イメージ

Topics

worldwide offices

このページのコンテンツには、Adobe Flash Player の最新バージョンが必要です。

Adobe Flash Player を取得

Home > Topics > Newsletter > Tokyo Litigation Client Bulletin

  • 最新情報
  • プレスリリース
  • 受賞・評価
  • ニュースレター
  • イベント
  • 著作

2011. 02.22

クラウド(ネットワーク)におけるプライバシー: 個人情報をクラウドに移すための法的枠組

  東京 Tokyo
ダニエル P.レヴィソン +81 3 3214 6522
ジェイ・ポナゼッキ +81 3 3214 6522
宗 敏啓 +81 3 3214 6522
寺澤 幸裕 +81 3 3214 6522
北京 Beijing
ポール D.マッケンジー (86 10) 5909 3366
ジンシャオ・ファング (86 10) 5909 3382
ブリュッセル Brussels
カリン・レッツァ +32 2 340 7364
ジョアン・ロパトースカ +32 2 340 7365
アントニオ・
シーブラ・フェレーラ +32 2 340 7367
香港 Hong Kong
ゴードン A. ミルナー (852) 2585 0808
ニゲル C.H. スタンプ (852) 2585 0888
ロサンゼルス Los Angeles
マーク T. ギレット +1 (213) 892-5289
マイケル C. コヘン +1 (213) 892-5404
ディビット F. マクドーウェル +1 (213) 892-5383
ラッセル G. ウェイス +1 (213) 892-5640
ロンドン London
アン・べビット +44 20 7920 4041
アントニー・ナグル +44 20 7920 4029
クリス・クルター +44 20 7920 4012
スザン・ホーン +44 20 7920 4014
ニューヨーク New York
ジョアン P. ウァリングトン +1 (212) 506-7307
ジョン F. デラニー +1 (212) 468-8040
マドハヴィ T.バッリボイ +1 (212) 336-5181
スーナ・ピアス +1 (212) 336-4150
マリアン・A. ワルドマン +1 (212) 336-4230
ミリアム・ウグメイスター +1 (212) 506-7213
シャーマン W. カーン +1 (212) 468-8023
ノース・バージニア Northern Virginia
ダニエル P. ウェストマン +1 (703) 760-7795
ティモシー G. ヴェラ-ル +1 (703) 760-7306
パロアルト Palo Alto
ブライアン・ウィルソン +1 (650) 813-5603
クリスティン E. リオン +1 (650) 813-5770
サンフランシスコ San Francisco
ローランド E. ブランデル +1 (415) 268-7093
ジェームズ・マクグアイア +1 (415) 268-7013
ウィリアム L. スターン +1 (415) 268-7637
ジム・マッカベ +1 (415) 268-7011
ワシントン D.C. Washington, D.C.
アンドリュー M.スミス +1 (202) 887-1558
シンシア J. リッチ +1 (202) 778-1652
ジュリー・オニール +1 (202) 887-8764
ネイサン・デイビット・テイラー +1 (202) 778-1644
オブレア O. ポインデクスター +1 (202) 887-8741
リード・フリーマン +1 (202) 887-6948
リチャード・フィッシャー +1 (202) 887-1566
キンバリー・
ストローブリッジ・ロビンソン +1 (202) 887-1508

PDF版は こちら
Please click here for English version.

(参考訳)

(著者) クリスティン・リオン/カリン・レッツァ

多くの会社にとって、クラウドコンピューティングに関する主たる問題は、もはや情報を「クラウド」に移すか否かではなく、その移転をどのように実現させるかにある。クラウド(あるいはインターネットを使ったオン・デマンド)コンピューティングは、会社独自のローカル接続のコンピューティング資源に頼ることから離れて、共有サーバーやデータセンターへの依存度を高めている。クラウドコンピューティングサービスのよく知られている例としては、Google Apps、Salesforce.com及びAmazon Web Servicesが挙げられる。原則として、会社は第三者プロバイダーを用いることなく、社内「プライベートクラウド」を維持することもできるが、多くの会社は第三者プロバイダーを用いることを選択するため、本稿はそのようなクラウドコンピューティング・モデルに焦点を絞ることとする。

