EUクラウド行動規範

この記事の主要な寄稿者は、その主題と密接な関係があるようです。Wikipediaのコンテンツポリシー、特に中立的な視点に準拠するために、クリーンアップが必要になる可能性があります。詳しくはトークページで議論してください。 記事があなたに関するものである場合は、当社のアドバイスをご覧ください。また、誰かがこの記事を編集するためにお金を要求した場合に備えて、当社の詐欺警告をお読みください。（2021年8月）（このメッセージを削除する方法とタイミングについて学ぶ）

EUクラウド行動規範（略称「EUクラウドCoC」、拡張タイトル「クラウドサービスプロバイダー向けEUデータ保護行動規範」としても知られる）は、欧州一般データ保護規則（GDPR ）第40条に基づく国際的な行動規範である。^{[ 1 ]}

この規範は、クラウドサービスプロバイダー（CSP）がGDPR第28条^{[ 2 ]}およびその関連条項を実施するための明確な要件を定義しており、あらゆる種類の個人データの処理活動をカバーしています。^{[ 3 ]}

このコードは、すべてのクラウドサービス層（ IaaS、PaaS、SaaSを含むがこれらに限定されない）を網羅し、^{[ 4 ]}、クラウドサービスプロバイダーが、GDPR第41条の要件に従って認定監視機関によって監督されるプロセッサーとしての役割においてGDPRへの準拠を証明することを可能にします。^{[ 5 ] [ 6 ]}

この行動規範の作業は、欧州委員会の元副委員長であるニーリー・クローズが欧州クラウド戦略を発表した2012年に始まりました。^{[ 7 ] [ 8 ]}その文脈で、データ保護指令に基づくクラウド行動規範を起草する任務を負った専用のワーキンググループが設立されました。

このような規範を起草する主な目的の一つは、欧州連合全体でのクラウドコンピューティングの信頼を高め、その採用を促進することであった。^{[ 9 ]}作業部会によって作成された最初の草案は、2015年1月に最初の評価に提出され、その後、第29条作業部会によって評価が行われた。^{[ 10 ]}

GDPRの導入に伴い、コードもそれに応じて適応させる必要があり、2017年までに^{[ 11 ]}欧州委員会はプロジェクトを業界に完全に引き渡しました。^{[ 12 ]}

さらに2017年には、そのワーキンググループから選ばれた6社（アリババクラウド、ファバソフト、IBM、オラクル、セールスフォース、SAP）がEUクラウドCoC総会を設立し、SCOPEヨーロッパをその監視機関および事務局に任命しました。^{[ 13 ] [ 14 ]}

監督当局との数回のやり取りと関連する改訂を経て、^{[ 15 ]} EUクラウドCoCの最終版は2019年にベルギーのデータ保護当局に承認のために提出されました。^{[ 15 ]}このイニシアチブのウェブサイトで公開されているコードバージョンのタイムスタンプによると、^{[ 15 ]}コードは提出後、2021年5月に承認されるまでさらに進化しました。このような行動規範の継続的な開発は、欧州データ保護委員会の規則2016/679に基づく行動規範と監視機関に関するガイドライン1/2019に従って期待されています。^{[ 16 ]}

この規範は、欧州データ保護委員会の肯定的な意見を受けて、2021年5月20日付けでベルギーデータ保護局によって承認されました^{[ 17 ] 。 [ 18 ] [ 19 ] [ 20 ]}

EUクラウドCoCは、CSPがGDPR第28条およびその関連条項の範囲内でコンプライアンスを証明・実証することを可能にしています。したがって、EUクラウドCoCは、あらゆる種類の個人データを処理する際のCSPのデータ保護義務を網羅しており、その要件はすべてのクラウドサービス（IaaS、PaaS、SaaSを含むがこれらに限定されない）に適用されます。^{[ 21 ] [ 22 ]}

この規範の中核構造は、適用範囲、データ保護、セキュリティ要件、監視とコンプライアンス、内部ガバナンスの5つのセクションから構成されています。^{[ 23 ] [ 24 ]}

