Michael Chen | コンテンツ・ストラテジスト | 2024年5月2日
データ主権とは、ユーザーのデータを運用する際にデータに対する法律や規制を適用することを意味します。具体的には、個人情報保護、組織によるデータ利用、同意を行う際に、どの司法管轄地域の法律がそのデータに適用され、個々のユーザーに対しどのような権利が保護されるかということです。データ主権に関する最も有名な法規制は、欧州連合(EU)のGeneral Data Protection Order(GDPR/一般データ保護規則)で、EU市民のデータが収集および使用されるにあたってどのように保護されるかを定義しています。
データ主権とは、データは、その所有者が所在する地域の法律や規制に従うという概念を指します。一般的に、データ主権規則では、ユーザーデータの管理と保護の責任は、そのデータを収集および処理する組織に課されます。ユーザーのプライバシーとセキュリティの問題は、組織が対処しなければならず、ユーザーの居住国または州の規制に従わなければなりません。つまり、複数の国籍ユーザーのデータを抱える組織では、何重ものコンプライアンスが要求されるということです。例えば、EUと米国のユーザーデータを持つ組織は、EUのGDPRだけでなく、米国の各州のデータ主権法にも従わなければならない場合があります。
一般的に、世界中のデータ主権法はかなりの部分で重複しており、中にはより制限が厳しいものもあります。
主なポイント
データ主権は、多くの異なる側面を持つ重要な概念ですが、基本は次の点に集約されます。
関与者:データ主権には複数の当事者が関与する可能性がありますが、最終的に責任を負うのはデータを収集または販売する組織です。関係者には、これらデータを収集・販売する組織、収集されるデータの対象となる個人、データを保管するクラウド・プロバイダー、データを監督する法律を規定する国/地域/州などが含まれます。組織内では、データ主権の管理にはIT部門や法務部門などが関わります。
リスクと影響:規制ガイドラインを満たさない場合、法的な問題や罰金など複雑な結果になります。場合によっては国際的な事態に発展する可能性があります。法的な影響は、組織のさらなる問題へと発展し、その地域の閉鎖や、事業運営の停滞につながる可能性があります。
コンプライアンスに投資することで、企業は規制要件を満たすことができます。
データ主権によって得られる利益:データ主権は保護と監視に重点を置いているため、本質的な恩恵はデータの対象となる個人にありますが、企業にもメリットがあります。企業は、運営を継続し、将来のコンプライアンスに向けた強固な基盤を確立できるといった恩恵を受けることができます。さらに、一貫したコンプライアンスは社会の信頼の獲得にも役立ちます。企業はこれをPRやマーケティング・メッセージとしてアピールすることで、新たなビジネス機会につなげることもできます。
データ主権が重要なのは、データに適用される法律や規制を確実に遵守するためです。これは、簡単そうに見えてなかなか難しいことで、特に過去20年間で企業におけるデータの使用方法が完全に変化したこともその一因となっています。データが動的かつ移動可能になると、リスクも増大します。ファイルはもはやローカルドライブやデバイスにとどまらず、データベースには特定のアプリケーションのデータをはるかに超えるデータが保存されるようになりました。このようにデータの範囲が拡大すると、さまざまな種類のリスクが発生します。特に、サイバー攻撃が高度化し、データ通信が国境を越えて行われるようになるにつれ、これらの危険からデータを保護することがますます重要になりました。
今日、データ主権において最も重要な分野には、次のようなものがあります。
規制の遵守:近年、さまざまな国や地域が、物理的なデータ保管場所に関するデータ・プライバシー、サイバーセキュリティ、ストレージへの懸念に対応するデータ保護規制を制定しています。その代表例がEUのGDPR法です。この種の規制は、ウェブサイトの訪問者データや製品の使用データなどを対象としています。コンプライアンスを怠ると、複雑な法的問題につながり、運営上および財務上の問題を引き起こす可能性があります。
セキュリティ:機密データにアクセスできるのは誰でしょうか。財務情報、個人情報、企業の知的財産など、機密データへのアクセスを管理することは、データ主権の重要な要素です。場合によっては、地域の法律がデータ収集のプライバシーについても言及することがあります。このように、セキュリティ、アクセス、ストレージを管理することは必須事項となっています。