クラウドコンピューティングのサービスは、ITインフラ(サーバー、ストレージ及び帯域幅)の提供からソフトウェアも使用可能な完成されたソリューションの提供までと多岐にわたる。クラウドコンピューティングは、コスト、効率及び情報へのアクセスに関し大きな利点がある。クラウドコンピューティングの処理能力は、柔軟でコスト効率の高い情報通信システムを会社に提供する。もっとも、同時に、クラウドコンピューティングは、データの所在、移転及び取扱いに関する会社の直接的な支配を縮小させる傾向にある。

クラウドを特徴づける柔軟性及びデータの流通性は、クラウド内のデータ保護に関して困難な課題を提起する可能性がある。会社の法的義務及びリスクは、クラウドに移されるデータの性質(当該データが個人情報、企業秘密、顧客情報その他の競争上の機密情報に関連するか否か)によって異なってくる。本稿では、個人情報をクラウドに移転する場合に特に法的に留意すべき事項について述べる。また、それぞれの会社の法的及びビジネスニーズに合致する対応策に至るための役立つ判断枠組を提供する。

クラウドに移す個人情報の分類を決定すること

原則として、個人情報とは、特定の個人を特定できる又は特定の個人と関連付けられる情報をいう。個人情報の種類によっては、他の個人情報よりも大きな法的及びビジネス上のリスクをもたらすものがある。例えば、健康情報を含むデータベースは、取引先の名称や連絡先情報を含むデータベースよりも大きなリスクを伴う。また、多くの国の金融規制当局は、金融情報に対しては特定のセキュリティー基準を設けている。したがって、取引先情報に関しては十分なクラウドコンピューティング・サービスであっても、健康、金融その他の機密情報を保護するために法的に要求される基準に満たないものもありうる。

会社としては、最も機密性の高い個人情報をクラウドに移す場合に十分な保護を確保できる方策を立てる必要がある。場合によっては、一定の種類の個人情報は社内で保持し、より機密性の低い情報のみにコスト効率の高いクラウドコンピューティング・サービスを利用することを選択することもありうる。

個人情報の外部委託に適用される法規範を確認すること

クラウドコンピューティングは、その性質上、プライバシー法、データ保護及び漏洩通知法、国境を越えた個人情報の移転を規制する法など、様々な法規範が適用されうる。

プライバシー法

米国で活動している会社の場合、米金融制度改革法(Gramm-Leach-Bliley Act (GLBA))又は米医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act (HIPAA))などの各分野固有のプライバシー法規制の適用の有無を検討しなければならない。これらの法は、プライバシー及びデータ保護に関し詳細な義務を課しており、さらに特別なクラウドの利用が要求される可能性がある。

ヨーロッパに所在する若しくは設備を有するプロバイダーと取引のある会社だけでなく、ヨーロッパを拠点とする会社は、取引上の連絡先などの基本的な情報を含む全ての個人情報を保護する、各地域の包括的情報保護法のもとで要求される広範な義務を考慮に入れなければならない。これらの義務には、従業員、顧客その他の個人に対し、情報の外部委託及び処理について通知する義務、従業員の情報を外部委託する前に労使協議会に相談する義務、並びに、現地の情報保護当局に登録する義務などが含まれうる。同様の義務は、他のヨーロッパ、アジア、中東の国々及びアメリカを含む他の多くの国でも見られる。

データ保護義務

会社がこれらのプライバシー法の適用を受けないとしても、データ保護及び漏洩通知法が対象とする個人情報を保護したいと考えるであろう。米国では、これらの法は、社会保障番号、運転免許証番号、クレジット若しくはデビットカード又は金融口座番号などの個人情報に焦点を合わせている。米国においては(全ての州ではないが)多くの州で、暗号化された情報について漏洩通知法の例外を設けているので、重要な対策の一つは、暗号化である。

