2006 年 7 月 27 日の連邦法第 152-FZ「個人データについて」第 19 条第 2 部第 4 項の発効後、各企業は、個人データの処理に関連する自社の情報システムおよびプロセスを導入する義務があります。ロシア連邦の法律の要件に従って個人データを保管します。

これは法人にとって何を意味しますか?

組織は、個人データを処理する際に、プライバシー、個人および家族の秘密に対する権利の保護を含め、個人および国民の権利と自由を確実に保護する義務があります。 したがって、それらは「個人データ管理者団体」になります。 連邦通信監督局は、法律の要件の遵守を監視します。 情報技術およびマスコミュニケーション（ロスコムナゾル）、ロシアのFSTECおよびFSB。

連邦法は、あらゆる組織形態の企業に適用されます。これには、政府機関、連邦および地方自治体の機関（銀行、保険会社、医療機関、通信事業者、オンライン ストア、小売チェーン、製造会社、および従業員から受け取った個人データを処理するその他の組織）が含まれます。 、クライアント、その他の個人、および 法人.

運営組織の責任には以下が含まれます。

• 個人データの処理の合法性を確保する。
• FSTECおよびロシアのFSBの要件に従って個人データ保護システムを構築する。
• ロスコムナゾールに通知を送信する。
• 内部文書の作成。
• 認証試験または適合性評価を実施する。
• 個人データ保護システムの体系的な更新。

多くの場合、個人データを保護するために講じられた措置の有効性を確認する文書を入手する必要があるなど、これは困難で費用のかかる作業になることが判明します。 そのため、ほとんどの企業は、外部の仮想インフラストラクチャで既製のソリューションを備えた信頼できるパートナーを探すことで、このプロセスを最適化することを好みます。

ロシアのすべての法人が同じ法律連邦法 152 に準拠することを保証するために、WELLSERVICE 社と協力したホスティング サイトである当社は、より安価で時間のかかるソリューションを提供します。それは、個人データの保管および処理システムを安全な場所に転送することです。クラウドシステムを「クラウド上のISPDn」と呼んでいます。

個人データ情報システム (PDIS) のサーバーは、その地域に所在し、居住しているすべての企業に提供されます。 ロシア連邦.

「クラウド上のISPDn」とは何ですか?

「ISPDn in the Cloud」製品は、独立した安全な製品です。 仮想サーバー、連邦法-152の要件に完全に準拠し、選択した料金で。

それぞれの「クラウド内の ISPDn」は完全に分離されたオブジェクトです。 これは、ホスティング プロバイダーからの ISPD へのアクセスが認定されたセキュリティ ツールを使用してブロックされ、絶対に機密性が保たれることを意味します。

処理された情報の機密性は、以下によって実現されます。

• 「クラウド上のISPDn」上にあるデータへのアクセスは、ロシアのFSTECによって認定された不正アクセスに対する保護手段（NSD）と、認定された保護手段の一部である仮想マシンハイパーバイザーの機能を使用して制限されます。 。
• 個人データの組織運営者の端末からネットワークインターフェースに通信チャネルを介して送信されるデータ 仮想マシン、ロシアのFSBによって認定された暗号情報保護ツール（CIPF）を使用して暗号化されています。 ディスクイメージ仮想マシンも CIPF を使用して暗号化されます。
• どのデータセンターも、クライアントの仮想マシンにある CIPF 機能へのアクセス キーを持っていません。 たとえば、ダウンロードするには オペレーティング·システム VPS では、クライアントは独自に暗号化コンテナのパスワードを入力します。 システムパーティション。 この手順は、仮想マシン上で当社が特別に開発したオペレーティング システム ブートローダーを使用して実装されます。 同時に、仮想マシンのユーザーがいつでもアクセス キーを独立して再生成でき、それに応じて暗号コンテナを再暗号化できます。
• 処理された情報の可用性と完全性は、予約された通信チャネル、信頼性の高いデータ ストレージ システム、冷却装置、無停電電源装置の使用によって確保されます。 当社のパートナーはロシアで最高のデータセンターです: Miran、IXCellerate、KIAEHOUSE。

クラウドの ISPDn はロシアの企業に何をもたらしますか?

簡単な手順:当社は、セキュリティ脅威モデルの開発、保護システムの概念、認証方法論、認証試験の直接実施、適合証明書の発行など、組織的、法律的、技術的作業の複合体全体を引き受けます。 当社の「ISPDn in the Cloud」製品を選択すると、個人データを収集する際に本人の同意を得る必要はありません。

大幅な節約:当社の製品により、顧客企業は、個人データを保存、処理、保護するための安全な IT インフラストラクチャを構築および所有するコストから解放されます。 さらに、クラウドでの ISPD のホスティングはサービスとして提供されるため、顧客企業には資本コストがかかりません。

私たちの利点:

• 安全なシステム「クラウド上の ISPDn」は、個人データの分野におけるロシア連邦の法律のすべての要件に完全に準拠しているとして、必要なすべての認証に合格しています。
• すべてのハードウェア、ソフトウェア、およびロシアのFSTECおよびFSBの要件に完全に準拠すること ネットワーク要素システム。
• 個人データを収集する際に、個人データの主体の同意を得る必要はありません。
• 導入および製品の作業のすべての段階でのコンサルティングとサポート。
• 完全なパッケージ組織、管理、および規制に関する文書。
• 資本コストはかかりません。

サービス提供プロセスとは何ですか?

