データ主権法は、IT、プライバシー、コンプライアンス、セキュリティのリーダーの間で最大の関心事になっています。100か国以上が国民の個人情報のプライバシー保護を目的とした法律を制定しています。これは歓迎すべきことではありますが、グローバル企業にとってはそれらの法律の遵守が深刻な問題になり得ます。
「データ主権」という用語の意味はさまざまに変遷してきました。一般的にはグループや個人が自分自身のデータを管理・保持する権利を指しますが、近年は特に「特定の地理的場所(特定の国など)で収集または保存されたデータは、その場所の法律に準拠すべきである」という考え方を指す用語として使われています。eコマースWebサイトに入力するクレジットカード情報であれ、ソーシャルメディアへの投稿コメントであれ、ユーザーのデータを、その人が国民である国の政府の規制下に置くのがデータ主権法です。
また、多くの司法管轄区では、その司法管轄区内で生成されたデータを他国に移転する際の条件を規定するデータ保護法を制定しています。例えば、EUの一般データ保護規則(GDPR)は、一定の移転メカニズム(新しいEU-米国データプライバシーフレームワークのような)が導入されている場合に限り、他の管轄区域への国境を越えたデータ移転を認めています。一方、ロシアなど、特定状況下においては国内で生成されたデータを国内に留めるよう義務付けるデータローカライゼーション法を制定している管轄区域もあります。
データ主権法やデータローカライゼーション法の制定の気運は、ここ10年でグローバル企業がますます多くの個人データを収集するにつれ、著しく高まっています。各国政府は、自国民のデータが外国政府にアクセスされることに懸念を強めています。データを保護しようとする政府は、自国民の情報に敵対勢力が(時には同盟国であっても)アクセスしたりコントロールしたりすることを望みません。
データ主権、データローカライゼーション、データプライバシーを一般国民が意識するようになったのは、TikTokアプリの問題がきっかけです。米国の議員は、米国の数百万人のTikTokユーザーから集められたデータに、米国政府が知らないうちに中国政府がアクセスしている可能性を懸念しています。TikTokの親会社ByteDance Ltd.が中国を本拠とし、中国の法律がデータの提出を企業に義務付ける可能性があ るためです。一部の議員がこのアプリを禁止すると脅したため、ByteDanceは米国の顧客データを米国内に保存することを約束しなければなりませんでした。
貴社は、世界で10億人以上のユーザーを抱えるTikTokのような規模ではないかもしれません。それでも、データ主権法やデータのローカライゼーションを推進する動きは、貴社のビジネスに大きな影響を及ぼす可能性があります。
データ主権は、グローバルにビジネスを展開しようとする企業にとって深刻な問題です。貴社がフランスに本社を置き、カナダとアルゼンチンでも製品を販売することにした場合、法的義務、業界のガイドライン、または認証基準により、カナダとアルゼンチンの顧客データをそれぞれの国で保管する方法を見つける必要があるかもしれません。
事業を拡大すればするほど、より多くのデータ主権要件が出てくる可能性が高くなります。特定の司法管轄区でデータを処理・保管する方法を見つけなければならないかもしれません。さもなくば、データの越境移転を可能にするのに多額の取引コストをかけることになりかねません。
これらは、小規模企業にとっては特に解決が難しい問題です。例えば、スタートアップ企業は、ビジネスを展開したい国ごとに顧客データを保管するリソースを持っていないかもしれません。データのローカライズが必要で、世界各国にデータストアを立ち 上げる余裕がない場合、スタートアップ企業のリーダーはグローバル展開について難しい決断を迫られるかもしれません。
グローバル企業は、データ移転とローカライゼーションの要件を満たす方法を考えるだけでなく、データ主権とデータローカライゼーションがデータ主導の意思決定にもたらす問題を理解する必要があります。ビジネス上の重要な意思決定を行うために、集約されたデータを分析したいと思うかもしれません。しかし、データが複数の国に分散している場合、データを一元化して包括的な分析を行うことは、おそらく容易ではないでしょう。
私は以前、グローバルな大企業のCISOを務めていた時にこの困難を体験しました。私たちは数十か国でビジネスを展開していましたが、その多くでデータを国内に留め、コンプライアンスを維持する必要がありました。一方で、不正行為やマネーロンダリングに関する決断を下さなければならず、そのためにはデータの集約表示が必要だったのです。