これに対し、他の多くの国では、暗号化された情報について必ずしも例外を認めず、全ての個人情報の保護を義務付けている。その結果として、米国以外で活動する会社は、全ての個人情報を保護するためのより広範な義務を課せられる可能性がある。法によってデータ保護義務は大きく異なるが、米国及び国際的なプライバシー法は、一般的に次のタイプの対策を要求する。

  • プロバイダーに対し適切なデュー・デリジェンスを行うこと
  • 個人情報へのアクセス、その利用及び開示を制限すること
  • 技術上、組織的及び管理上の対策を樹立すること
  • プロバイダーとの間で法的に十分な契約書を締結すること
  • 個人情報に危険を及ぼす情報漏洩について影響を受けた個人に(潜在的には規制当局に)通知すること

クラウドにおける情報セキュリティの議論は、産業界において大きな注目を集めた。米国標準技術局(The National Institute of Standards and Technology (NIST))は、ガイドラインの作成に取り組んでおり、最近ガイドライン(Guidelines on Security and Privacy in Public Cloud Computing)の案文を発表した。その間、クラウド・セキュリティー・アライアンス(Cloud Security Alliance)などの産業団体は、クラウドにおける情報セキュリティの向上を目指して、任意のガイドラインを提案した。このガイドライン(Security Guidelines for Critical Areas of Focus for Cloud Computing V.2.1 (December 2009))は、http://www.cloudsecurityalliance.org/csaguide.pdfで入手可能である。さらに、プロバイダーは、ISO 27001などの基準によって認定されることを選択することができるが、このような認定は全ての法的義務を網羅できているとは限らない。

国境を越えたデータ移転に対する規制

例えば、欧州経済地域(EEA)の全加盟国とその近隣諸国(アルバニア、チャンネル諸島、クロアチア、フェロー諸島、マン島、マケドニア及びスイスを含む)、北アフリカ、中東、中南米及びアジア(モロッコ、イスラエル、アルゼンチン、ウルグアイ及び韓国を含む)など多くの国では、国境を越えて個人情報を移転又は共有することを禁止している。これらの規制は、データをクラウドに移そうと考える多国籍企業にとっては、重大な障害になりうる。かかる障害を踏まえ、一定の国又は区域内にデータを保持する地理的に限定されたクラウドを提供し始めたプロバイダーもいる。米国のプロバイダーの中には、EUベースの顧客に対応するため米国・EU間の免責プログラム(U.S.-European Union Safe Harbor program)の認証を取得しているところもある。ただし、この免責プログラムは、EUから米国への情報移転のみを対象とするので、全世界的な対策にはならない。したがって、会社としては、プロバイダーが提供する選択肢が、事業を展開する各国々における法的義務を遵守するために十分であるか否かを慎重に検討すべきである。

さらに厄介なのは、国際的な情報保護当局(とりわけEEAにおいて)は、個人情報に関するクラウド・モデルの許容性に関し、さらなる疑問を提起している。例えば、シュレースウィヒホルシュタイン州(ドイツ連邦共和国の小さな州のひとつ)の情報保護当局長官セィロ・ウェイチャルト氏は、関係する全ての個人からの明示的な書面による(紙とペンによる)同意がない限り、EEAの外に所在するクラウドは全て違法であるという意見を発表した。ウェイチャルト氏の意見は、クラウドコンピューティングは、必要でないばかりか適法でなく、したがってかかる同意がない限りは禁止されるというものである(Thilo Weichert: Cloud Computing und Datenschutz、http://www.golem.de/1006/75887.htmlを参照。)。なお、この意見は、シュレースウィヒホルシュタイン州で設立された会社に対しても法的拘束力は無く、他のドイツの州(又はEEA内やその他の情報保護当局)のおいてもこのような限定的な解釈に追随することはないと考えられる点に留意を要する。もっとも、かかる意見は大きな注目を集め、ヨーロッパの情報保護当局の集合であるWorking Party 29は、クラウドコンピューティングを検討項目のひとつに加えた。現在のところ、Working Party 29は2011年にクラウドコンピューティングに関するガイドラインを発表する見通しである。