1

弊社 Web サイトでお客様企業の代表者を登録し、「ISPDn in the Cloud」サービスの申し込みフォームに、認定の必要性、組織の詳細、活動の種類などを記入します。

ISPD の要件に応じて、必要なサーバー パラメーター (ディスク容量と RAM) を備えた適切な料金プランを選択します。

「ISPDn in the Cloud」サービスの提供契約の締結と支払い。

提供されたデータに基づいて、個人データに関する声明、ISPD 分類法、脅威モデルなどを含む一連の組織、管理、規制文書を作成します。 必要書類。 当社の専門家が、これらの書類が正しく完成し、承認されたことを確認します。

職場の現地認証の日付に同意します。 専門家が職場を訪問し、職場のすべての要件を確認した後、ISPD が要件および基準 No. 152-FZ「個人データについて」に完全に準拠していることを証明する準拠証明書と文書のパッケージ全体を受け取ります。法律。

当社のライセンスと証明書

* 1 年間支払った場合の、ドキュメントと認証手順のパッケージを含む安全な ISPD サーバーの費用。

提示された内容に従って個人データを保存および処理するための安全なインフラストラクチャの販売 料金プラン最低1年間実施されます。

ISPD に最初のサーバーを注文する場合、設置料金 11,300 ルーブルがかかります。

クラウドソリューション 連邦法 152» 152-FZ および 242-FZ の要件に準拠するための安全な IT インフラストラクチャの作成と所有のコストが個人データ オペレーターに免除されます。 言い換えれば、ロシアの法律により、個人データを無許可および違法なアクセスから保護するために必要なすべての組織的および技術的措置を講じることが会社に義務付けられている場合は、Cloud4Y の既製のソリューションを選択してください。

「無料で試す」ボタンをクリックし、短いフォームに記入して、要件を満たす IT インフラストラクチャをセットアップするために多額の費用を費やす煩わしさを回避する方法を学びましょう 連邦法第 152 号

「クラウド連邦法 152 条」が必要な理由:

• ISPD をホスティングするための、安全で認証済みの独立した「クラウド」。
• 仮想化メカニズムの認定: コンピューティング リソース ハイパーバイザー、仮想化データ ネットワーク管理システム、仮想化プラットフォーム、およびデータ ストレージ システム。
• クラウドで ISPD をホストしているクライアントが使用できるセキュリティ サービス (認定セキュリティ ツールに基づく) を提供します。

クラウド内での ISPDn 配置の構成:

• 個人データ管理者は、安全な IT インフラストラクチャの構築と所有にかかる資本コストから解放されます。
• 152-FZ、242-FZ の要件の遵守に対する法的責任の一部からオペレーターを解放します。
• システム全体および特定のプロバイダー ソフトウェアの使用を許可します。
• 高度な資格を持つ担当者による IT インフラストラクチャのサポートを 24 時間 365 日受けられる

「クラウド FZ152」の特徴：

• ISPD の配置はサービスとして提供されます。つまり、顧客には資本コストがかかりません。
• Cloud4Yは、運営者に代わって個人データの処理責任者として機能します。
• このシステムは FSTEC ライセンシーによって認証されており、安全要件への準拠が確認されています。 使用される保護具は、確立された手順に従って適合性評価を受けており、FSTEC およびロシアの FSB の関連当局によって発行された証明書を持っています。
• セキュリティ機能を実装するさまざまなクラウド要素 (ハイパーバイザー、クラウドに統合されたセキュリティ ツール、セキュリティ サービスとしてクライアントに提供されるセキュリティ ツール) の証明書の可用性。
• クライアントがサービス担当者、他のクライアント、その他の違反者からの現在の脅威を排除できるようにする一連の組織的および技術的保護手段。

規制文書と分類

リンクをクリックすると、個人データに関する連邦法第 152 号の本文を読むことができます。

連邦法に関する白書 152 - 個人データ処理に関して参照できる書籍

Cloud4Y の専門家は個人データ保護の問題を研究し、連邦法 152 を遵守するために組織がどのように行動すべきかに関するガイドを作成しました。 私たちは最善を尽くしました 簡単な言葉で法律の要点を説明し、混乱を解消し、取るべき手順を規定します。

ライセンスと証明書

価格

プロモーション: 2020 年 4 月 30 日までの期間限定で、「クラウド連邦法 152」を永久に通常価格でご利用いただけます! 詳細

FZ-152 クラウド サービスの費用見積もりを受け取るには、電話でマネージャーに問い合わせてください。 +7 495 268 04 12 またはその他の 便利な方法でセクションで利用可能

リンク先の個人データの処理が個人データの分野におけるロシア連邦の法律の要件に準拠していることを確認するための、法人および個人起業家の活動に対する必須要件を確立する規制法行為のリストをご確認ください。

