドサービスプロバイダは、顧客の個人データの保護に対するGDPRの要件を満たすことができます。
Cloudflareでは、効果的な暗号化を、すべてのお客様に無料で提供できるようにしており、特にその実績・記録に誇りを持っています。お客様の暗号化への理解を支援し、最も重要なこととして、お客様の個人データを保護するために、私たち自身が強力で信頼できる暗号化アルゴリズムと技術を使用しています。私たちは公的機関が利用可能であることが知られているリソースを含め、アクティブおよびパッシブ攻撃に対して効果的な保護を提供するように設計された最先端の暗号化プロトコルを設計・展開する学術研究者や暗号学者らから成る正式な研究チームを抱えています。また、信頼できる公開鍵認証機関とインフラストラクチャを使用しています。直近では今月、ポスト量子暗号は無料であるという私たちの考えを発表し、それに伴い私たちは永久無料で提供しています。
詳細情報
この規範には、コントロールと呼ばれる87のステートメントで記載された要求事項が含まれています。EU Cloud CoCの詳細、規約の全文のダウンロード、最新情報については、https://eucoc.cloud/en/homeをご覧ください。
Cloudflareのお客様に重要である理由
Cloudflareは昨年5月、欧州クラウド行動規範の総会に参加しています。総会のメンバーは、欧州クラウド行動規範に準拠したクラウドサービスを提供することを宣言することなどの評価の過程を実施し、認定監視機関であるSCOPE Europeによる独立した評価プロセスを完了した後、欧州クラウド行動規範のコンプライアンスマークを取得します。
Cloudflareは、47のクラウドサービスについて評価プロセスを完了し、検証を受けています。
欧州クラウド行動規範の対象となるCloudflareサービス:
サービスは欧州クラウド行動規範への適合が確認されています。
Verification-ID: 2023LVL02SCOPE4316。
詳細についてはhttps://eucoc.cloud/en/public-registerでご確認ください。
これで終わりではありません…
欧州クラウド行動規範は、私たちが取得を続けるプライバシー認証のリストに加わる最新のプライバシー検証です。2年前、Cloudflareは、新しいISOプライバシー認証であるISO/IEC 27701:2019を取得した業界で最初の組織の1つであり、最初のインターネットパフォーマンスおよびセキュリティ企業でした。昨年、Cloudflareは、個人データの処理に関する2つ目の国際的なプライバシー規格であるISO/IEC 27018:2019の認証を取得しました。直近では今年1月、Cloudflareは第三者監査人であるSchellmanとの年次ISO監査を完了しました。ISO 27001:2013、ISO 27018:2019、ISO 27701:2019をカバーする新しい証明書は、Cloudflareダッシュボードからダウンロードすることができます。
さらに、1月のデータプライバシーデーにブログで紹介したように、私たちはCBPR(Cross Border Privacy Rules/APEC越境プライバシールールシステム)認証の進展を興味深く見守っています。この提案されている単一のグローバル認証は、参加企業が世界中の参加国間で個人データを安全に移転するのに十分なものであり、すでに北米とアジアのいくつかの政府によって支持されていることから、非常に有望であると感じています。
Cloudflare証明書
既存のお客様は、CloudflareのダッシュボードからCloudflareの証明書とレポートのコピーをダウンロードすることができます。新規のお客様は営業担当者にご依頼いただくこともできます。
当社の認証およびレポートに関する最新情報については、トラストハブをご覧ください。