個人情報の外部委託に影響を与える契約上の義務を検討すること

顧客や取引先に代わって保有する個人情報などの第三者情報に関係するアプリケーションをクラウドプロバイダーに外部委託する場合には、当該第三者との間で締結した契約書上の制約がないかを確認する必要がある。契約によっては、情報処理業務の外部委託や下請に関し第三者の同意が要求されることがありうるし、委託先や下請業者に対し特定の契約上の義務を課すことを要することがありうるからである。

適切なクラウドコンピューティング・ソリューションを選択すること

クラウドコンピューティング・サービスは、多くの場合交渉の余地がなく、契約によって保護を手厚くしたり、サービス内容をカスタマイズすることは殆どできない。その結果、他のサービスプロバイダーとの間で通常含めるようなプライバシー保護及び情報保護条項であっても交渉できないことがあるかもしれない。会社としては、当該契約が自己に適用ある上記法的及び契約上の義務を果たす上で十分か否かを評価しなければならない。さらに、保有する情報に対する実務的リスクの程度を評価し、それらのリスクを軽減するためにどのような方策をとるべきかを検討する必要がある。

パブリック・クラウド対プライベート・クラウド

大まかに言えば、プライベート・クラウドは、プロバイダーが所有、賃貸、その他の方法で支配している装置にデータを保持する。プライベート・クラウド・モデルは、他の確立された情報通信の外部委託と同等のものであるといえ、多くの場合パブリック・クラウド・モデルが提起するレベルの懸念は生じない。

パブリック・クラウド・モデルでは、競合他社や個人顧客が含まれるような無関係な第三者のコンピューターやネットワークにまたがり、より広範囲に情報を分散させる。パブリック・クラウド・モデルは、最大限の柔軟性と拡張性を有するが、一方で会社情報を取得した者を特定できないこと、監視が十分でないこと、ホスティング装置に標準化された情報保護実務が存在しないことが高度の懸念を生じさせる。これらの懸念を踏まえると、個人情報を外部委託する会社は、プロバイダーが情報保護に関しどの程度の契約上の義務を受け入れるつもりかを吟味すると同時に、当該サービスがプライベート・クラウドを用いているのか、あるいはパブリック・クラウドを用いているのかを把握する必要がある。

クラウド送信前のデータ保護

会社は、クラウドに個人情報を送信する前に自ら施策を講じることで個人情報を保護することができるであろう。例えば、プロバイダー契約の中には、顧客に対して情報をクラウドにアップロードする前に暗号化することを求めるものもある。もしデータを送信する前に暗号化することが可能であるならば、プロバイダーがその暗号を取得できない状況である限り、相当な情報の保護となるであろう。

また情報保護の規制に頼ることも重要である。その意味で、ヨーロッパのいくつかの国では、情報を保護するための具体的な法律上の規制が存在し、いくつかの監督機関は、クラウドコンピューティングに関する詳細な保護基準を公表した。例えば、ドイツのITセキュリティーエージェンシーから最近発表された保護基準がこれに当たる。2010年9月27日に発表されたこの論文は、クラウドコンピューティングサービスのほかIaaS (Infrastructure as a Service)、PaaS (Platform as a Service)、及びSaaS (Software as a Service)に関して、最低限求められる要件について詳細に記載している。要件としては、具体的な組織的、技術的基準、アクセス管理、暗号化、事件対応計画及びデータ可搬性に関するものが含まれる。この論文はITセキュリティーエージェンシーにおいて業界からのコメントを収集しているため最終版ではない。詳しくは、Bundesamt für Sicherheit in der Informationstechnologie: Mindestsicherheitsanforderungen an Cloud-Computing-Anbieterにてご確認ください(ドイツ語。ここをクリック。)。

契約上の問題点

クラウドサービスプロバイダーとの契約では、当事者の役割及び責任を明確にする必要がある。他の業務委託契約における取扱いとは異なり、クラウドサービス契約では、通常、個人情報と他の種類のデータとを区別していない。これら契約も、基本的なデータ保護の考え方を、明確な形ではなくとも、規定しているかもしれない。ただ、会社としては、最低でも、プロバイダーが自己の目的のために情報を使用しないこと、限定された場面以外ではプロバイダーが情報を共有しないこと、及び適切なデータ保護と漏洩時の通知対応策を確認することが、それぞれ規定されていることを確認することが必要である。クラウドプロバイダーと個別の取扱いを取り決めることは難しいことに鑑みれば、データの性質や関連する法律上の義務に最も適したクラウドを選択することが重要である。クラウドコンピューティングが成長するにつれ、特定のビジネスで要求される要件やプライバシーその他関連法の遵守に適したクラウドを会社に提供することが可能となるであろう。

