×
Community Blog アリババクラウドのPrivacy by Design

アリババクラウドのPrivacy by Design

アリババクラウドは、プライバシー・エンジニアリングを推進し、ITシステムの運用、ネットワーク・インフラストラクチャ、ビジネス・プラクティスにプライバシー・バイ・デザインを積極的に取り入れています。

日本でもプライバシーへの関心が高まってきています。

例えば、経済産業省・総務省は「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を出し、プライバシーに関わる問題に能動的に取り込むことを奨励しています。

プライバシー保護を実現するための基本的な考え方の一つに、プライバシー・バイ・デザインという考え方があります。

これはカナダのオンタリオ州の情報プライバシー・コミッショナーをしていたアン・カブキアン(Ann Cavoukian)博士が1990年代に提唱した考え方で、プライバシー保護をビジネスや技術、組織構築の取り入れるための方法論としてグローバル・スタンダードになっています。

実際、欧州のデータ保護法であるGDPRの第25条にはdata protection by design and by defaultという表現で規定されています。

また、シンガポールでは、データ保護当局であるPDPCが、しばしば法の執行措置の中でプライバシー・バイ・デザインの実施を要求しています。

アリババクラウドはこれまで、お客様に安心・安全なクラウド・サービスを提供するために様々な取り組みを展開してまいりました。当社が提供する各種サービスについてもお客様のデータ・セキュリティとデータ・プライバシーには細心の注意を払っています。サービス設計時にはセキュリティ・バイ・デザイン及びプライバシー・バイ・デザインの考え方を統合しており、確実にお客様のデータとプライバシーを保護するようプロセスを整備しています。

プライバシー・バイ・デザインの7つの原則

プライバシー・バイ・デザインは次の7つの原則から成り立っています。

  1. 事前に対応し、問題が発生しないように予防する
    (Proactive not Reactive; Preventative not Remedial)
  2. デフォルト設定はデータが最も保護されるものとする
    (Privacy as the Default Setting)
  3. プライバシーを設計に組み込む
    (Privacy Embedded into Design)
  4. 可能な機能は全て含める – ゼロ・サムではなくポジティブ・サムで設計する
    (Full Functionality – Positive-Sum, not Zero-Sum)
  5. End-to-End でのセキュリティ – ライフサイクル全体での保護
    (End-to-End Security – Full Lifecyle Protection)
  6. 視認性と透明性 – 公開すること
    (Visibility and Transparency – Keep it Open)
  7. ユーザのプライバシーを尊重すること – ユーザ中心で設計
    (Respect for User Privacy – Keep it User-Centric)

アリババクラウドでは、プライバシー・バイ・デザインをエンジニアリングの中にも組み込むためのプライバシー・エンジニアリングを推進し、ITシステムの運用、ネットワーク・インフラストラクチャ、ビジネス・プラクティスにプライバシー・バイ・デザインを積極的に取り入れています。

ソフトウェア開発ライフサイクルとプライバシー・バイ・デザイン

ソフトウェア開発ライフサイクル(Software Development Life Cycle, SDLC)とは、ソフトウェアやシステムの開発要件定義から配布、保守までを一貫したプロセスの中で実施する手法です。

顧客ニーズを適切に反映したソフトウェアを、より少ないコストで、より早く提供するための効率的なソフトウェア・エンジニアリング手法として広く導入されています。

SDLCは次のようなフェーズから構成されます:

・ビジネス上の要件を特定するための「計画と分析」フェーズ
・要件仕様をもとにシステムやソフトウェアの設計を行う「プロダクト・アーキテクトの設計」フェーズ
・設計をモジュール化/ユニット化することで実際のコーディングを開始する「開発とコーディング」フェーズ
・コーディング後要件仕様を満たしていることを確認する「テスト」フェーズ
・ソフトウェアやシステムの配布し、配布後生じる問題や新たな要求に対応する「配布と保守」フェーズ


privacy_by_design

プライバシーをSDLCに組み込むには、各フェーズでのチェック項目にプライバシーに関連する要件を追加します。

例えば要件定義の段階で個人データを保護するための技術要件(e.g. WAFの設定や通信の暗号化)やデータ主体の権利行使請求への対応といった非技術要件を追加することで、ソフトウェア開発にプライバシーを組み込むのです。

アリババクラウドはプライバシー・バイ・デザインをすべての製品開発の要件として規定し、プライバシー・エンジニアリングのノウハウも少しずつ蓄積してきました。

また、シンガポールの個人情報保護委員会と香港の個人情報保護委員会が、ICTシステムのためのプライバシー・バイ・デザインの導入ガイダンス(”Guide to Data Protection by Design for ICT Systems”)を出した際には、このガイダンスの内容を採用し、当社のプライバシー・エンジニアリングのケーパビリティを補強しています。

このように、アリババクラウド製品は常にプライバシーに配慮して設計されており、お客様が安心してアリババクラウドの製品をご利用いただけるように努力を続けております。
 

アリババクラウドはコンプライアンスとセキュリティを大切にしています

アリババクラウドでは、これまでさまざまな形で情報をご提供してきました。日本語で発行したホワイトペーパーやコンプライアンス活動に関する情報は、Japan Trust Centerにまとめていますので、こちらもぜひご訪問ください。

アリババクラウドは世界25リージョン、80アベイラビリティゾーンを提供する、アジア太平洋地域第一位世界第三位※のパブリッククラウドサービス事業者です。
2020年度には、フォーチュン500企業の38%がアリババクラウドをご利用いただいています。
(※Gartner Market Share: IT Services, Asia Pacific, WorldWide 2020)

また、アリババクラウドは事業を展開する国と地域で適用される法律や規制を遵守しており、現在世界で80以上のセキュリティとコンプライアンスの認定を取得しています。

グローバルでのアリババクラウドのセキュリティとコンプライアンスについては、アリババクラウド Trust Centerにて詳細な情報を提供しております。こちらもぜひ、ご訪問ください。

0 1 1
Share on

You may also like