EUのGDPRに関して、オンプレミスソリューションへの移行がその要件を満たす最善策だとする人々と、コンプライアンスの実現とホスティングモデルとは別であると主張する人々の間に議論が起きている。
今年5月18日、EUはGDPR(General Data Protection Regulation)を制定した。GDPRでは、EU市民の個人データの保護、管理、抹消に関する厳格なガイドラインが提供されている。このガイドラインは、EU市民のデータを処理するすべての企業に対して、その所在に関係なく適用されるため、世界規模で展開するSaaS企業の大部分に影響を与えることになる。
GDPRの多くの要件の中でも、データの格納と処理を見直す意味で特に注目すべきなのは、データの可搬性とアクセス権に関するものだ。データの可搬性(Data Portability)とは、企業が保有するすべての個人データを、ユーザが受け取る権利を指している。ユーザがアクセス権を持つことによって、企業がどのような目的から個人情報の保持と処理を行なっているのか、どのようなサブサービスを使用しているのかを知ることが可能になる。
GravitationalのCOOであるTaylor Wakefield氏は、GDPRのこの2点について、SaaS企業を特に狙い撃ちしたものと考えている。特にマルチテナントアーキテクチャでは、ユーザデータを識別するために、新たなコストが発生する可能性がある。Wakefield氏の言葉によれば、
各ユーザがどのようなデータを所持しているのかを知っておいて、要求があればそれを電子形式で無償で生成できなければなりません ... 干し草の山にある針を管理するようなものです。データの湖にすべてを投げ込んでおいて、処理方法は後で考えればよかったのは、もはや過去のことです。
InfluxDataでテクニカルプロダクトマーケティング担当ディレクタを務めるChris Churilo氏は、Wakefield氏の見解に賛意を示している。
この実装に関わるコストは重大で、収集されたデータをEU内の、顧客自身のデータセンタあるいはプライベートクラウドの保護下に留めるため、EUの顧客用にオンプレミスバージョンの提供を保証することになるかも知れません。
Churilo氏の言うような“SaaSソリューションのオンプレミス版を構築することは、従来ならば困難で、法外なコストを要する”ものであった。氏とWakefield氏は共に、GDPRがユーザデータに課す新たな制約に対しては、オンプレミスのソリューションが最も費用対効果が高い、という意見である。しかしながら、オンプレミスのソリューションがGDPRによるデータ規則を簡素化する理由についての説明を両氏がなぜ省略しているのか、どちらの記事でも明らかではない。
Wakefield氏の記事に対するコメント投稿者のひとりがこの点を展開して、コントローラとプロセッサの概念を取り上げることで、オンプレミスが必ずしもGDPR制約を満足できないのではないか、と指摘している。GDPRにおけるコントローラとは、データ処理の目的や手段を決定するエンティティである。プロセッサはコントローラに代わって、コントローラの指示に従いながらデータ処理を実行する。
もしあなたがSaaSプロバイダで、自身のソフトウェアをオンプレミスとして販売することも可能ならば、あなたはほぼ間違いなくプロセッサであって、コントローラではありません。SaaSをオンプレミス用に変更するのは、さほど難しいことではないでしょう。もしも私が、自分自身で運用する大規模なSaaS系の製品を購入したコントローラならば、その中にGDPR機能がすでに組み込まれている、と主張するでしょう。サードパーティのSaaSベンダは、SaaSとオンプレミス販売の両方に対応できるように、GDPR機能を作成する必要があります。
ソフトウェアをホストする場所がどこであるにせよ、ユーザデータの処理あるいは保存を行うのであれば、GDPRの要件に対処する必要がある。ソフトウェアプロバイダ側では、ユーザデータを格納あるいは処理するエコシステム内のすべてのサービスを識別できる必要がある。
IBMのシニアソフトウェアエンジニアリングマネージャであるAnn Marie Fred氏が先日述べたように、
これらすべての資料作成には時間がかかりますし、当初は多くの手作業が必要になります。
企業内のすべてのサービスが何であるかを知るためには、相応の作業が必要です。
Enterprise Management Associates (EMA)のアナリストであるJohn L. Myers氏も、Fred氏と同意見である。
さまざまなデータプラットフォームをリストした、顧客やパートナ、あるいはサプライヤのデータの“所在”すべてのインベントリがなければ、自動化の第一歩は難しいでしょう ...
この作業はSaaSであるかオンプレミスであるかに関わらず実行する必要があるので、オンプレミスに移行しても簡単にはならないと思われる。自身のエコシステムに含まれるサービスをすべて特定することが困難で、どこから始めてよいのか分からない場合に対して、Fred氏が最後にアドバイスをしてくれている。
恐れずに、まずは始めることです。すっかり圧倒されてしまって、考えることさえできなくなってしまうよりも、最善を尽くす方が大切なのです。基本的なITセキュリティプロセスが、[GDPRの]かなりの部分をカバーしてくれます。個人情報の開示請求(data subject access request)が殺到すると予想されるので、それに対処する方法を決めておきましょう。
EUに顧客を持つSaaS企業で働いている読者は、自身の企業でどのような取り組みを行なっているのだろうか?下記のコメントで、情報をコミュニティと共有してほしい。
この記事を評価
- 編集者評
- 編集長アクション