本規範には、本文に加えて、統制カタログが付属しています。これは、本規範の要件を監査可能な要素（「統制」）および関連するすべてのGDPR条項にマッピングするように設計されています。さらに、統制カタログは、関連する国際規格（ ISO 27001、ISO 27017、SOC 2、BSI C5など）へのマッピングも提供しています。 ^{[ 25 ]}

EUクラウドCoCの組織構造は、内部ガバナンスセクションで規定されており、このセクションでは、規範の管理に適用される規則と手順が規定されています。このセクションでは、規範自体の組織的枠組み、および総会、^{[ 26 ]}運営委員会、事務局^{[ 23 ]といった組織の枠組みが規定されています。 [ 24 ]}

GDPRでは、その規定が適切に実施されていることを保証するために 独立した監視機関^{[ 27 ]の設置を義務付けている。}

2021年5月、SCOPE Europeはベルギーのデータ保護局からEUクラウドCoCの専用監視機関として正式に認定されました。^{[ 28 ]}

GDPRによれば、監視機関は継続的なデューデリジェンスを実施する責任を負います。EUクラウドCoCでは、コード遵守のための初期評価に加え、CSPは毎年再評価を受けます。

追加の評価は、正当な苦情、メディア報道、新しい法律、出版物、データ保護当局からのガイドライン、および規範の遵守に潜在的に影響を及ぼす可能性のあるその他の関連する展開によっても開始される可能性があります。

CSPは、EUクラウドCoCへの準拠を宣言すると、3つのコンプライアンスレベル^{[ 29 ]}を選択できます。これらのレベルは、監視機関による審査の対象となる証拠の種類にのみ関連しています。ただし、各レベルにおいて、すべてのコード要件への準拠が求められます。

コードに定められたアプローチと原則に同意する限り、あらゆるCSPがコードへの参加資格を得ることができます。EUクラウドCoCは、主に2つのメンバーシップオプションを提供しています。1つはCSP専用、もう1つはCSP以外の組織でサポーターとしてイニシアチブへの参加を希望するすべての組織を対象としています。

CSPメンバーシップの範囲内では、中小企業（SME）のアクセスを可能にするために、さまざまな企業規模のニーズを考慮したカスタマイズされた価格設定スキーム^{[ 30 ]}が実施されています。

現在、EUクラウドCoC総会は、欧州のクラウド産業市場の大きなシェアを占めており、2021年8月現在、その会員には、Alibaba Cloud、^{[ 31 ] [ 32 ] [ 33 ]} Alight、Arcules、^{[ 34 ] [ 35 ]} Cisco、^{[ 36 ]} Dropbox、^{[ 37 ]} Epignosis、^{[ 38 ]} Fabasoft、^{[ 39 ]} Google Cloud、^{[ 40 ]} IBM、^{[ 41 ] [ 42 ]} K&L Gates、^{[ 43 ]} Microsoft、^{[ 44 ] [ 45 ]} Okta、Oracle、^{[ 46 ]} Qompium（Extra Horizo​​n）、^{[ 47 ]} Salesforce、^{[ 48} ] SAP、^{[ 49 ]} Schellman、^{[ 50 ]} SecureAppbox、^{[ 51 ]} Timelex 、[ ^{52 ]} TrustArc ^{[ 52 ] [ 53 ]}およびWorkday ^{[ 54 ]}​

CJEUのSchrems II判決を受けて^{[ 55 ]}、EUクラウドCoC総会は、コードのオントップモジュールの形式で、第三国への移転のための効果的かつアクセス可能なセーフガードに取り組み始めました。^{[ 56 ] [ 57 ]}

いわゆる第三国移転モジュールは、GDPR第V章に概説されている第三国移転の法的要件をカバーするものであり、オントップモジュールは独立したイニシアチブではないため、EUクラウドCoCへの事前の準拠が前提条件となることを意味するものではありません。^{[ 58 ]}

• EUクラウドCoCのウェブサイト
• 公開レポートを含む、準拠クラウド サービスのリスト
• EUクラウドCoCの監視機関