そこで、データ主権法を遵守しながらデータ集約を可能にするために、データアクセスに関するルールを策定し、データの保存とアクセスに関するルールが遵守されるよう制御環境を作りました。私たちはこの措置を「データビザ」ガバナンスプログラムと名付けました。セキュリティ、アクセス、データの厳重制御一式を構築し、365日24時間監視して漏洩を防ぐ体制を考案したのです。これは、政府内の機密ネットワークやハイサイドネットワークに近いもので、データが外部に漏れないよう厳重に保護されたネットワークでした。私たちはプログラムを各国の規制当局に提出し、この措置が私たちの事業継続に不可欠であることを説明して、このデータ管理措置の実施に必要な政府承認を得ました。しかし、ほとんどの中小企業は、政府に対してそのような影響力を持ちませんし、革新的なデータガバナンスプログラムを社内で開発する能力もありません。
グローバル企業は、どうすれば複数国に自社のデータセンターを立ち上げることなくデータ主権やデータローカライゼーションの要件を遵守できるのでしょうか?クラウドが明白な答えのように思えるかもしれません。しかし、典型的なパブリッククラウドプロバイダー以外にも目を向ける必要があるでしょう。これらの企業は元来、データを集中保存するモデルを使っていました。確かに、多くのクラウドプロバイダーは世界中に複数の地域データセンターを持っていますが、貴社がビジネスを展開するすべての場所に拠点があるとは限りません。
データ主権とデータローカリゼーションの要件を満たすには、顧客のいるあらゆる場所でデータの保存と処理を可能にするテクノロジー企業との協力が鍵となります。また、制御環境をデータ主権関連の法的義務に確実に対応させるには、データの保存、データの復号化、暗号化キーの保 存、データ検査の実施、ログの管理の場所を柔軟に選べることも必要です。
法的義務をどう考えるかにもよりますが、特定の司法管轄区にデータを保存する必要があっても、その管轄区外での分析のためにデータを集約できるかもしれません。同時に、第三の司法管轄区では決してデータにアクセスできないようにする法的義務を負う場合もあります。このような複雑な法的義務を考慮すると、そのデータに対するアクセス制御の設定方法についても考えておきたいものです。
データ主権やデータローカライゼーションに関する法律を遵守するには、アプリの構築方法や稼働場所の見直しも必要になるかもしれません。例えば、サーバーレスアプリを構築して特定地域で稼働すれば、アプリが使用するデータをあるべき場所に留めることができます。このようなアプローチを取れば、ユーザーに物理的に近い場所でアプリが動作するため、ユーザーエクスペリエンスも向上させることができます。
また、すべてのデータストアに一貫したセキュリティポリシーを確立することも重要です。一貫性を保つことによって、グローバルネットワークに弱点を作らず、複数のツールで多数の異なる環境を管理する複雑さを回避できます。
まだデータ主権について考えていないのであれば、そろそろ計画を立て始める時期です。近い将来、特定の地理的境界線内でデータを保存・処理することを義務付ける法律がますます増え、対応を迫られるでしょう。事業のグローバル化を進める企業なら、既にいくつか設けられたデータ主権やデータローカライゼーションの要件の壁にぶつかるかもしれません。
ただ、データ主権とデータローカライゼーションの要件を遵守することが、必ずしも新たなデータセンターの創設や事業拡大計画の縮小を意味するわけではありません。適切な戦略をとれば、過剰なコスト増大や複雑化を招くことなく、事業展開する各国でデータを安全に保管・処理しつつ、分析や意思決定のためにそのデータに一元的にアクセスできるようになります。
企業のデータ主権とデータローカリゼーションの規制準拠に、CloudflareのData Localization Suiteがどう役立つかをご覧ください。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
Grant Bourzikas — @grantbourzikas
最高セキュリティ責任者、Cloudflare
この記事では、以下のことがわかるようになります。
データ主権がグローバル企業にもたらす問題
事業展開を制限することなく法令を遵守する方法
データ主権尊重を合理化するテクノロジーパートナーの要件
関連リソース: