以下はZDnetの記事の翻訳です。

---

GDPR EUの個人情報保護監督官がAWSとAzureのクラウドサービスの利用状況を調査
データ保護監督官は、米国を拠点とするクラウド大手との契約がGDPRに準拠しているかどうかを調査します。

Daphne Leprince-Ringuet
By Daphne Leprince-Ringuet ｜ 2021年5月28日 — 09:54 GMT (02:54 PDT) ｜ Topic: クラウド

EUのプライバシー監視機関である欧州データ保護監督官（European Data Protection Supervisor：EDPS）は、アマゾンのAWSやマイクロソフトのAzureクラウドサービスを利用する際に、EUのトップ機関や機関が市民の個人データを効果的に保護しているかどうかの調査を開始した。

また、欧州委員会がMicrosoft Office 365を利用している際に、データ保護法に準拠しているかどうかについても調査を行う予定。

EDPSは、昨年夏に発生したSchrems II判決に関連して、AmazonやMicrosoftが拠点を置く米国とEUの間での個人データの移転に新たな障害をもたらしたことから、両照会の開始を発表した。

参照：ITデータセンターのグリーンエネルギー政策（TechRepublic Premium)

この判決でEU司法裁判所は、米国の国内法はEUの一般データ保護規則（GDPR）が定める厳格なデータ保護要件に合致しておらず、追加の保護措置を講じなければ、EU市民の個人データを大西洋を越えて安全に処理することはできないと結論づけた。

例えば、CLOUD（Clarifying Lawful Overseas Use of Data Act）では、米国当局は、データが海外にある場合でも、国内のストレージプロバイダーに対して、サーバーに保存されている情報へのアクセスを要求することが認められている。

したがって、EUに拠点を置く企業がAWSやAzureなどの米国のクラウドプロバイダーを利用すると、顧客や従業員の個人情報を含むデータの一部が、米国当局に盗み見される可能性がある。

このような理由から、EUの司法裁判所は、EUと米国の間で個人データが自由に行き来できるようにするために導入されていた「プライバシーシールド」と呼ばれる仕組みを無効とし、代わりに、企業はデータ移転のたびに標準契約条項（SCC）と呼ばれるプライバシー保護のための新しい契約を導入しなければならないと判断した。

SCCでも不十分な場合には、データ交換が停止されることもある。

EU機関による個人情報の取り扱いを監視する独立機関であるEDPSは、欧州のオフィスや機関と米国のハイテク企業を結ぶ契約の一部にシュレムスIISchrems II が及ぼす影響に注視している。

欧州データ保護監督官のヴォイチェフ・ヴィヴィオロフスキWojciech Wiewiórowskiは、「我々は、特に注意を要する特定の種類の契約を確認し、そのために今回の2つの調査を開始することにした」と述べている。

「我々は、EUI（欧州連合機関）が、EU/EEAの他の組織と同様に、限られた数の大規模なプロバイダーに依存していることを認識しています。今回の調査により、EDPSは、EUIがサービスプロバイダーとの契約交渉を行う際に、データ保護のコンプライアンスを向上させる手助けをすることを目的としています」と述べている。

特に、EUとマイクロソフトやアマゾンとの間で締結された、クラウドサービスの利用に関するいわゆる「Cloud II」契約について調査を行う予定だ。

参照：クラウドコンピューティング。マイクロソフト、欧州の顧客向けに新しいデータストレージオプションを設定

EUIがAzureやAWSを利用すると、事実上、個人情報がEU域外や米国に送信される可能性があり、データ転送を保護するためにGDPRに準拠した適切な措置を講じない限り、当局からの監視を受ける危険性がある。

つまり、EDPSは今後、GDPRに準拠した対策がEU圏内の機関で行われているかどうかをチェックしていくことになる。

Microsoftの広報担当者はZDNetに対し、「当社は、欧州データ保護監督官が提起した質問に答えるためにEUの機関を積極的に支援し、あらゆる懸念に迅速に対応する自信があります。規制当局からの指導に対応することを約束し、顧客のプライバシー保護の強化を継続的に追求していきます」と述べている。また、AWSはコメントに回答していない。