継続性:データがグローバルに分散している世界では、パブリック・クラウドプロバイダーは理論上、他国にあるデータセンターにバックアップを保存することができます。しかし、深刻な停電や自然災害が発生した場合、アクセスや接続が妨げられるという問題が生じます。また、管轄権の問題も生じます。クラウドプロバイダーのデータセンターがハッキングされた場合、世界中の侵害されたユーザーを保護するために適用される法律はどの法律になるのでしょうか。データ主権は、ストレージが特定の地域内に保持されるようにするのに役立ちます。極端な状況下でのアクセスという点では、データがその地域内にあることで、地理的な距離によるレイテンシの問題や、地域の法律による法的アクセスの問題なしに、迅速なバックアップ接続が可能になります。
データを収集・保管する企業は、事業を展開する各国のデータ主権法に準拠しなければなりません。その対応には、特定の場所へのデータの保管、セキュリティ対策の実施、データが現地の規制に準拠した形で取り扱われていることの確認などが含まれます。これは、特に複数の法域で事業を展開する多国籍企業にとっては、複雑で困難なプロセスとなる可能性があります。
データ主権法遵守のための基本的なワークフローは、以下のようになります。
データ主権は、相互に関連した複数の要素を含む複雑な概念です。管轄区域、法律、ハードウェアの所在地は、すべてデータ主権に影響を与える要因となります。この概念の最も重要な要素は以下になります。
データ主権とは、そのデータが発生した国の規制に基づいてデータを法的に監視することを指します。しかしこの概念は、グローバルなユーザーベース、リモートワーカー、クラウド・ストレージ・データセンターなどの要因によりさらに複雑になります。このため、データがどこに存在し、どこでどのように収集されるかといった要素は、リスクとなり得る問題を理解する上で不可欠です。
データ・ローカライゼーションは、データ・レジデンシーとデータ主権の中間に位置します。これは、ある地域の市民に関して生成されたデータは、外部で使用される前にその市民がいる管轄区域に存在するべきであるという考え方を指します。データローカライゼーションの規制は、特に組織が機密性の高い個人情報や財務データを扱う場合、プライバシーとセキュリティ上の懸念から生じます。
データ・レジデンシーとは、組織のデータの物理的な所在地を表す用語です。データが生成された場所とは異なる国や地域に保存されている場合、その地域のデータ・レジデンシー法が適用され、コンプライアンスがさらに複雑になります。
データ・プライバシーとは、ユーザーの個人データの保護を指す用語です。Webサイトやアプリケーションは、フォーム、ユーザー提供情報、Webサイトのクッキーなど、さまざまな方法でこれらのデータを収集することができます。ユーザーの同意やデータ収集の合法性は、データ・プライバシーに関して真っ先に挙げられる懸念であり、各国は詐欺や悪用から国民を守るために独自のプライバシー保護法を制定しています。
データ主権、データ・ローカライゼーション、データ・レジデンシー、データ・プライバシーの主な違いを理解するには、それらが互いにどのように関連しているかに着目します。データ主権は、管轄区域、国民、組織、法律を含む、最も包括的な概念です。データ・ローカライゼーションは、ユーザー・データの実際の取り扱い方を規定するものです。そしてデータ・レジデンシーとデータ・プライバシーは、データ主権という概念を検証する際に使用される定義です。以下の図は、これらの概念がどのように連携しているかを視覚的に表したものです。
データ主権、データ・ローカライゼーション、データ・レジデンシーの違い
データ・プライバシーとは、個人情報や機密情報を保護する必要性を指します。これを怠ると、顧客の信頼を失い、悪評が立つだけでなく、罰金を強いられたり起訴されるリスクもあります。
データ主権 | データ・ローカライゼーション | データ・レジデンシー |
---|---|---|
データが作成され、処理される国の規制に基づいてデータを法的に監視すること | ある地域の市民に関して生成されたデータは、外部で使用される前にその市民がいる管轄区域に存在するべきであるという概念 | 組織がデータを保存および処理する物理的な場所 |