よくある質問（FAQ）

1. 連邦法-152 サービスの本質は何ですか?
当社は、連邦法 152 に従ってセキュリティ要件が認定され、第 1 レベルのセキュリティを含む個人データの保護に関する準拠証明書を取得した安全な回線をデータ センターに構築しました。 そして、技術的な観点からクライアントがコンプライアンスの問題を解決できるよう支援します。 政府機関は、州情報システムの第 1 クラス適合証明書 (FSTEC の第 17 命令による) およびセキュリティ証明書にも関心を持っている可能性があります。 機密情報クラス 1G に準拠 (STR-K に準拠)。

2. なぜこれが必要なのでしょうか?
あなたは個人データの処理者であるため、連邦法第 152 号の効力が自動的に適用されます。 あ 政府機関国家情報システムを所有する者も、FSTEC の第 17 命令の対象となります。

3. 費用はいくらですか?
コストは、ボリューム、セキュリティのレベル、配置のタイミングを考慮して、顧客ごとに個別に計算されます。

4. 書類の準備を手伝ってもらえますか?
はい、可能です（提供します） 既製のテンプレートまたは、ターンキー準備プロセス全体を当社が引き継ぎます）。

5. データ伝送チャネルはどのように構成されていますか?
ロシアの GOST に従って暗号化されたチャネルは、VipNet コーディネーターを通じて使用されます。

質問に対する答えが見つからない場合は、当社にアクセスするか、Web サイト上のオンライン チャットを使用して当社のコンサルタントに質問するか、サポート リクエストを書いてください。

連邦法の改正は 2015 年 9 月 1 日に発効しました。 「個人データについて」（連邦法第 152 号）.
法律によれば、クライアントがウェブサイトに入力したデータはロシア連邦に保存されなければなりません。
それだけではありません。 この法律が誰に影響を与えるか、何をすべきかについては、記事をご覧ください。

2015年9月1日、改正個人情報に関する法律が施行されました。
この法律によれば、クライアントがウェブサイトに入力するすべてのデータ、具体的には個人データ (パスポートの詳細、電子メールを含む住所、支払い情報など) はロシア連邦の領土内に保存されなければなりません。

これは個人データの保護に関する法律 152 からの抜粋です

「情報通信ネットワークであるインターネットを介して個人データを収集する場合、運営者は、ロシア連邦国民の個人データの記録、体系化、蓄積、保管、明確化（更新、変更）、検索を、インターネット上にあるデータベースを使用して確実に行う義務があります。ロシア連邦の領域。ただし、本連邦法第 6 条第 1 部の第 2、3、4、8 項（連邦法「個人データに関する」第 18 条第 5 部）に規定されている場合を除く。」

「オペレーター」という用語を理解する必要があります顧客がウェブサイト上で個人情報を提供するすべての企業、特に電子商取引。

それだけではありません。 2017年2月には個人情報保護法がさらに改正されました。 これらの改正により、すべての Web サイト所有者およびオンライン ストア (運営者) は、Web サイトに個人データを入力する際に​​、その収集、処理、保存に同意することをユーザーに通知することが義務付けられます。

これらの法改正を無視すると、1 回の違反で最大 75,000 ルーブルの罰金が課される危険があります。 そして、それらの数がさらに多い場合、罰金の額は増加します（個人データの分野におけるロシア連邦の法律違反 - ロシア連邦行政犯罪法第13.11条）

個人データ法を遵守しない場合のリスクには他にどのようなものがありますか?

かなりの罰金についてはすでに話しました。 これは誰にでも影響を与える可能性があります。 そして、これがあなたのことではないとは思わないでください:) 司法慣行を見れば、これが冗談ではないことが理解できるでしょう。 たとえば、ここにタンボフ法律事務所のセンセーショナルな事件があります（2016年10月4日の事件番号4A-288/2016、事件番号4A-288/2016）。データ。 罰金の額は微々たるものですが、2017 年 7 月 1 日以降、罰金が大幅に増加していることに注意する必要があります。

行政責任に加えて、刑事責任も問われる可能性があります。 たとえば、個人データが悪者の手に渡ったユーザーに道徳的危害を与えた場合です。
さて、そのような違反に対して、ロスコムナゾールはサイトをブロックし、いわゆる「ブラックリスト」にあなたを追加することができます。
そして、ロスコムナゾールからの追加の小切手に備えてください。