結論

特に小・中規模のビジネスにとって、クラウドコンピューティングはITソリューションの効率性を著しく向上することとなるが、個々の提案については十分に検討する必要がある。どのビジネスにでも当てはまる万能なクラウドコンピューティングは存在しない。特に、規制が強く及ぼされる分野の会社や国際的に運営する会社であればなおさらである。法律上の遵守義務を理解することによって、会社はクラウドコンピューティングを選ぶか、その他のサービスを選ぶか適切な判断をすることができる。

この文書は、ALM Media Properties LLC in Corporate Counselor (2011年2月)において初めて公表された。

本稿は一般的なもので、ここに含まれる情報はあらゆる事案に適用されるものではなく、また個別の事案に対する具体的な法的アドバイスを提供するものでもありません。


 

Privacy in the Cloud: A Legal Framework for Moving Personal Data to the Cloud

Please click here for PDF version.

By Christine Lyon and Karin Retzer

For many companies, the main question about cloud computing is no longer whether to move their data to the "cloud," but how they can accomplish this transition. Cloud (or Internet-based on-demand) computing involves a shift away from reliance on a company's own local computing resources, in favor of greater reliance on shared servers and data centers. Well-known examples of cloud computing services include Google Apps, Salesforce.com, and Amazon Web Services. In principle, a company also may maintain its own internal "private cloud" without using a third-party provider. Since many companies choose to use third-party cloud providers, however, this article will focus on that cloud computing model.

Cloud computing offerings range from the provision of IT infrastructure alone (servers, storage, and bandwidth) to the provision of complete software-enabled solutions. Cloud computing can offer significant advantages in cost, efficiency, and accessibility of data. The pooling and harnessing of processing power provides companies with flexible and cost-efficient IT systems. At the same time, however, cloud computing arrangements tend to reduce a company's direct control over the location, transfer, and handling of its data.

The flexibility and easy flow of data that characterize the cloud can raise challenging issues related to protection of data in the cloud. A company's legal obligations and risks will be shaped by the nature of the data to be moved to the cloud, whether the data involve personal information, trade secret information, customer data, or other competitively sensitive information. This article describes the special legal considerations that apply when moving personal information to the cloud. It also offers a framework to help companies navigate these issues to arrive at a solution that meets their own legal and business needs.

DETERMINE THE CATEGORIES OF PERSONAL INFORMATION TO BE MOVED TO THE CLOUD

As a general principle, personal information includes any information that identifies or can be associated with a specific individual. Some types of personal information involve much greater legal and business risks than other types of personal information. For example, a database containing health information will involve greater risks than a database containing names and business contact information of prospective business leads. Also, financial regulators in many countries require specific security standards for financial information. Accordingly, a cloud computing service that may be sufficient for the business lead data may fail to provide the legally required level of protection for health, financial, or other sensitive types of information.

A company will want to develop a strategy that provides sufficient protection to the most sensitive personal information to be transmitted to the cloud. In some cases, a company may elect to maintain certain types of personal information internally, in order to take advantage of more cost-efficient cloud computing services for its less-sensitive data.

IDENTIFY APPLICABLE LAWS AFFECTING YOUR OUTSOURCING OF PERSONAL INFORMATION

Cloud computing, by its nature, can implicate a variety of laws, including privacy laws, data security and breach notification laws, and laws limiting cross-border transfers of personal information.

Privacy Laws

Companies operating in the United States will need to consider whether they are subject to sector-specific privacy laws or regulations, such as the Gramm-Leach-Bliley Act (GLBA) or the Health Insurance Portability and Accountability Act (HIPAA). Such laws impose detailed privacy and data security obligations, and may require more specialized cloud-based offerings.