コンピュータが部屋のような巨大サイズものからデスクトップサイズに小型化していく中で、データへのアクセス方法も変化しました。これに伴い、セキュリティの範囲も物理ストレージ、ローカルエリア・ネットワーク、データセンターなど、より広範な領域に拡大しました。データ移転が当たり前になり、動的に送信されるようになると、データ主権という概念が生まれました。EUでは、1995年の保護指令によって、EU市民のデータの処理と保存が国境内に制限されました。大西洋を隔てた米国でも、2001年に制定された米国愛国者法によって、米国政府が合法的にアクセスできる市民データが根本的に変更されるなど、さまざまな角度からデータ主権が検討されました。この法律により、連邦政府はアメリカの管轄区域内に保存されているデータや、アメリカ国内で事業を営む企業が管理するデータにアクセスできるようになりました。
この当時は、インターネットはまだ一般的ではなく、物理メディアへの保存や、ダイヤルアップ接続が主流でした。しかし、その後の数年間で、家庭でのインターネットアクセスから、オンライン金融取引、ソーシャルメディアを介した個人データ、日常的なクラウドストレージ、デジタル通貨、モノのインターネット(IoT)デバイスに至るまで、デジタル・トランスフォーメーションは業界やコミュニティ全体に広がっています。このような背景のもと、突然にしてデータ主権の重要性が飛躍的に高まりました。企業は国境を越えてデータを共有し始め、サイバー犯罪は日常的なリスクとなり、市民は遠く離れた場所からオンラインで買い物をし、政府が個人情報を違法に監視していたことが発覚しました。このような変化により、一定の秩序を確立し混乱を緩和する必要性からデータ主権のトレンドが生まれました。特に複数の管轄区域が関係する場合、その必要性は高まります。
今日、データ主権という概念は、現地の法規制、プライバシーに関する懸念、クラウド・ストレージ・サーバーの物理的な場所など、幅広いトピックを包含しています。デバイスが日常生活のあらゆる場面に溶け込み、企業がリモートワークを推し進めるにつれて、データ主権は年々複雑化し、より重要性を増すでしょう。
1995年、インターネット時代の幕開けとともに、EUのデータ保護指令(DPD)が発効しました。正式にはDirective95/46/ECとして知られるDPDは、世界がデータ・プライバシーを基本的人権と自由の観点から理解する上での基盤となりました。DPDの主な内容は以下の通りです。
その後20年間で、データの利用は世界中で爆発的に増加しました。家庭でのインターネットへのブロードバンドアクセスを皮切りに、ソーシャルメディアが出現し、スマートフォンなどのモノのインターネット(IoT)機器の利用が始まりました。そしてこれらの機器はすべて、大量の個人データを常時収集しています。このように、以前は想像もできなかったような方法でデータが流通し始めたことで、DPDの保護におけるギャップが明らかになりました。
そこでこのDPDに取って代わったのが、2016年に採択され、2018年から施行されているGeneral Data Protection Regulation (GDPR)です。GDPRは、基本データ権利、監督当局の規制、第三国への個人データ移転の制限など、DPDのすべての基本原則に基づいています。重要な点は、GDPRが、法的に認められた方法によってのみ個人データを収集、処理しなければならないと定めたことです。これには、個人の同意、契約上の義務、公権力による公共利益としてのデータの扱いなどが含まれます。データ利用への同意と政府の権限に関する懸念は、GDPRが発効する前の10年間に、米国愛国者法の下でのアメリカ政府のデータ使用に関する事実が明らかになったことから生じました。GDPRは、個人データへのアクセス、所有権、同意、苦情、制限を明確化・簡素化し、法的境界の強化と個人の所有権の拡大を図るとともに、組織とデータ管理者に責任と義務をシフトしました。
歴史上最も影響力のあるデータ保護法として広く認識されているGDPRは、世界中のデータ保護への取り組みに拍車をかけました。米国では、カリフォルニア州消費者プライバシー法やコロラド州プライバシー法など、住民が生成するデータに関する独自の法律がいくつかの州で成立しました。南アフリカ、タイ、シンガポールなどの国々もこれに続きました。