何をするか？

1. 最初に行うことは、個人データの処理についてユーザーに通知することです。 まだこれを行っていない場合は、今がその時期です。 個人データの処理に関する文書を作成して Web サイトに掲載し、また、そのような処理に対するユーザーの同意を取得します (たとえば、各登録フォームの下に情報を含むチェックボックスをオンにするなど)。
   一般に、これは、目標とビジネスの特性に応じて、さまざまな方法で実行できます。 例えば、Ozoneはウェブサイト上でプライバシーポリシーを公開し、ユーザー登録時に個人データの処理に同意を得ます。 あるいは、Lamoda のように、公募の一環として PD の収集に関する情報を投稿し、登録中に処理に対する同意を収集することもできます。 あるいは、そのような情報を契約に記載する SberBank のように。
2. 社内文書の作成この法律の実施のための規則を規制する。 これらには、保管責任者の命令、指示、任命が含まれます。 個人情報.
3. データがロシア (ロシアのサーバー) に保存されていることを確認することが非常に重要です。
   これは、ユーザー情報の保護に関する法律 (連邦法「個人データに関する」第 18 条の第 5 部) によって義務付けられています。
   したがって、サイトがホストされているサーバーの場所のアドレスをホスティングプロバイダーに確認し、このアドレスが表示される契約を締結してください。 Roskomnadzor への通知を記入するには、このアドレスが必要になります。 独自のサーバーをお持ちの場合は、必ずそのサーバーにドキュメントを保存してください。 検査の際にロスコムナゾールによって要求される場合があります。 ホスティングプロバイダーとの契約についても同様です。

   ホスティングプロバイダーがサーバーをロシアのデータセンターに配置している場合は、すべて問題ありません。
   これは、国内プロバイダーからホスティングを購入することで法的要件を満たす最も簡単な方法です。

   国境を越えたデータ転送と呼ばれる別の方法もあります。 これは法律で禁止されていません。 海外での個人データの保管は許可されていますが、いくつかの留保事項があります。 したがって、いずれにせよ、企業は個人データを海外に保管することに加えて、ロシア連邦の領土内にそのようなデータベースを持たなければなりません。 しかし同時に、データベースは可能な限り完全で最新である必要があります。 ここでのスキームは次のとおりです。個人データを含むデータベース全体がロシア連邦領土内で収集、体系化され、保存され、その後、データが国外に転送される可能性があります。 ここで、主な情報源はロシア連邦の領土にある基地であることを理解することが重要です。

4. この後、Roskomnadzor に通知を準備して送信します。
   これは、Web サイト上の電子フォームを通じて行うことができます。

   以下の場合は届出の必要はありません。

   
   → 従業員データのみを処理します。

   → あなたは特定の人物と契約を結び、その契約に指定されたデータはこの契約の履行のためにのみ使用されます。 個人データ主体の同意なしに情報を公開したり、第三者に譲渡したりすることはありません（事業の特殊性により疑問が生じる可能性があるため、この点は曖昧です。すべての事項を考慮して正しく契約を作成することが重要です）したがって、法律の要件を満たすニュアンスについては、弁護士に相談することをお勧めします。明確な答えがない場合は、通知を提出することをお勧めします。）

   → 収集されたデータにユーザーのフルネームのみが含まれる場合。

   → ユーザー自身が自分の個人データを公開している場合。

ご注意ください, 届出を提出する必要がない場合についてのみ話していることを意味します。 上記のデータは依然として個人的なものであるため、ユーザーにそれについて通知する必要があります。

結論の代わりに

この法律を恐れる必要はありません。 また、個人としての私たちの権利も規制します。 私たちは誰もが少なくとも一度はインターネット経由で商品を購入し、個人データを残しました。 これで、あなたと私には、私たちの権利が侵害された場合に法的に権利を守る根拠ができました。

ウェブサイトの所有者にとって最も重要なことは、すべてを正しく配置することです。 そうすることで、罰金やその他の法的責任から身を守り、クライアントの信頼を得ることができます。
ちょっとしたメモ:たとえば、競合他社のようにカーボンコピーを作成しないことをお勧めします。競合他社にはそれぞれ独自の仕様があります。 後で罰金を支払うよりも、自分のビジネスに特化したドキュメントの作成に時間を費やす方が良いでしょう。 まだご質問がある場合は、 弁護士に助けを求めてください この記事専門家の代わりにはならないこれは、必要に応じて、具体的に目標と目的に合わせてすべてを実行するのに役立ちます。

• 共有：

152-FZ の分析を始める前に、2015 年 9 月 1 日に施行された法律 242-FZ も存在することを知っておく必要があります。これは、別の基本的な法律源である連邦法第 152 号を修正した規制法です。 、2006年7月に採択されました。 「個人データのローカリゼーション」に関する法律の採択は、さまざまなメディアでこの立法イニシアティブが広く報道されることを伴い、その結果、 2つの主な神話連邦法第 242-FZ に基づく:

• ロシア人は現在、自分の個人データ（ウェブサイト）を海外に投稿することを禁止されている。
• すべての外国企業は、ロシア連邦外のサーバーでロシア人の個人データを受信して​​処理することを禁止された。

連邦法第 242-FZ 号では、「インターネット経由を含めて個人データを収集する場合、オペレーターはロシア国民の個人データの記録、体系化、蓄積、保管、明確化（更新、変更）、検索を確実に行う義務がある」と規定しています。連邦はロシア連邦の領土にあるデータベースを使用しています。」 法律に違反した場合、ロシア連邦の管轄内にあるデータベース上のロシア国民の個人データの一次収集および保管で有罪判決を受けたサイトへのアクセスが制限される場合があります。

海外でホスティングを利用できますか?

