データ主権とデータ・レジデンシー：3つの主な違い

データ主権とデータ・レジデンシーに関する法律と規制は、データ管理における重要な要素です。それらは、特に国境を越えることが多いクラウドにおいて、組織が人のデータをどのように収集、保管、処理、使用する必要があるかを定めています。クラウド・サーバーの物理的な位置は主権を決定し、レジデンシーに関する意思決定の枠組みとなります。データを適切に管理するには、この2つの概念の違いを知ることが重要です。

データ主権とは

データ主権とは、政府がその国境内でデータを規制する権利を指します。ある組織がスペインでデータを収集し、米国でそれを保管および処理する場合、両主権国のデータ法を遵守する必要があります。両国の法律と規制は、企業がデータを管理および使用する方法、特にクレジット カードや 医療データなどの機密情報を管理および使用する方法を定めています。たとえば、米国CLOUD Act（クラウド法）は、保存しているデータに対する法執行機関の要求への対応方法を組織に指示しています。

100カ国以上がデータ・プライバシーとセキュリティに関する法律と規制を定めており、グローバル企業にとってコンプライアンスを困難な課題にしています。さまざまな規制のもとでのデータに対する責任を知ることで、企業は厳しい罰則を回避できる立場に身を置くことができます。たとえば、一般データ保護規則(GDPR)の下では、欧州連合は最高2,000万ユーロまたは違反組織の年間収益の4%のいずれか高い方の制裁金を課す権限を有しています。データ・ストレージ・プロバイダーであるScalityの2022年の調査によると、米国と欧州のIT部門の98%はデータ主権戦略を策定しています。

データ・レジデンシーとは

データ・レジデンシーとは地理的な位置のことで、組織がデータを保存する場所として選択する国や地域を指します。この選択は、多くの場合、現地のプライ バシーおよびセキュリティに関する法律に関連しています。企業がある場所から別の場所にデータを移動することを制限するような厳しい規制は、コマースを阻害したり、企業がその慣行を見直す原因になる可能性があります。マネージド・サービスプロバイダーの中には、各国政府の要件を満たすため、現地にデータセンターを構築している企業もあります。たとえば、ニュージーランドのデータ管理サービスプロバイダーであるTEAM IMは、関連する規制およびデータ主権要件を満たすために、同国初の現地所有および運営のハイパースケールクラウドを構築しています。

データ・レジデンシーはデータ・ローカライゼーションと混同されることがよくありますが、これはその国で作成されたデータはその国で保持される必要があるという異なる概念です。データ・レジデンシーに関する要件として、単にデータのコピーが国内に存在することを要求する国もあれば、ロシアのように自国民のデータを国内のデータセンターに保存することを要求する国もあります。

主なポイント

• データ主権は法的管轄権に対応します。
• データ・レジデンシーは、データが保存されている地理的な場所を反映します。
• どちらのアイデアも、データ・プライバシーとセキュリティの懸念に起因しています。
• AIに代表されるテクノロジーの進化に伴い、一部の組織は、データ・レジデンシー、アクセス、およびセキュリティを管理する現地の法律により簡単に対処するために、ソブリン・クラウドを導入しています。

データ主権とデータ・レジデンシーの違い

データ主権とは、国家がその国境内でデータを規制する権利を確立する概念です。データ・レジデンシーも同様に、データ主権が地理的な場所に根ざしていることを確認する概念です。ただし、これは重要な事実でもあります。クラウド・データベースといえども、ある国、あるいは別の国の地上に存在し、現地政府の法律がデータ管理のあらゆる側面を管理します。

データ主権

データ主権では、国家またはEUのような地域機関が、その管轄内に保存されたデータを規制します。データ主権に関する法律は場所によって大きく異なるため、グローバル組織は収集したデータを保管、確保、使用する際に注意深さが求められます。たとえば、2023年にはバージニア州、カリフォルニア州、コネチカット州、ユタ州、コロラド州で厳格なプライバシー法が可決され、これらの州で運営する企業は現地のデータ収集および使用慣行を確認し、調整することを余儀なくされます。