データ主権は独特で、多くの場合その道のりは困難です。というのも、組織が目標を達成した後も、進化する規制や新たな地域からの新しいガイドラインに合わせて取り組みを常に更新していく必要があるからです。組織は、これらすべての変動要素に常に注意を払いながら、重要なITの選択を行い、その影響を評価しなければなりません。以下は、データ主権に関する最も一般的な課題をまとめたものです。
複数国での事業展開:複数の国で事業を展開している場合、データ主権はたちまち複雑化します。データ収集に関する規制は、プロセスが行われる管轄区域によって異なります。多国籍企業は、事業を展開する地域によって異なるデータ法のニュアンスを理解する必要があります。
絶えず変化する法律:EUのGDPRや米国のCCPAのような既存の法律は、他の管轄区域で独自のデータ保護法が導入される中、今後も更新され続けるでしょう。データ・プライバシーと保護に関する法的責任は個人ではなく企業側に生じる可能性があるため、各組織はコンプライアンスを維持するためにこれらの変更を追跡する責任があります。例えば、英国は2020年のEU離脱後もGDPRの基準を維持していますが、英国居住者向けの法律の展開を独自に決定することができます。
ベンダーのストレージの場所:お客様の組織がデータの保管にパブリック・クラウドを使用している場合、パブリック・クラウドの物理ストレージの場所と処理の場所が問題となる可能性があります。プライバシー保護法が、データの保管場所をユーザーの管轄区域内に限定することを義務付けている場合、企業はベンダーに対して地理的場所に関する特定の法的要件について問い合わせるべきどうかを検討する必要があります。
初期投資:データ主権には資金的なコミットメントが必要です。ローカルデータセンターを運営している場合は、クラウドへの移行が必要になる可能性があります。財務情報などの機密データを収集している場合は、新たなセキュリティレイヤーを導入する必要があるかもしれません。健全なデータ主権を実現するために必要な具体的な手順は、各企業によって異なります。また、その具体的な内容について従業員を再教育するために多大な時間と労力を費やすことになるかもしれません。どのような形でデータ主権を実現するにしても、そこには予期せぬ課題がつきものです。そのため、組織はそのコストを念頭に入れておく必要があります。
成功のためのコスト:ローカル・ビジネスとしてスタートした後、製品やサービスが人気を博すにつれてビジネス範囲を拡大した企業のケースを考えてみましょう。事業拡大に伴い顧客基盤も拡大しますが、顧客基盤の拡大にはデータ主権の問題が伴います。特に、規制の異なる新たな地域にまで顧客基盤が拡大した場合はなおさらです。データ主権をないがしろにすると、後に重大な法的問題につながる可能性があります。そのため、事業拡大や成長を計画する際には、データ主権を常に考慮する必要があります。
データ主権に関しては、すべての組織に通用する唯一の解決策はありません。しかし、いくつかの大まかな要件は、組織の既存のテクノロジーやビジネス目標に関係なく一貫しています。次に、データ主権を達成するための一般的な6つのステップをご紹介します。
1.現状の把握
データはどのように保存されていますか?現在、どこで保存、処理されていますか?ローカルデータセンター、クラウドプロバイダー、またはその両方のハイブリッドを使用していますか?ロールベースのアクセスやその他のセキュリティ対策はどうなっていますか?管轄境界に近いエッジ・デバイスを使用していますか、またはそのためのサポートが必要ですか?今後どのように展開していく予定ですか?組織は、データ主権に関する決定を下す前に、このような質問についてあらかじめ検討し、全貌を把握したうえで、コンプライアンスを推進する必要があります。
2.ニーズの把握
上記の質問にはすべて回答できましたか?では、その情報をもとに、必要なこと、そしてやりたいことを考えてみましょう。規制コンプライアンス要件を満たすことは、もちろん重要です。しかし、そのための戦略がITの選択、法務部門、予算にも影響を与えることを考えると、プロセスの一環として、ビジネスの明確な目標も設定する必要があります。一般的なロードマップ、ハードウェアとデータニーズのリスト、そしてベスト/ワースト・シナリオを評価することは、データ主権を実現する戦略を構築する上での重要な基準となるでしょう。
3.サービス内容の把握