法律は禁止していない欧州評議会条約 ETS No. 108 に署名した国のサーバー上に Web サイト (データベース) を配置すること。 個人データの国境を越えた転送。 欧州評議会条約 ETS No. 108 によると、「次のような状況にある個人の保護について」 自動処理「個人データ」第 12 条第 2 部は、これに加盟した国は、条約の別の締約国の領域に向かう個人データの情報の流れを禁止したり、特別な管理下に置いたりしないと規定しています。 第 25 条は、条約に対するいかなる留保も禁止しています。

これは、ホスティングが条約に署名した国のいずれかにある場合、（ロシア連邦内ではない）海外でのホスティングの使用、および個人データの保管と処理が合法であるとみなされることを意味します: オーストリア、ベルギー、ブルガリア、デンマーク、イギリス、ハンガリー、 ドイツ、ギリシャ、アイルランド、スペイン、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、フィンランド、フランス、チェコ共和国、スウェーデン、エストニア、またロスコムナゾールの説明より以下の通り、各国において、個人データの適切な保護を確保します。 これらは、個人データ保護の分野における国家規制と、個人データ主体の権利を保護するための認可された監督機関を有する国として認められています: アンドラ、アルゼンチン、イスラエル、アイスランド、カナダ、リヒテンシュタイン、ノルウェー、セルビア、クロアチア、モンテネグロ、スイス、 韓国、 日本。

個人データはどこに保管する必要がありますか?

物理的には、欧州評議会条約 ETS No. 108 に署名している国であれば、サイトとデータベースをホストできます。 同法は、事業者に対し、ロシア連邦領土内にあるデータベースを使用したロシア連邦国民の個人データの記録、体系化、蓄積、保管、明確化（更新、変更）、検索を確実に行うことを義務付けているが、同法は禁止しているわけではない。ロシア人の個人データをロシア連邦領土外のサーバーに保管すること。 唯一の条件は、個人データが最初にロシア連邦で収集および処理される必要があることです。 ただし、繰り返しますが、これは個人データの国境を越えた転送や、条約に署名した国での個人データの取り扱いを禁止するものではありません。

JIHOST 152-FZ に準拠したホスティング

Jihost は、個人データの複製および国境を越えた転送の使用を通じて 152-FZ に完全に準拠しています。

動作原理を以下に概略的に説明します。

ホスティング Jihost は 152-FZ に準拠 個人情報の転送を含め、サイト データベースに変更があった場合、データベースはロシア連邦領域にあるサーバーに複製されるため、以下に従ってデータの継続的な関連性と完全性が確保されます。法律。 その後、データはローカル サーバー データベースにレプリケートされ、その後サイトはそこから動作します。 この円形パターンはどこでも機能します。 さらに、データの読み取りのみが必要な場合は、レプリケーションを行わずに直接実行されます。 ローカルベースデータ。 152-FZへの準拠に加え、 この計画この作業により、ホスティングのパフォーマンス、耐障害性、信頼性が向上します。

• 2006 年 7 月 27 日付けの連邦法「個人データについて」N 152-FZ

出版物

2015 年 9 月以降、ロシア連邦では個人データ保管のローカライゼーションに関する規制が施行されました (2014 年 7 月 21 日付けの 242-FZ)。 もちろん、この革新はロシアのホスティングおよびクラウド コンピューティング市場の主な原動力の 1 つであることが判明し、個人データ オペレーターとホスティング プロバイダーの両方が、ウェブサイトのような一見単​​純なエンティティへのコンプライアンスを確保する方法をもう一度考えることを余儀なくされました。個人データに関する法の要件。

2006 年 7 月 27 日の連邦法第 152-FZ 号「個人データについて」がかなり前に採択されたという事実にもかかわらず、誰もがそれに適応し、実装する方法を学んだわけではありません。 部分的には感謝します 多数の 規制文書そしてそれらに対する定期的な変更。 現在、彼らは政府、ロスコムナゾル、FSTEC、FSBの4つの部門から来ています。 また、釘を打ち込む方針の代わりに、スムーズだが避けられないネジの締め付け戦略を選択したレギュレーターのかなりバランスのとれた姿勢のおかげでもあります。

最も規律ある市場参加者である大企業と政府当局が、すでに個人データ情報システム (PDIS) を法律に準拠させているとすれば、中小規模の企業はようやくそのことに気づき始めたところです。彼らの更なる存在と発展のためには、彼らはすべてを必要としています。特に、この影そのものがますます少なくなり、すでに十分ではなくなり始めているため、個人データに関する法律の施行の観点を含め、私たちは依然として影から出てこなければなりません。みんなのために。

ユーザーの個人データが収集および保存されている Web サイト (オンライン ストアの個人アカウントなど) の所有者は何をすべきですか? これを一緒に考えてみましょう。

Web サイトが個人データを収集する場合、それは個人データ情報システムであり、152-FZ の対象となります。

これについてロスコムナゾール自身が次のように述べています。 連邦法の「個人データについて」の第 3 条に基づき、個人データ情報システムとは、データベースに含まれる一連の個人データと、その処理を確実にする情報技術および技術的手段を指します。 Web サイトが指定された要件を満たしていれば、それは情報システムです。」