European-based companies, as well as companies working with providers in or with infrastructure in Europe, will need to account for the broad-reaching requirements under local omnibus data protection laws that protect all personal information, even basic details like business contact information. These requirements can include notifying employees, customers, or other individuals about the outsourcing and processing of their data; obligations to consult with works councils before outsourcing employee data; and registering with local data protection authorities. Similar requirements arise under data protection laws of many other countries, including countries throughout Europe, Asia, the Middle East, and the Americas.

Data Security Requirements

Even if a company is not subject to these types of privacy laws, it will want to ensure safeguards for personal information covered by data security and breach notification laws. In the United States, these laws focus on personal information such as social security numbers, driver's license numbers, and credit or debit card or financial account numbers. One of the key safeguards is encryption because many (although not all) of the U.S. state breach notification laws provide an exception for encrypted data.

In contrast, many other countries require protection of all personal information, and do not necessarily provide an exception for encrypted data. Consequently, companies operating outside of the United States may have broader-reaching obligations to protect all personal information. While data protection obligations vary significantly from law to law, both U.S. and international privacy laws commonly require the following types of safeguards:

  • Conducting appropriate due diligence on providers;
  • Restricting access, use, and disclosure of personal information;
  • Establishing technical, organizational, and administrative safeguards;
  • Executing legally sufficient contracts with providers; and
  • Notifying affected individuals (and potentially regulators) of a security breach compromising personal information.

The topic of data security in the cloud has received significant industry attention. The National Institute of Standards and Technology (NIST) is working to develop guidelines, and recently issued its draft Guidelines on Security and Privacy in Public Cloud Computing. In the interim, industry groups, such as the Cloud Security Alliance, have suggested voluntary guidelines for improving data security in the cloud. The CSA’s Security Guidelines for Critical Areas of Focus for Cloud Computing V.2.1 (December 2009) are available at http://www.cloudsecurityalliance.org/csaguide.pdf. Providers also may choose to be certified under standards such as ISO 27001, although such certifications may not address all applicable legal requirements.

Restrictions on Cross-Border Data Transfers

A number of countries—e.g., all the European Economic Area (EEA) Member States and certain neighboring countries (including Albania, the Channel Islands, Croatia, the Faroe Islands, the Isle of Man, Macedonia, and Switzerland), as well as countries in North Africa, the Middle East, Latin America, and Asia (including Morocco, Israel, Argentina, Uruguay, and Korea)—restrict the transfer or sharing of personal information beyond their borders. These restrictions can present significant challenges for multinational companies seeking to move their data to the cloud. Recognizing these challenges, some providers are starting to offer geographic-specific clouds, in which the data are maintained within a given country or jurisdiction. Some U.S. providers have also certified to the U.S.-European Union Safe Harbor program, in order to accommodate EU-based customers. However, as the Safe Harbor only permits transfers from the EU to the United States, it is not a global solution. Accordingly, a company should assess carefully whether the options offered by a provider are sufficient to meet the company’s own legal obligations in the countries where it operates.

To complicate matters, international data protection authorities, particularly in the EEA, have expressed growing doubts about the permissibility of the cloud model for personal information. For example, Mr. Thilo Weichert, the head of the data protection authority of Schleswig-Holstein (one of the smaller German federal states), recently issued an opinion arguing that any cloud located outside the EEA was unlawful unless explicit written (pen on paper) consent was obtained from all of the individuals involved. In Mr. Weichert’s opinion, cloud computing was neither “necessary” nor “legitimate” and therefore was forbidden without such consent. See (in German) Thilo Weichert: Cloud Computing und Datenschutz, available at http://www.golem.de/1006/75887.html. Note that the opinion is not legally binding, even for companies established in Schleswig-Holstein, and it appears unlikely that other German federal states (or other data protection authorities in the EEA or elsewhere) will follow this restrictive interpretation. However, the opinion has attracted significant attention and the Working Party 29, the assembly of European data protection authorities, has included cloud computing in its work program. The Working Party 29 is currently expected to issue guidance about cloud computing in 2011.

