今年も毎年恒例のInfosec Europe 2013に行って参りました。さて、今年最も注目を集めたトピックは、今年の夏に改訂され締結される予定の欧州データ保護規則であります。

この規則、1995年の欧州データ保護指令を元にしたものですが、指令の場合は各国がその指令に沿って国内法を整備するという仕組みになっています。規則になった場合は欧州全体に規則がおよびます。EU加盟国全体でデータ保護に関する単一の規則が制定されるわけです。

しかしながら、昨年公開されたドラフトは事業者にもセキュリティ専門家にも大不評で、今回のInfosec Europe 2013のクラウドセキュリティやデータ保護規制関連セッションでも「実務に沿っていない」「現実的ではない」という声が上がりました。

Cloud Security AllianceのDaniele Cattedu氏は、「指令のドラフトは実務を無視している。EUに対する大規模インシデントの報告義務が24−48時間以内というのはありえない」と厳しい指摘をしていました。規則を破った場合に」100万ユーロ、もしくは全世界的な年間売り上げの2%を上限とする罰金を課すことができるなどの、厳しい罰則がある上に、事業者の大小に関わらず、懲罰的な内容であるため、これでは事業者の協力が得られないのではないか、というわけです。

ライフログビジネスや、スマートフォン向けアプリの開発運用業務など、欧州の企業だけではなく、海外の企業が欧州の消費者の個人情報を扱うケースが増えており、その中には小規模事業者も少なくないわけですが、今夏の制定までに目が離せない状態が続きそうです。