私たちは皆、個人データが何であるかを直感的に知っていますが、法的な観点からそれが何であるかを理解することが重要です。 連邦法第 152-FZ の第 3 条第 1 項によると、個人データとは、特定の個人または識別可能な個人に直接的または間接的に関連するあらゆる情報を指します。 つまり、電話番号や住所はもちろん、納税者番号から髪の色、靴のサイズに至るまで、電子メールや郵便など、ほとんどすべてが対象となります。

したがって、個人アカウントまたはユーザー登録、オンライン注文、予約、支払い、配送などが行われるオンライン ストアまたは単なる Web サイトです。 など、152-FZ に関して言えば、これはすべて個人データ情報システム (ISPD) であり、その所有者は個人データ管理者です。

個人データに関する法律はクラウド コンピューティングとアウトソーシングのトレンドを考慮に入れています

特に中小企業部門の企業にとっての IT アウトソーシングの関連性と展望については、すでに多くのことが言われ、書かれているため、この記事では「クラウドのために」読者を煽り立てるつもりはありません。 さらに、インターネット上のほとんどのサイトがホスティング サービス プロバイダーのパブリック Web サーバーでホストされていることは、誰もがすでによく知っています。

これには多くの理由がありますが、最も重要なのは、もちろん、コストを節約して、可用性の高い安価な Web サービスを入手したいという企業の常識的な欲求です。 少なくとも Tier-III 標準データセンターと同等の信頼性を備えた独自のコンピューティング インフラストラクチャを構築するには、数百万ルーブルの費用がかかります。 まず、適切な部屋が必要です。廊下、地下室、屋根裏部屋ではなく、浸水したり、見知らぬ人がそこにアクセスできないようにする必要があります。 換気と空調が必要であり、ある程度の冗長性も必要です。 自律電源とバックアップ電源を組織する必要があります。 これを行うには、どこかにディーゼル発電機セットを設置する必要があります。 最後に、物理的なセキュリティとメンテナンスの人員が必要です。 さらに、サービスの可用性を保証するには、サーバーとサーバーのスペアパーツのフルセットを購入する必要があります。 ネットワーク機器。 つまり、実際にはサーバーを 1 台ではなく 2 台購入する必要があります。

当然のことながら、クラウド コンピューティング、仮想化テクノロジの発展、およびアウトソーシングへの明らかな傾向により、ますます多くの中小企業部門の企業が情報システムを「デスク下」システム ユニットからコンピュータ センターにあるクラウド コンピューティング リソースに移行しようとしています。現代の工業規格を満たしています。

で 情報システムどの企業でも、一定量の個人データを保存および処理します。 これは、会社従業員の個人データと顧客または取引先のデータの両方である可能性があります。 企業情報システムは、機能的にも技術的にも非常に多様です。 これは、会計自動化システム (1C など) や Web サイトなどです。 個人アカウントユーザーとオンラインストア。 同時に、これらの情報システムは原則として相互接続されており、個人データを含む情報を相互に送信します。

152-FZ の第 3 条第 3 項によると、個人データの処理とは、自動化ツールを使用して、またはそのようなツールを使用せずに個人データを使用して実行される、収集、記録を含むあらゆるアクション (操作) または一連のアクション (操作) です。個人データの体系化、蓄積、保管、明確化（更新、変更）、抽出、利用、譲渡（配布、提供、アクセス）、非個人化、遮断、削除、破壊。

したがって、プロバイダーのサーバーに ISPD を配置することは、少なくとも個人データの記録、保管、読み取り (検索)、転送、削除などの処理機能を外部委託することに他なりません。

152-FZ の第 3 条の第 2 項によると、(個人データの) 運営者は合法的または合法的です。 個人、個人データを処理する目的、処理される個人データの構成、個人データを使用して実行されるアクション（操作）を決定するだけでなく、独立してまたは他の者と共同して個人データの処理を組織および（または）実行します。

したがって、個人データの保存と送信の機能を引き受けたホスティングプロバイダーは、サイト（この個人データを処理する情報システム）の所有者とともにその運営者であり、法律に従って、特定の措置を講じる義務があります。安全を確保するための措置。 実際、すべてがそれほど悪いことではありません。私たちは、2012 年 11 月 1 日付けの「個人データに関する法律」第 152-FZ 号および政令第 1119 号の作成者に敬意を表する必要があります。この法律は、の運営者による転送を規定しています。業務の一部において個人データの処理を第三者機関に委託する場合。

第三者が提供するホスティングにおいて個人データを処理するホスティングウェブサイトに対する法的規制

個人データ運営者は、個人データ主体と締結した契約（指示）に基づき、個人データ主体の同意を得て、個人データの処理を他人に委託する権利を有します。 オペレーターに代わって個人データを処理する人は、現在の法律で規定されている個人データ処理の原則と規則に従う義務があります。 オペレーターの命令では、個人データを処理する人が実行する個人データに関する行為のリストと処理の目的を定義し、個人データの機密性を維持し、個人データの安全性を確保するそのような人の義務を確立する必要があります。また、処理された個人データの保護要件も示さなければなりません (152-FZ 第 6 条第 3 項)。

