EUの新規則が迫るITシステム運用の変革

制定されて17年が経過したEUデータ保護指令(Directive 95/46/EC)の改正が提案されており、『忘れられる権利』の創設などが注目されている。EU内外の個人データを扱うIT関連の事業者が、新たな負担を懸念しているが、対応の成否と負担はITシステムの運用現場に重くのし掛かっているように見える。

EUデータ保護指令の改正によるIT業界への影響

まず、EUデータ保護指令の改定は、EU全体で統一された個人データ保護が適用される規則の提案である。この規則では、クラウドの運用をしやすくなることを念頭に置いているという。これはEU市民の個人データに対する、越境データ流通を許容するための『Binding Corporate Rules』の手続き軽量化(承認が3つのデータ保護機関ではなく、1つのデータ保護機関からで済む)などを受けていると考えられる。

しかし、新規則は厳しすぎると指摘されている。まず、罰則規定が導入され、違反時には企業の全世界での年間収益の2%を上限とする罰金が科せられる可能性がある。(なお、2011年11月にリークされた草案では最大で5%が上限だった。)また、同様に厳しいと言われているのは、データ漏えいが起きた際に、24時間以内に通知しなければいけないという点である。これは「絶対に実行不可能」という声もある。ハッカーに攻撃された際も、問題の特定や解決ではなく、提出文書の作成にリソースを奪われるという指摘もある。(なお、2011年11月の草案には無かった「監督機関への通知が24時間以内に出来ない場合は、正当な理由を添えなければならない。」という文言が追加された。)

この『2%』や『24時間』という数字が今後どうなっていくかは、データ保護規制を取り巻く力学を観察する上での一つの指標になるだろう。

運用を重視する要件定義 – ISO/IEC/IEEE 29148

ITシステムにおけるデータ漏えいへの対策は、証券取引所やスマートフォンの障害の話にも通じるものがあるのではないかと感じている。いずれも想定を越える事態が起きた時、例えば想定外のアクセスや、ハードウェア系とソフトウェア系の異常が同時に起きた時に、運用にあたる人系に負荷がかかり、その判断一つの影響が大きい。

これに関係して、運用時のことまできちんと想定した要件定義、設計が必要という考え方がある。最近定められた要求工学のプロセスに関する国際標準のISO/IEC/IEEE 29148:2011の中では、特定のシステムレベルの運用コンセプト、すなわちOperational Concept (OpsCon)、を明確にすることが挙げられている。これは運用のことを開発の初期から想定してITシステムを作りなさいということである。

何でも by Designの時代

EUデータ保護規制の場合、”Privacy by Design”の要求(20条)が入ってきているが、こちらはプライバシーへの影響などを開発の初期から想定してITシステムを作りなさいということである。

ISO/IEC/IEEE 29148もPrivacy by Designも、行き着くところは『銀の弾などない – ソフトウェアエンジニアリングの本質と偶有的事項』(Brooks氏の1986年の論文)の結びで書かれている「優れた設計者の養成が必要」という25年前以上から変わらない話かもしれない。

しかし、プライバシーも、運用も、そしてもちろん開発にも詳しい設計者を個人に求めるのは難しい。規制や攻撃の多いこれからの時代には、ITシステム設計チームの人材ポートフォリオ管理が企業に求められるだろう。それはISO/IEC/IEEE 29148で日本が提案してきた企業レベルの運用戦略、すなわちConcept of Operation(ConOps)を定義する過程で認識されるはずである。先ほど出てきたOpsConと実に紛らわしいのだが、ConOpsは経営層も関与する、より上流工程にあたる。双方とも新聞に載るような障害のために疲弊する人も減らすためにも必要な考え方である。