データ主権とは

データ主権とは、データが発生した国や地域の法律や規制に従ってデータを運用するという考え方です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • データ主権の概念を学ぶ
  • データ主権、データレジデンシー、データローカリゼーションを比較する
  • データ主権とデータレジデンシーがプライバシー・コンプライアンス・プログラムに与える影響を理解する

記事のリンクをコピーする

データ主権とは

「データ主権」とは、知的財産、金融データ、個人情報など、特定の国や欧州連合(EU)など特定の地理的場所で収集または保存されたデータはその場所の法律に従って運用するという考え方を指すものです。人々がクレジットカード情報をeコマースWebサイトに入力する場合でも、ソーシャルメディア・プラットフォームにコメントを投稿する場合でも、データ主権ルールはユーザーが国民である国の法的枠組みによってこうしたユーザーデータが規制されることの保証を目的としています。

データ主権という概念は、広範にはデータプライバシー、政府によるデータへのアクセス、セキュリティ、国際的な事業上の競争、人権といった問題としばしば絡み合ってきます。データ主権のパラダイムには、ある法域で生成されたデータを物理的にその法域に留まらせるようにするものもあります。また、ある法域で生成されたデータが別の法域で処理・保管された場合でも、そのデータに保証された元の法域での法的保護が適用されるようにしようとするものもあります。さらに、ある司法管轄区で生成されたデータは、他の場所でも処理・保存されるかどうかにかかわらず、最低限その司法管轄区の法執行機関が引き続き利用できるようにしようとする場合もあります。

ほとんどすべての国が、国民から収集した個人情報に一定の保護を設ける何らかのデータ保護法を定めています。データ主権ルールの事例としては、以下のようなものが挙げられます:

  1. 一般データ保護規則(GDPR)eプライバシー指令
  2. カリフォルニア州消費者プライバシー法(CCPAおよびCPRA)
  3. オーストラリアプライバシー原則(APP)
  4. 個人情報保護法(APPI、日本)

データ主権規制の実例として、EUを含めた世界中の顧客相手に販売するeコマースストアを例に挙げて説明します。EU域内からのお客様のご注文にお応えするため、当店は、氏名、住所、請求情報など、さまざまなユーザーデータを収集し、処理します。

eコマースストアの所在地にかかわらず、EUの顧客のデータにはEU GDPRが適用されます。店舗はデータを収集する前に顧客にその旨明示的に通知し、取引に関連する個人情報(この場合は注文処理に関連する情報)のみを収集しなければなら制約が発生します。マーケティングメールの送信など、その他の理由で追加の個人情報を収集・利用する場合、顧客から同意を得る必要があります(同意はいつでも取り消せます)。

また、GDPRの下では、顧客は収集したデータへのアクセスやデータの修正・削除を要求することができる(「データ主体要求」)ため、eコマースストアもそのようなデータ主体要求を受け入れ、対応するシステムを構築しなければなりません。

データ主権とデータのローカライゼーションがプライバシー・コンプライアンス・プログラムに与える影響

データ主権とデータローカリゼーションは、密接に関連した概念です。前述したように、データ主権とはデータが処理される国や地域の法律によってデータが規制されるという考え方となっています。一方、データのローカライゼーションとは、データをその国や地域の物理的な境界内に保存することになります。銀行口座や医療の情報など、機密性の高い情報を他地域に転送したり他地域で処理したりすると組織がコンプライアンス違反のリスクにさらされる可能性があるため、各地域の規制に準拠することの徹底を意図する場合に多く用いられる概念です。

前述のeコマース・ビジネスに話を戻すと、個人データを処理する時点から、収集される消費者データに適用されるさまざまな法的枠組みを遵守する必要が発生します。最も高い保護基準での規制をすべての顧客データに適用したい場合を除き、eコマース事業者は個人データに適用されるデータ保護要件が適切なものとなるよう、データをマッピングする必要が出てきます。

さらに、データ主権に関するルールは、データの処理場所・保存場所を決めるにあたり大きく’影響する可能性があります。こうした法律のいくつかは、国境を越えたデータ転送にも影響します。データがどこで処理されるかに関係なく、個人情報の法的保護はそのデータそのものに適用されるためです。

eコマース事業の場合、EU域在住者のデータをEU域外のデータセンターに移転するためには、GDPRが承認した法的メカニズムのどれを用いてデータを移転するかを検討する必要があります。事業者の所在地によっては、EU域外でEUの個人データの処理のために特別な契約条項を設けたり、EU-USデータ・プライバシー・フレームワークなど適切な枠組みを認証したりする必要が発生する可能性もあります。

事業者が処理する個人データに付随するデータ主権やローカライゼーション要件の種類も、クラウドベースのストレージ・ソリューションの運用に関し組織の判断時に検討しなければならない可能性があります。クラウドストレージは柔軟性と拡張性を高め、多くはデータのローカライズソリューションも提供できる存在です。しかし、ローカライゼーションの要件が厳しい保守的な法域の要件を満たすには、クラウドベースのソリューションに加え、あるいはクラウドベースのソリューションの代わりとして、オンプレミスのストレージを求める必要が出てきます。

Cloudflareによる企業のデータ主権とローカライゼーションの確保の支援

Cloudflareは、こうした顧客およびエンドユーザーの保護施策が法制化されるはるか以前からデータ保護に取り組んできており、また特定の法律を遵守していると喧伝するだけでなく、遵守していることの証明も重要だと考えています。

CloudflareはISO/IEC 27701:2019(EUのGDPR相当)認定を受けており、ISO 27001/27002、Payment Card Industry Data Security Standards(PCI DSS)、SSAE 18 SOC 2 Type IIに準拠しています。Cloudflareはまた、EU-米国データ・プライバシー・フレームワーク、スイス-米国データ・プライバシー・フレームワーク、およびEUデータ・プライバシー・フレームワークの英国拡張版の認定も受けています。さらに、CloudflareはEUクラウド行動規範の認証も取得しています。これらの検証および当社が保有するその他の検証は、Cloudflareを通じて最もセンシティブなデータを転送する組織に保証を提供し、企業が自らのコンプライアンス義務を満たし、維持することを支援します。

Cloudflareははるか以前から、一般的なデータ主権規制に沿った信条に従って行動してきました:

  • Cloudflareは、当社のサービスを提供するため、そしてお客様により良い製品をお届けするためだけに、必要な個人情報を収集しています。
  • Cloudflareは、インターネットプロパティに渡り顧客のエンドユーザーを追跡することはありません。また、広告を販売するために顧客のエンドユーザーをプロファイリングすることもありません。
  • Cloudflareは、顧客が自身の個人情報にアクセス、訂正、または削除できるようにしています。
  • Cloudflareでは、例えばコンテンツ・デリバリー・ネットワーク(CDN)でキャッシュされるデータ、Workers Key Value Storeに保存されるデータ、Web アプリケーション・ファイアウォール(WAF)で取得されるデータなど各種サービスによって処理される情報について、顧客にそのコントロール権限を持っていただいています。

さらに、Cloudflareは適用可能なあらゆるデータローカリゼーション要件への対応も支援できます。当社のデータローカリゼーション・スイートは、企業がインターネットのエッジでルールとコントロールを設定し、データをローカルに保存して保護することを容易にしています。

コネクティビティクラウドに組み込まれたセキュリティ、プライバシー、コンプライアンス機能について、リンクより詳細をご覧ください。