大西洋を横断するデータ転送について知っておくべきこと

データはどこにあり、誰がアクセスできますか?サーバーは海外に存在することが多く、地域のデータ権利が国際的な政府の監視活動と衝突するため、この一見単純な質問は、実際、クラウド時代では非常に複雑です。

大西洋を横断するデータ転送

この摩擦は後に大西洋の両側には明白である昨年の裁判所の判決米国本社へのEUからの個人データのFacebookの転送は、直接一般的なデータ保護規則(違反していることGDPRを数千の企業を残し、) -デバイスメーカーからにソフトウェアクリエーター–製品でどのようなデータを使用できるのか疑問に思います。

法廷後の1年間の問題の後、欧州委員会は今月、個人データをEUから第三国に転送するための新しい標準契約条項(SCC)の最終版を公開しました。これがテクノロジー企業にとって何を意味するのか、そしてデータ権利のこの新しい時代に彼らが何ができるのかを詳しく見ていきましょう。

Schrems II:すべてが始まった場所

まず、話の最初に戻りましょう。7月、欧州連合(EU)の司法裁判所は、米国の州および法執行機関による監視に関する懸念により、EU-USデータ保護シールドが無効であるとの判決を下しました。5,000以上の企業が、2つの大陸間でデータを転送するためにフレームワークに依存していたため、これは問題であることが判明しました。この評決は、2013年にFacebookに対する苦情を受けてこの法的な物語を始めた活動家であり弁護士であるマックス・シュレムスにちなんで、後に口語的に「シュレムスII」として知られるようになりました。

この決定はまた、標準的な契約条項(SCC)の有効性を支持しました。これらの条項により、欧州経済領域内から第三国への個人データの合法かつ安全な転送が保証されますが、この判決では、転送されたデータへの政府のアクセスに関する外国の保護がEU基準を満たしているかどうかを判断するために、企業と規制当局がケースバイケースの分析を行う必要がありました。 。

新しいデータルール

SCCの検証にもかかわらず、長引く混乱と不確実性により、個人データを安全に交換するための新しいツールが採用されています。今月、欧州委員会は、SCCのの二つの新しいセット、採用コントローラとプロセッサ間の使用のための1および第三国への個人データの転送のための1つを。これらのツールは、ヨーロッパの企業により法的な予測可能性を提供し、中小企業が法的な障壁なしに国境を越えて自由にデータを移動できるようにしながら、安全なデータ転送のコンプライアンスを確保するのに役立つことを目的としています。

さらに、改訂されたSCCは、モジュラーアプローチを使用することで「複雑な処理チェーンの柔軟性を高める」と欧州委員会は述べ、3 つ以上の当事者が条項に参加して使用する可能性を提供します。

改訂されたSCCは、GDPRの法的枠組みを強調すると同時に、シュレムスIIの余波で長引く不確実性に対処することの間のバランスを提供しようとしています。企業は、前の条項の使用から改訂されたシステムに移行するのに15か月の猶予があります。

大西洋を横断するデータ転送のための多くの実行可能な代替手段がなければ、新しいルールは歓迎すべき展開です。ただし、レガシーSCCの書類を再提出する前に、組織は既存のデータフローと個人データ転送に関与する人々の役割の全体的な評価に焦点を当てることをお勧めします。

この時代のベストプラクティス

考慮すべき新旧の判決、およびデータの権利に対するさまざまな管轄区域とアプローチにより、企業はデータの慣行について長く真剣に考える必要があります。すべての関係者をなだめる1つの方法は、個人の消費者データに強力な暗号化を組み込むことです。たとえば、データを暗号化することにより、組織は、サードパーティがリージョン間で転送される機密情報にアクセスできないようにすることができます。効果的な暗号化キー管理システムと連携して、暗号化はプライベートデータをプライベートに保つのに役立ちます。

判決を遵守する別の方法は、可能な限りクラウドに近づかないことです。たとえば、モノのインターネットに関しては、デバイスベンダーは接続タイプを調整して、エンドユーザーとデバイス間の直接通信を確保できます。このタイプのピアツーピア接続は、クラウドをバイパスしてユーザーとデバイス間のプライベート通信を可能にし、個人の消費者データを保存するリスクを回避します

もちろん、大西洋を横断するデータ転送にクラウドを使用する必要がある場合のベストプラクティスは、ルールに従うことです。新しいSCCは、何が受け入れられ、何が受け入れられないかについての追加の説明を提供し、EUからの個人データの転送を合法化するという要件に対処するために大いに役立ちます。しかし同時に、改訂された条項は、GDPR基準を満たすために個々の企業に責任を負わせ続けています。

SCCの活用を検討している企業は、責任の下で国境を越えた転送を特定し、GDPRへのデータ保護コンプライアンスの受信国のレベルの微妙な分析を実行する必要があります。さらに、いずれかの国がファイブアイズアライアンスの一部である場合(オーストラリア、カナダ、ニュージーランド、英国、および米国)、詳細な分析が必要になる可能性があります。

大西洋の両側にある力を和らげるには、慎重に検討されたデータ戦略が最善の方法です。