最近公開されたグローバルペーパー「クラウドを正しくする–銀行はどのように先を行くことができるか曲線の ?」クラウドジャーニーを成功させるための重要な要素と、実行する必要のある主要な手順について説明しました。
このブログでは、スイスでのクラウドサービスの使用に影響を与える可能性のある国際規制に関する洞察を提供します– USクラウド法 および一般データ保護規則(GDPR) 。
米国は、 CLOUD(データの合法的な海外使用の明確化)法と呼ばれる法律を制定しました。 これには、米国のクラウドストレージプロバイダーが政府当局に保存されたデータへのリクエストに応じたアクセスを提供する必要があります。 スイス国内でも、世界中のどこにでも保管されています。理論的には、これにより、データがスイスに保存されている場合でも、米国当局は米国居住グループのスイス子会社からのデータの抽出を要求できます。ただし、スイスの管轄裁判所またはスイス当局の許可なしに外国当局へのデータの引き渡しを禁止する現地法に関係なく、このような要求に応じる米国を拠点とするグループの子会社は、スイス法に違反する可能性があります。 データは銀行に属しています 、クラウドプロバイダーではなく、スイスに所在する法人は、何よりもまず現地の法律に準拠する必要があり、外国の親会社に対する権限を持つ当局から発行された命令には準拠しない必要があります。
言うまでもなく、スイスの銀行は、適用されるスイスの法律(または契約条項に従ってデータが保存される法域の法律)を完全に遵守するクラウドサービスプロバイダーにのみ依存することができます。したがって、SBAクラウドガイドラインでは、外国当局からの要求に応じて、クラウドプロバイダーと銀行が合意した調整された手順を導入することを推奨しています。
CLOUD法の背後にある理論的根拠に必要な説明を提供するために、米国司法省(DoJ)は2019年4月にホワイトペーパーを公開しました 「世界中の公安、プライバシー、法の支配の促進:CLOUD法の目的と影響」。ホワイトペーパーでは、法の抵触を修正するためにCLOUD法が制定されたと説明されています。 刑事共助条約に影響を及ぼし、重大な犯罪の場合にクラウド上でホストされている証拠への効果的なアクセスを妨げますが、それでも国家主権と個人データのプライバシーを尊重します 。
この目的を達成するために、CLOUD法は、米国政府がいわゆる「 CLOUD法執行協定」を締結することを許可しています。 」と外国の管轄区域では、クラウド上でホストされているデータから証拠を取得するための外国発行の裁判所命令の遵守に障害となる法の抵触から生じる障壁を各国が取り除きます。スイスとヨーロッパの企業にとって特に興味深いのは、外国企業に対する米国の管轄権についてのホワイトペーパーの説明です。 ホワイトペーパーは、外国企業に対する米国の管轄権はCLOUD法によって拡張されていないと主張しています。 「米国外に所在するが、米国内でサービスを提供している外国企業が、米国の管轄下にある米国との十分な接触を持っているかどうかは、その性質、量、および質に影響を与える事実固有の調査です。会社の米国との接触。」
DoJがCLOUD法の背後にある理由を説明するために多大な努力を払い、米国の管轄がそれによって拡大されることは決してないことを強調したという事実は、重要なシグナルです。これは、CLOUDがしばしば表明した意見を示しています。法律により、銀行は米国に本社を置くクラウドプロバイダーのサービスを使用できなくなりますが、これは正しくありません。 犯罪の場合の国際的な法的支援はCLOUD法によって最も確実に促進されますが、米国当局がCLOUD法に基づいてデータを入手する前に、重大な犯罪の疑いと司法判断が必要です。 これは、CLOUD法に関する正当な懸念の領域がかなり狭いことを意味します 適切な国境を越えたリスク評価では、他の側面と同様に検討する必要があります。
