※ 本記事は、Christy Thomasによる”Verifying GDPR requirements: OCI adheres to the EU Code of Conduct Level 2“を翻訳したものです。
2022年8月9日
個人と組織の両方にとって、データは最も貴重な資産です。データのセキュリティ、整合性、可用性および機密性を確保することが最も重要です。Oracleにとってデータ保護は最優先事項です。お客様のデータ保護に必要なツールをお客様に提供できるように、積極的に措置を講じます。
多くのプライバシ・フレームワークは、データ保護標準を実装することを目指していますが、データを格納、処理および転送するクラウド・テクノロジを急速に採用することで、クラウドのお客様はクラウド共有責任モデル内でデータ保護を考慮する必要があります。ここに、欧州連合プライバシークラウド行動規範(EU CoC)が登場します。欧州データ保護委員会(EDPB)は、EUの「CoCは欧州一般データ保護規則(GDPR)の効果的な適用を促進する」要件を満たすとし、好意的な意見を発表しました。
EU CoCの創設メンバーとして、OracleはOracle Cloud Infrastructure(OCI)EU CoC Level 2の評価の完了を発表しました。Oracleのフレームワークへの準拠は、独立監査人によって検証され、結果がEU CoCパブリック・レジスタに公開されています。つまり、OCIのサービス・スイートは、厳しいEU CoC要件に準拠しています。
欧州連合行動規範とは?
EUのCoCフレームワークおよびGDPRで実現しようとしていることについて、主な内容を確認しましょう。
EUのCoCは、「Code」と呼ばれることが多く、クラウド・サービス・プロバイダがGDPRに準拠する機能を実証できるようにする要件のセットです。GDPRへのコード要件、およびISO/IECなどのその他の国際標準を追跡するロードマップを含む、コードへのコンプライアンスを監視するためのクラウド固有のアプローチおよび推奨事項を提供します。
Codeは、Codeの要件を監査可能な要素(コントロール)およびGDPRおよび国際標準に対応するプロビジョニングにマップするコントロール・カタログによってサポートされています。これらのコントロールは、適切な技術的および組織的なセキュリティ対策が有効であり、データ転送やデータ主体権などのデータ保護の重要な側面を網羅するように設計されています。
EU CoCレベル2のコンプライアンスは、ISO/IEC 27001、27701、27017、27018などの独立した第三者監査および認定に依存し、OCIのCodeの準拠の保証を補います。Oracleのコントロールは、監視機関であるSCOPE Europeによって検証されており、レベル2の要件に準拠していることがわかりました。
SCOPE Europeは、情報経済の核となっているベルギー非営利団体です。ドイツのNPO法人SRIW e.V.(Selbstregulierung Informationswirtschaft, Self-Regulation Information Economy)の子会社として、2017年2月に設立されました。2021年5月、GDPRの第41条に基づき、Codeのモニタリング機関として認定される最初のモニタリング機関となり、EDPBが発行した規制に基づく行動とモニタリング機関のコードに関するガイドラインになりました。
EU CoCは、顧客にとってどのような意味がありますか?
EU CoCについて説明したので、コンプライアンス宣言が何を意味するかについて詳しく説明します。
GDPRの文脈では、Oracleはデータ・プロセッサであり、お客様としてデータ・コントローラを維持しています。しかし、GDPRの第28条では、「コントローラは十分な保証を提供するプロセッサのみを使用する」と述べています。 Good news: コードへのOCIの準拠は「十分な保証」を示すために使用でき、GDPRの第35条においてデータ保護インパクト・アセスメント(DPIA)においてリスク緩和策として機能します。
Codeは、クラウド・サービス・プロバイダのGDPRの下の最初のプライバシ・コードとしてEDPBによって承認されました。Oracle Codeの導入により、クラウド・サービスがGDPRの下で適切なプライバシ保護を提供することを評価するフレームワークが提供されます。
EU Cloud CoC Verification-ID: 2022LVL02SCOPE4214
Oracleのデータ・プライバシへの継続的なコミットメント
Oracleは、お客様のセキュリティ、プライバシおよびコンプライアンスのニーズをサポートする製品およびサービスに引き続き投資します。EU CoCは、GDPRデータ保護要件に対するオラクルのコミットメントを示すもう1つの方法です。プライバシとコンプライアンスに対するOracleのアプローチについてもっとよく知ることを求めているお客様には、次のリソースも用意されています。
-
Oracleプライバシー・ポリシー: 個人情報が様々なOracle事業部門によって収集、使用、共有および処理される方法について学習します。
-
Oracle Cloudコンプライアンス: グローバル・コンプライアンスへのOracleのコミットメントについて学習します。
-
Advisory: Oracle Cloud InfrastructureとGeneral Data Protection Regulation (GDPR): OCIがGDPRの原則に沿って顧客を支援する方法をご紹介します。
クラウドでお客様を成功に導くことに深く取り組んでいます。欧州連合でのOracle Cloudの使用の詳細は、オラクルの代表者に問い合せてください。