外国のICTプロバイダーのクラウドサービスに依存することで生じるプライバシーの脅威は、EDPSが以前から指摘していた。早くも2018年には、プライバシー監視機関がEU機関向けのガイドラインを発表し、クラウドインフラストラクチャにおける個人データの保護を確保する上でのEUIの責任を強調した。

このメッセージは耳に入らなかったわけではありません。最近、欧州データ保護委員会は、特定のクラウドサービスプロバイダーがGDPRに準拠していることを証明する基準として機能する、新しい「EU Cloud Code of Conduct」の使用を検証しました。Microsoft AzureやGoogle Cloudなどが、この行動規範への準拠を表明しています。

さらに、Schrems IIの判決以降、クラウド事業者は、GDPRの規制をよりよく遵守するために、自社のポリシーの変更を発表するようになった。マイクロソフトとアマゾンの両社は、顧客データへのアクセスを求める政府の要請に対して、可能な限り異議を唱えることを約束した。また、法律で要求された場合、アマゾンは必要最小限の情報を開示することを約束し、マイクロソフトは影響を受けた顧客に金銭的な補償を行うとした。

マイクロソフトはさらに一歩進んで、2022年末までにEU諸国の顧客がデータのほとんどをEU域内で保存・処理できるようにすることを約束し、個人データを米国に送る必要がなくなることを意味している。

ウィウィオロスキーは、両社が改善してきたことを認めつつも、今回発表された措置は、EUのデータ保護法を完全に遵守するためには十分ではない可能性があり、適切な調査が必要であると述べた。

リーズ大学の情報技術法准教授であるSubhajit Basuは、ZDNetに対して「これは法律だけではなく、倫理的な問題でもあります。重要なインフラを一握りの企業だけに頼ることには、多くの社会的・経済的問題があります。もし彼らが規則に従わなければ、お客様のプライバシーは決して守られません。 」と述べた。

しかし、Basuによると、新たな調査には政治的な側面もあるという。EUは、特にデータインフラとクラウドサービスに関して、EUの「デジタル主権」を再び主張することにますます熱心になっている。

最近の調査では、欧州大陸の意思決定者の半数以上が、AWS、Microsoft Azure、IBM Cloud、Google Cloudを利用していることがわかっている。

参照：GDPR。昨年40％増加した制裁金は、さらに大きくなる可能性がある

EUの指導者たちは、EUのデジタルインフラを再びコントロールしようと、データ保護と透明性に関する欧州の原則に準拠したGAIA-Xと呼ばれる国産のクラウド・イニシアチブを開発しようとしているが、このプロジェクトは停滞しており、米国の巨大クラウド企業にはまだ遠く及ばない。

「これは、クラウドサービスの将来を見据えたものであり、EUがクラウドビジネスのパイを確保できるようにするためのものです」「最近では世界中がクラウドを利用しており、クラウド基盤を持つことの重要性を示しています。」とバスは言う。

EDPSは、EU加盟国が米国のクラウドサービスを利用しているかどうかを調査するだけでなく、欧州委員会がMicrosoft Office 365を利用しているかどうかも調査している。これは、EU加盟国の45,000人以上の職員がレドモンドの大手企業の製品やサービスを利用していることを考えると、プライバシー監視団体にとってはもう一つの問題だ。

昨年、EDPSはMicrosoft Office 365の使用に関する最初の提言を発表した。その中では、データがどこに保管されているのか、どのような情報がEU域外に転送されているのか、適切なセーフガードで保護されているのかを正確に把握する必要があるとしている。

Basu氏は、今回の動きは、EU市民のプライバシーをよりよく保護するという第一の目的と、EUのデジタル主権を再確立し、EU市民の個人データを管理するという基本的な目的の両方に合致するものだと考えている。

「驚いたのは、EDPSが調査を開始するのにこれほど時間がかかったことです」「これはEU市民にとっては良いことですが、必要なことであり、もっと以前に行われていてよいいたはずです」とバスは言う。とバスは言います。

出典：https://www.zdnet.com/article/gdpr-eu-privacy-watchdog-probing-the-use-of-aws-and-azure-cloud-services/