多くの場合、コンプライアンス、ビジネス、運用上のニーズを把握することで、必要なクラウドサービスが明らかになります。その結果、既存のローカルデータセンターをハイブリッド接続またはクラウドへ移行したり、クラウドプロバイダーが提供するサービス内容に対してコンプライアンス上の実用的な要件を検討したりすることが必要となる場合もあります。そのため、お客様は、移行サービス、物理データセンターの場所、サービス地域などの要因を考慮し、テクノロジー、財務、コンプライアンス関連のニーズを総合的に評価した上で、クラウドベンダーを選定する必要があります。
4.最終的な選択
これまで、自社の現状を把握し、具体的なニーズをリストアップし、さまざまなクラウドベンダーのサービス内容を検証してきました。これらをすべて考慮すると、あきらかな候補として複数のベンダーを特定できるはずです。各ベンダーとのミーティングの機会を設け、可能であればデモやトライアルを行います。その後、最適なベンダーを選択し、移行のためのロードマップを作成します。このステップの一環として、各ベンダーのサービスレベル契約(SLA)を十分に検討し、そのサービスが自社の機能的ニーズにどの程度合致するかを確認することをお勧めします。
5.変化への迅速な対応
機能性、セキュリティ、コンプライアンス、移行、そして本稼働開始後も、すべてが計画通りに進んでいることを確認するために、主要なパフォーマンス指標とセキュリティ問題を監視する必要があります。今日のデータドリブンのビジネス運営では、定期的な監査が必要不可欠であり、地域ごとの更新や新たに制定された法律を考慮することも重要です。この段階では、最悪のシナリオも想定しておく必要があります。例えば、パフォーマンスの低いベンダーとの関係を断ち切らなければならない場合などです。
6.必要に応じた改善
選択したベンダーに満足できない場合は、他にも選択肢があるということを忘れないでください。また、新たなテクノロジーも次々と登場しています。たとえビジネスが順調に進んでいる場合でも、他にどんな選択肢があるかを検討することは決して無駄ではありません。その際、もちろん移行に伴う苦労は考慮する必要があります。すべての選択肢を把握しておくことは、契約中のベンダーに問題が発生した場合、特に重要となります。例えば、ベンダーがSLAで定められたパフォーマンス基準を満たさない場合や、カスタマーサービスが不十分な場合などです。
どのような場合でも、テクノロジーに関しては再評価と改善を常に計画の一部として織り込むべきであり、データドリブンエコノミーの発展やセキュリティの重要性が高まる状況下では、なおさらです。
データ主権のための万能なソリューションはありませんが、さまざまなベストプラクティスをあらゆる状況で適用することができます。これらのベストプラクティスには、以下のようなものがあります。
データの所在の把握:データを保存、処理、移転する際には、その場所が重要です。健全なデータ主権を実現するための第一歩は、すべての物理的な場所を特定することです。場所が特定できれば、企業は関連する地域の法律を検索し、データコンプライアンスを確認(コンプライアンス違反の場合はそのリスクを判断)することができます。
賢明なデータ・ローカライゼーション:データ・ローカライゼーションは、保存されたデータが収集された法域に物理的に存在することを保証することで、コンプライアンスと規制リスクを簡素化します。多くの場合、データ・ローカライゼーションはデータコンプライアンスを達成する最も迅速な方法です。このアプローチを採用することで、データが越境する際に生じる多くの問題を回避できる可能性があります。
機密データの保護:機密性の高い個人データと、Webサイトが収集する一般的なユーザー指標には違いがあります。医療データや金融データなどの機密性の高いデータは、法的・倫理的ガイドラインを満たすための適切な保護措置を必要とします。組織は、機密データの管理と保護に特化したポリシーを策定する必要があるかもしれません。また、コンプライアンスを維持するために、この目的のために策定されたポリシーの定期的な見直しと更新の実施を検討すべきでしょう。
クラウドベンダーの精査:クラウドストレージは、スピード、コスト、拡張性など、ローカル・データセンターよりも多くの利点があります。しかし、ユーザーデータを処理する組織は、そのデータが収集される場所に注意する必要があります。クラウド・プロバイダーは理論上、世界中の組織にサービスを提供できます。そのため、組織はベンダーを精査し、地域のコンプライアンスを満たす適切なデータ保管方法が存在することを確認する必要があります。
