3.事業を守れる契約内容を作る
しかし、法律事務所DMH StallardのパートナーAnthony Lee氏は、Banco Sabadellで定めているような厳格なポリシーはほとんど例がないと話す。同氏は、一部の企業ではGDPRの施行までに対応が間に合わない可能性があると述べている。「私の感触では、多くの契約では準備が整わず、規制当局から検査を受ければ問題になるだろう」と同氏は言う。
Lee氏によれば、GDPRはCIOやパートナー企業にこれまでになかった問題をもたらすという。
「罰金が話題になることが多いが、規制当局がデータの処理を禁止できることの方が問題だ」とLee氏は話す。「データを預けているプロバイダーにデータの処理を依存している場合、規制当局がそのプロバイダーのデータ処理を禁止すれば、事実上業務がストップしてしまう可能性もある。それに比べれば、あらゆる意味で、罰金は大した問題ではないかもしれない」
CIOは複雑さのレイヤが1つ増えることにも注意すべきだという。Lee氏によれば、最近のクラウド契約には、多くの場合、元請業者と下請け業者が関わっている。この業者間の相互依存関係は、取引先の重複を多く生んでおり、サードパーティー組織によるデータの取り扱いに関するGDPRの規制が施行されると、この状況が新たな問題をもたらす。
「クラウドプロバイダーは、下請け契約の後ろに隠れることはできなくなるため、目的にあった契約内容を作らなければならない」とLee氏は言う。「大手プロバイダーとの責任の共有についてはすでに明確になっている。しかし、小規模なプロバイダーとのクラウド契約は、まだ十分に成熟していない。CIOにとっては、いくら契約条項を変更できても、データが未成熟なプロバイダーに置かれていれば意味がないかもしれない」
ITリーダーはデータをクラウドに置く際には3つのことを検討すべきだとLee氏は述べている。その3つとは、取引先が情報を処理する権利、プロバイダーのセキュリティ対策や利用している技術、必要に応じてサードパーティーの施設を監査し、データを削除できるかどうかだ。「これらは困難な課題だが、大手クラウドプロバイダーを利用するのであれば、プロバイダーが生き残れるかはそれらのルールに対応できるかどうかにかかっている」と同氏は述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