データ・レジデンシー

データ・レジデンシーは、保存されているデータの場所を認識します。これはデータ管理パズルの重要なピースであり、ビジネスが現地法を遵守するために業務と技術的機能を改善する方法の指針となります。たとえば、データ・レジデンシーに関する要件を理由に、インド準備銀行は一時的にAmerican Express、Diners Club、Mastercardの同国における新規顧客へのカード発行を制限しました。このような法的課題に直面した企業は、国境を越えてデータを移転する際のポリシーの厳格化や、プライバシー法およびセキュリティ法のコンプライアンスを監督する最高データ保護責任者の設置など、データ管理の方法を変更する必要が生じる可能性があります。

データ主権とデータ・レジデンシーの3つの主な違い

データ主権とデータ・レジデンシーという言葉は、時として同じ意味で使用されることがあります。しかし、両者にはデータ・ストレージと規制コンプライアンスに関する意思決定など、組織のデジタル・アクティビティに影響を与える可能性のある大きな違いが3つあります。

1. 範囲データ主権は、データを規制する法的権限です。たとえば、米国では、連邦政府と各州の両方がこの権限を有しています。データ・レジデンシーとは、データが保存される物理的な場所を指し、どの政府が主権を持つかを決定します。マルセイユにあるデータセンターは、両方の管轄区域に存在することから、EUの法律およびフランスの法律が適用されます。
2. 重点事項データ主権の下で、各国はデータのストレージと管理を管理する法律と規制を制定します。たとえば、ブラジルの一般データ保護法では、人種や民族的出身、宗教的信条、政治的意見、組合への加入、健康状態や性生活、遺伝学や生体認証に関連する個人情報を保護しています。データ・レジデンシーでは、組織は現地のデータ法を遵守しなければ罰則の対象となります。2023年、アイルランドとEUの法律に基づいて行動するアイルランドのデータ保護委員会は、米国に個人情報を違法に送信したとして、ハイテク大手Metaに12億ユーロの罰金を課しました。
3. メリット。データ主権により、各国は国境内のデータのプライバシーとセキュリティを保護する権利を有します。以前は、企業は個人情報を、広告に使用するために同意なしに第三者に販売するなど、ほぼ好きなように利用できました。データ・レジデンシーを理解することで、ビジネスはデータ・セキュリティ、アクセス、利用の基準など、データ管理にどの国の法律が適用されるのかを把握できます。これは、データを保存する場所を決定する際の重要な要素であり、各国の法律を遵守するために必要なポリシーとテクノロジーの変更点を示します。

データ主権とデータ・レジデンシー

オラクルによるソブリン・クラウドの導入

主権のためのOracle Cloud Infrastructure（OCI）ソリューションは、組織によるデータの保存場所、アクセス、レジデンシ―、管理を支援します。ソブリン向けOCIは、インテリジェンス、国家安全保障、その他の機関を含むビジネスおよび政府組織が法律や規制に対応し、アクセスおよび運用情報のフローを制限してデータを確保できるよう支援します。ソリューションには、多数のリージョンに設置されたパブリック・クラウド、顧客のデータセンターにクラウドを設置した専用リージョン、EU Sovereign Cloud、さらにセキュリティを高めるためにインターネットに接続されていない分離されたクラウドなどがあります。

データ主権とデータレジデンシーに関するFAQ

データ主権とデータ・レジデンシーの主な違いを教えてください。

データ主権はデータを規制する法的権限に関するものです。データ・レジデンシーは、保存されているデータの地理的位置に関するもので、主権を主張できる国または地域の機関を決定します。

GDPRはデータ主権とレジデンシーに影響を及ぼしますか。

GDPRのもとでは、データが保存されている国とEUの両方がデータを規制する主権の権利を有します。その際、加盟国はプライバシーとセキュリティを保護するGDPRのデータ・レジデンシー・ルールを順守します。

データ・ローカライゼーションとデータ・レジデンシーの違いを教えてください。

データ・レジデンシーは、データが保存される場所、つまり地理的な場所のみに関連します。データ・ローカライゼーションは、政府がデータを国境の外に出してはならないと主張する場合を指します。たとえばブラジルでは、特定の機微データは現地に保管する必要があります。