したがって、ホスティングプロバイダーは、サイト所有者と同様に、サイト上で処理される個人データの管理者であり、その可用性、安全性、セキュリティに対して責任を負います。 唯一の違いは、サイト所有者は個人データの主体に対して責任を負い、法律で規定されている場合には、個人データを処理するために主体から許可を得る義務があり、ホスティングプロバイダーは権限のある者として、サイト所有者に対して責任を負い、サイト所有者から個人データを受け取り、保管しますが、対象者から許可を得る責任はありません。

一般に、個人データの処理について被験者の同意を得るというトピックは非常に大きく興味深いものであり、当然のことながら、別の記事を書く価値があります。

個人データ保護要件の遵守に関するホスティングプロバイダーとサイト所有者の責任範囲の説明

個人データのセキュリティに対するすべての責任をホスティングプロバイダーに移すのは不公平であることに同意します。 結局のところ、多くの場合、自分のサーバー上でホストされているサイトが誰が、どのように、何を書いているのかがわかりません。 個人データへのアクセスを許可するためにどのようなパスワードが使用されるか、どのような形式で保存されるか、また実際に使用されるかどうか。

政府令第 1119 号 (第 13 条から第 16 条) によると、情報システムで処理される個人データのセキュリティの必要レベルを確保するには、次の要件を満たす必要があります。

№	要件 PP 1119	必要なセキュリティレベル	担当分野
	情報システムが設置されている施設のセキュリティ体制の組織化	UZ-4; UZ-3; UZ-2; UZ-1;	ホスティングプロバイダー。
	個人データキャリアの安全性の確保		ホスティングプロバイダー。
	個人データへのアクセス権を有する者名簿の運営責任者の承認
	認定された情報セキュリティツール（法的要件への準拠の評価を受けたもの）の使用		ホスティングプロバイダー。
	個人データの安全性を確保する責任者の任命	UZ-3; UZ-2; UZ-1;	サイト所有者; ホスティングプロバイダー。
	電子メッセージ ログの内容へのアクセスは、適切な権限を持つユーザーのみが可能です。アクセス権	UZ-2; UZ-1;	サイト所有者; ホスティングプロバイダー。
	に自動登録 電子雑誌オペレーターの従業員の個人データへのアクセス権限を変更するセキュリティ	UZ-1;	ウェブサイト所有者、ホスティングプロバイダー
	個人データのセキュリティを確保する責任を負う構造単位の創設		ウェブサイト所有者、ホスティングプロバイダー

ホスティングプロバイダーは、通信サービスを提供するために Roskomnadzor からライセンスを取得する必要があります

ご存知のとおり、通信サービスを提供するには、Roskomnadzor ライセンスが必要です。 これは、たとえば、2011 年 5 月 4 日の連邦法第 99-FZ 号「特定の種類の活動のライセンス供与について」第 12 条のパラグラフ 36 に準拠しています。

2005 年 2 月 18 日付ロシア連邦政府令第 87 号により承認された、通信サービスの提供分野で活動を行うためのライセンスに含まれる通信サービス名のリストによると、認可された通信サービスには以下が含まれます。その他のこと:

• テレマティック通信サービス (これにはホスティングが含まれます)。
• データ伝送を目的とした通信サービス。ただし、音声情報の伝送を目的としたデータ伝送を目的とした通信サービスは除きます。

個人データを処理するサイトをホストするには、ホスティングプロバイダーが FSTEC ライセンスを持っている必要があります

ロシア連邦技術輸出管理庁 (FSTEC) は、情報の技術的保護に関連する活動を規制し、立法、標準化、ライセンス供与のこの分野における国家政策の問題に対処し、関連する検査も実施します。

ホスティングプロバイダーは、譲渡契約に基づいて権限を与えられた者として、個人データの管理者であるため、個人データを保護するための技術的措置を講じる義務があります。つまり、情報の技術的保護のためのサービスを提供する義務があります。 2012 年 2 月 3 日のロシア連邦政府の政令 N 79 によって承認された、機密情報の技術的保護のためのライセンス活動に関する規定は、ライセンスされた種類の活動に関連しています。

2013 年 2 月 18 日付けの FSTEC 命令第 21 号によって承認された、個人データのセキュリティを確保するための組織的および技術的対策には、次のものが含まれます。

• アクセス主体とアクセスオブジェクトの識別と認証。
• オブジェクトにアクセスするためのアクセス主体のアクセス制御。
• ソフトウェア環境の制限。
• コンピュータ記憶媒体の保護。
• セキュリティイベントのログ記録。
• ウイルス対策保護。
• 侵入検知（防止）。
• 個人データのセキュリティ管理（分析）。
• 情報システムと個人データの完全性を確保する。
• 個人データの可用性を確保する。
• 仮想化環境を保護する。
• 技術的手段の保護。
• 情報システム、その通信およびデータ伝送システムの保護。
• インシデントを特定し、それに対応する。
• ISPDn と SZPDn の構成管理。

個人データのセキュリティを確保するための作業を実行するために、機密情報の技術的保護で活動するライセンスを有する第三者組織と契約に基づいて関与することが許可されています (FSTEC 命令第 21 号の第 2 項、第 2 項)。 ）。