上記のベストプラクティスに一貫して言える重要なことは、地域の法律や規制の最新情報を常に把握しておくべきであるということです。コンプライアンスは動的かつ継続的なプロセスであり、新しいテクノロジーが次々と登場し、ガイダンスも絶えず進化しています。組織がデータ主権の方針を定めた後も、継続的な検証とコンプライアンスのためには、関連するすべての地域と法域の更新情報を定期的にチェックする必要があります。
世界中の企業がさまざまなデータ主権要件に対応できるよう、オラクルは、Oracle Cloud Infrastructure (OCI) データ主権ソリューションのコレクションを提供しています。この導入モデルは、OCI のフル機能を活用して業界ニーズや政府ニーズに対応できるように設計されています。これらのサービスは、お客様がデータ・レジデンシーの管理、データアクセス管理、コンプライアンス認定の管理ができるよう支援します。さらに、Oracle National Security Regionsは、極めて機密性の高いワークロードのためのセキュアな政府向けネットワークを提供します。また、Oracle EU Sovereign Cloudは、EUのコンプライアンス・ニーズに沿ったパブリック・クラウドサービス、価格設定、およびプログラムを提供します。
データ主権とは何ですか?
データ主権とは、特定の管轄区域のデータ法が、その管轄区域内で保存および生成されたデータに適用されるという概念です。したがって、特定の国にいるユーザーの個人情報は、その国の法律の対象となります。同様に、クラウドプロバイダーが顧客とは異なる管轄区域にデータを保管する場合、複数の規制が適用される可能性があります。多くの場合、これらの規制を解釈し、遵守する責任は、データを取得し、クラウドプロバイダーにサービス料金を支払う組織(例:スマートフォンアプリを提供するテクノロジー企業など)に課されます。
データ主権に関する規制にはどのようなものがありますか?
データ主権の最も有名な例の一つが、EUのGDPRです。2016年に構想され、2018年から施行されているGDPRは、EU市民に適用され、個人情報のプライバシー、データ収集、データ保護、自動化におけるデータの使用に関する規制を課しています。GDPRは、現存するデータ・プライバシー保護法の中で最も影響力のある法律としてよく引用されます。
なぜデータ主権が重要なのでしょうか?
フロッピーディスクの時代には、データを転送する能力に限りがあったため、データ主権はあまり議論されませんでした。しかし、接続性とIoTデバイスの機能が向上するにつれ、あらゆる場所でデータが絶えず生成され、国境を越えて移転するようになりました。データ主権が重要である理由は、企業がユーザーデータ(特に、ソーシャルメディアを通じて収集された個人情報や、銀行アプリを通じて収集された金融データ)を使って何を行うことが許されるかを判断する上で役立つからです。さらに、あらゆるデバイスやWebサイトはハッカーによるプライバシー侵害のリスクにさらされているため、プライバシーとセキュリティに対して誰が責任を負うべきかという疑問も生じます。データ主権イニシアティブは、データを収集、処理、保管する企業に対して明確なガイドライン、制限、責任を定めるのに役立ちます。
米国におけるデータ主権とは?
米国には、国民を対象とした包括的なデータ主権法はありません。連邦取引委員会は、プライバシーポリシーを遵守しない組織を調査・起訴する権限を持っています。州レベルでは、カリフォルニア州のCCPAがEUのGDPRの多くの分野をカバーしています。これは、カリフォルニア州が米国全体の経済、特にハイテク部門に大きく貢献していることを考えると、特に重要です。オレゴン州、コロラド州、バージニア州などの他の州もデータ・プライバシー法を制定しており、近年はさらに多くの州がさまざまな範囲の法案を導入しています。これに関連して、2001年の米国愛国者法の導入により、プライバシーとデータ倫理に関する多くのGDPR以前の質問が提起されました。なお、2018年に策定されたCLOUD法もデータ主権に関連するものです。しかしこの法律は、法執行機関が令状や召喚状を提示した場合のクラウド・サービスプロバイダーのデータに関する責任について焦点が置かれています。