いずれにせよ、銀行は通常、技術的手段を使用して顧客データへの不正アクセスを防止することができます。 データの匿名化、仮名化、暗号化など 。これらの措置は、法的および契約上の枠組みとともに、外国当局のデータ要求からのリスクを意味します。米国のクラウド法に基づいて、軽減することができます。さらに、関係当局からの行政支援の公式要請は、いかなる場合でも義務付けられています。
欧州データ保護委員会のガイドライン3/2018は、GDPRの管轄範囲外のデータ管理者がEUのデータ処理者を使用する場合、データ管理者はGDPR。ただし、GDPRは、サービスの一部として個人データを処理している限り、データ処理者に適用されます。
つまり、 GDPRを実装するための要件は、EUに本拠を置くクラウドサービスプロバイダーを使用しているという理由だけで、スイスの銀行(またはその他のEU以外の居住者の銀行)には適用されません。 。一方、多く スイスの銀行は依然としてGDPRの範囲内にあります EUに居住する顧客にサービスを提供しているからです。
これに関連して、2019年2月25日に、欧州銀行監督局(EBA)が、EBAの権限の範囲内ですべての金融機関のアウトソーシングフレームワークを調和させることを目的として、アウトソーシング契約に関する改訂ガイドラインを公開したことを言及する価値があります。 影響を受ける銀行は、2021年12月31日までにこれらの改訂ガイドラインに沿ってすべてのアウトソーシング契約を完了する必要があります。
EBAガイドラインでは、クラウドサービスプロバイダーとのアウトソーシング契約では、次のことを確認する必要があると規定されています。
個人データは適切に保護されています 機密を保持し、アウトソーシングされたクラウドインフラストラクチャとサービスは、国際的に認められたセキュリティとデータ保護の基準を満たしています。
事業継続と緊急時対応計画 考案されました。結果として、一部のクラウドサービスプロバイダーは、PSD2またはMiFID IIに従って、重要または重要であると見なされる場合もあります。
適切なトレーサビリティメカニズムが導入されています 、技術および事業運営の記録を目的としています。アウトソーシングされたクラウドサービスのパフォーマンスと品質、およびリスクのレベルは、データの機密性、整合性、可用性を保護するクラウドサービスプロバイダーの能力と、データを処理、転送、保存するシステムの能力に大きく依存します。データ、トレース操作は、サイバー攻撃を検出および防止するためにも重要です。および
EU指令、国内法、および契約上の義務が尊重されます。改訂されたガイドラインにもかかわらず、機関は地域の規制を尊重し続ける必要があります アウトソーシングされたクラウドインフラストラクチャまたはサービスにフットプリントがあり、クラウドサービスプロバイダーの出身国で適用される法律もあります。
さらに、クラウドサービスプロバイダーは、重要または重要な機能をサードパーティプロバイダーにサブアウトソーシングする場合、アウトソーシング機関に通知する必要があります。さらに、これに個人データが含まれる場合は、GDPR規則に従って、サブアウトソーシングを進める前に同意を得る必要があります。
ガバナンスは、改訂されたガイドラインで扱われる重要なポイントです。これは、銀行がサイバーリスクに関する措置を含むリスク管理に関する健全な管理上の決定を下せるようにする、組織全体にわたる全体的なフレームワークを持つように構成する必要があります。このようなリスク管理フレームワークには、次のものが含まれている必要があります。
アウトソーシング契約に関するEBAの改訂ガイドライン 、欧州銀行監督局は、金融機関が欧州連合でビジネスを行いやすくするために重要な一歩を踏み出しました。 。スイスの銀行が、これらのガイドラインは当面は適用できないという結論に達したとしても、スイスの規制の枠組みですでに利用可能なものについて、追加の有用なガイダンスと洞察を提供する可能性があります。
結論として、ここで概説されている規制への準拠は、一般に、銀行サービスのクラウドへの移行が許可されており、管理当局によってサポートされていることを意味します 。
次のブログでは、スイスで適切なクラウドサービスプロバイダーを選択する際の決定基準のフレームワークを提供します。