個人データのセキュリティを確保するための多くの対策では、ホスティング プロバイダーに FSB ライセンスが必要です。

FSTEC 命令第 21 号によると、個人データの適切なレベルの保護を確保するための措置には、次の措置が含まれます。

• 保護された実装 リモートアクセス外部情報通信ネットワークを介してオブジェクトにアクセスするアクセスの主体 (UPD.13)。
• 無線通信チャネル (ZIS.3) を含む、管理区域を超えて広がる通信チャネルを介した送信 (送信の準備) 中の個人データの開示、変更、押しつけ (虚偽の情報の入力) からの保護を確保する。
• 信頼性の確保 ネットワーク接続(対話セッション)、なりすましに対する保護を含む ネットワークデバイスおよびサービス (ZIS.11);

これらの対策の本質に基づいて、その実装には暗号化情報保護ツール (CIPF) の使用が必要であることは明らかです。 知られているように、ロシア連邦における CIPF の使用に関連する問題は、連邦保安庁 (ロシア連邦保安庁) によって規制されています。

2012 年 4 月 16 日付ロシア連邦政府令第 313 号により承認された、暗号化 (暗号化) ツールの開発、生産、配布のためのライセンス活動に関する規制によれば、ライセンスされた活動を構成する作品のリストには次のものが含まれます。

• 暗号化ツールを使用した安全な情報通信システムの開発。
• 暗号化手段およびその使用により保護される情報通信システムの設置、設置、調整。
• 暗号化手段の保守に取り組む。
• 暗号化手段およびその使用によって保護された情報および通信システムの移転。
• 情報暗号化サービスの提供。

ホスティングプロバイダーのコンピューティングセンターはロシア連邦の領土内に設置されている必要があります

2015 年 9 月 1 日、ロシア連邦は、2014 年 7 月 21 日の連邦法第 242 号「以下の点に関するロシア連邦の特定の立法行為の改正について」に定義された、個人データの保管および処理の特定のプロセスのローカリゼーションを施行しました。 「情報通信ネットワークにおける個人データの処理手順の明確化」の第2条第1項により、事業者は、情報通信ネットワークインターネットを含む個人データを収集する場合、記録、体系化、蓄積を確保する義務を負っています。 、ロシア連邦の領土内にあるデータベースを使用したロシア連邦国民の個人データの保管、明確化（更新、変更）、検索。

同時に、個人データの国境を越えた転送自体は禁止されていないが、法律で規制されていることに注意することが重要です。 詳細については、「アート」を参照してください。 12 152-FZ。

主なものについて簡単に説明すると

それでは、以上をまとめてみましょう。

Web サイトの機能により個人データの入力、保存、または表示が可能であれば、その Web サイトは個人データ情報システムです。 良い例としては、個人アカウントを備えたほぼすべての Web サイト、オンライン予約、配送による注文または購入などが挙げられます。

顧客の個人データをオンラインで処理することは、現代の電子商取引に必要不可欠であるだけでなく、 十分な機会マーケティングのためのものであり、その説明は別の記事に値します。

ISPD である Web サイトの所有者は、どのような個人データを保存および処理するか、ISPD が運営されているサーバーが物理的にどこに配置されているかを示す通知を Roskomnadzor に提出する必要があります。 これについては、私の記事「RKN に通知を提出してトラブルに巻き込まれない方法」を参照してください。

ホスティングプロバイダーとの契約には、コンピューティングリソースの量的および質的特性に加えて、個人データの処理命令が必ず含まれている必要があり、それらを使用して実行されるアクションの具体的なリストを示し、目的と内容を示す必要があります。個人データの処理手順、個人データの保護要件、および個人データのセキュリティに対するプロバイダーの責任を確立する必要があります。

テレマティック通信サービスを提供するためのホスティング会社向けの標準的なロスコムナゾールライセンスに加えて、クライアントサイトで処理される個人データを保護するために、ホスティングプロバイダーは機密情報の技術的保護に関連する活動のためのFSTECライセンスとFSBを持っている必要があります。暗号化（暗号化）資金の使用に関連するサービスの提供のためのライセンス。

そして最後に、個人データが物理的に保存されるプロバイダーのサーバーはロシア連邦の領土内に設置されなければなりません。

したがって、この記事では、クラウド サービス プロバイダーのコンピューティング リソースに ISPD を配置する際の多くの側面 (すべてではありません) について説明します。 もっと 詳細情報以下の文書および情報リソースから入手できます。

法律

• 2012 年 11 月 1 日のロシア連邦政府令 N 1119「個人データ情報システムにおける処理中の個人データの保護要件の承認について」
• 2013 年 2 月 18 日付ロシア FSTEC 命令第 21 号 個人データ情報システムにおける個人データの処理中のセキュリティを確保するための組織的および技術的措置の構成と内容の承認について

  Telegram Passport を使用すると、ユーザーの身元を特定できます。 必要なドキュメントとデータはすべて Telegram に一度アップロードする必要があり、その後、それらを Telegram パートナーに即座に転送できます。 新サービス開始までに、Qiwiを含む複数のパートナーのサービスが利用できるようになる予定だ。

  続きを読む...