REVIEW CONTRACTUAL OBLIGATIONS AFFECTING YOUR OUTSOURCING OF PERSONAL INFORMATION

If your company is seeking to outsource to a cloud provider applications that involve third-party data, such as personal information maintained on behalf of customers or business partners, it is important to consider any limitations imposed by contracts with those third parties. Such agreements might require third-party consent to the outsourcing or subcontracting of data processing activities, or may require your company to impose specific contractual obligations on the new provider or subcontractor.

SELECT AN APPROPRIATE CLOUD COMPUTING SOLUTION

Cloud services tend to be offered on a take-it-or-leave-it basis, with little opportunity to negotiate additional contractual protections or customized terms of service. As a result, companies may find themselves unable to negotiate the types of privacy and data security protections that they typically include in contracts with other service providers. Companies will need to evaluate whether the contract fulfills their applicable legal and contractual obligations, as discussed above. Beyond that, companies will want to evaluate the practical level of risk to their data, and what steps they might take to reduce those risks.

Public vs. Private Cloud

Broadly speaking, a private cloud maintains the data on equipment that is owned, leased, or otherwise controlled by the provider. Private cloud models can be compared with many other well-established forms of IT outsourcing, and do not tend to raise the same level of concerns as a public cloud model.

A public cloud model disperses data more broadly across computers and networks of unrelated third parties, which might include business competitors or individual consumers. While offering maximum flexibility and expansion capabilities, the public cloud model raises heightened concerns about the inability to know who holds your company’s data, the lack of oversight over those parties, and the absence of standardized data security practices on the hosting equipment. Given these challenges, companies outsourcing personal information will want to understand whether the proposed service involves a private or public cloud, as well as evaluate what contractual commitments the provider is willing to make about data security.

Securing Data Before Transmission to the Cloud

Companies also may be able to take measures themselves to protect personal information before it is transmitted to the cloud. Some provider agreements instruct or require customers to encrypt their data before uploading the data to the cloud, for example. If it is feasible to encrypt the data prior to transmission to the provider, this may provide substantial additional protections, as long as the encryption keys are not available to the provider.

It is also important to account for applicable security requirements. To this effect, several countries in Europe have very specific statutory requirements for security measures, and some regulators have issued detailed security standards for cloud computing providers, such as the recently published security standards from the German IT-Security Agency. This paper, published on September 27, 2010, sets forth in great detail minimum requirements for cloud computing services, as well as other related services such as IaaS (Infrastructure as a Service), PaaS (Platform as a Service), and SaaS (Software as a Service). The requirements include specific organizational and technical standards, access controls, encryption, incident response planning, and data portability. The paper is not yet final as the Agency is seeking comments from the industry. See Bundesamt für Sicherheit in der Informationstechnologie: Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter, available (in German) by clicking here.

Contract Issues

The contract with the cloud services provider needs to set out clearly the roles and responsibilities of the parties. Unlike many outsourcing arrangements, cloud service contracts usually do not distinguish between personal information and other types of data. These contracts may still include at least basic data protection concepts, even if they are not expressly identified as such. At a minimum, companies will want to look for provisions preventing the provider from using the information for its own purposes, restricting the provider from sharing the information except in narrowly specified cases, and confirming appropriate data security and breach notification measures. Given the difficulty of negotiating special arrangements with cloud providers, it is important to select a cloud offering that is appropriately tailored to the nature of the data and the related legal obligations. It is likely that as cloud computing matures, more offerings tailored to specific business requirements, including compliance with privacy and similar laws, will be made available to companies.

CONCLUDING THOUGHTS

While cloud computing can substantially improve the efficiency of IT solutions, particularly for small and medium-sized businesses, the specific offerings need to be examined closely. There is no “one-size-fits-all” solution to cloud computing, especially for companies operating in highly regulated sectors or internationally. By understanding their legal compliance obligations, companies can make informed decisions in selecting cloud computing services or suites of services that best meet their needs.

This was first published by ALM Media Properties LLC in Corporate Counselor (February 2011).

Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

page up