データローカライゼーションとコンプライアンスをナビゲートする
データ保護規制によりインターネットがどのように変化するか
EU一般データ保護規則GDPRは、プライバシーの世界を大方より優れた環境へと変えました。しかし、欧州の画期的なこの政策はオンライン上の消費者情報保護の基準を定めた一方で、データをローカライズすることでよりプライベートで安全になるという疑わしい考えに基づく規制措置が連鎖することになりました。
GDPR以前も、ローカライゼーション規定�のあるデータ保護法はいくつかの法域では存在していたものの、その多くは国家安全保障を目的としたものでした。しかし、国連貿易開発委員会のデータによると、2018年にGDPRが発効して以来、少なくとも30か国が新しいデータ保護法を導入、または既存のデータ保護法を修正し、その多くが特定の組織への個人データの移転に制限を設けています。
データプライバシーは私が情熱的に取り組む分野であり、これまでになく気にしています。いつでも頭がいっぱいであり、規制当局や企業の両方を含め多くの人がこのことを考えてくれていることは良いことだと思います。しかし、データをローカライズしても、データのプライバシーが守られるわけではありません。実際、時に一貫性と互換性のないデータローカライゼーションルールへの準拠圧力が高まることで、組織が処理するデータのプライバシーの保護が困難になる可能性があります。そして、メタがアイルランド国内で作成されたデータを米国へ転送した際、アイルランドの規制当局から12億ユーロの罰金を科されたのに見られる通り、コストがかかることになります。
データローカライゼーションの問題
GDPRは一般に、プライバシー保護のゴールドスタンダードと見なされています。データ主体の権利を法制化し、多くの国の立法府がこれを模倣し、データ処理の実践を義務付けています。さらに、GDPRは包括的な要件を備えているため、多くの企業が処理する個人データのすべてにもGDPRの基準を適用するというアプローチをとりました。その結果、欧州に住んでいるかどうかにかかわらず、世界中の何十億もの人々の個人データはGDPRが設定するレベルで保護される状況となりました。
しかし、GDPRがおそらく意図せずにもたらした影響の1つに、プライバシーの代替となるものとして地理が出現したことがあります。GDPR以前は、データローカライゼーションの使用例は限定的でした。特定のデータを外国人の手から保護する目的で政府が契約書にローカライゼーションの要件を盛り込んだり、権威主義国家がプライベートなデータへの政府アクセスを許可するよう義務づけたりしていた程度でした。しかし、GDPRにより、国境を越えたデータ移転の規制に向けた取り組みがより緊密になりました。2020年に欧州司法裁判所がSchrems II事件で欧米間のプライバシーシールドを無効とする判決を下した際、多くの規制当局で同裁判所が設定した基準の下ではEUから米国へのデータ移転は認められないという見解が沸き起こりました。最大手のクラウドプロバイダーには米国に拠点を置くものがあるため、この判決は世界中の企業に大きな影響を与えました。
データが生成された場所と同じ場所で保存され、処理されるべきであるとのデータローカライゼーションの背景にある考え方は、シンプルで魅力的なものです。国民のデータが国内のサーバーに留まれば、国はそのデータを安全に保ち、現地の法律に従ってデータが取り扱われるように制御できます。しかし実際には、実際のプライバシーや安全性の確保をより困難なものとする、インターネットのさらなる断片化を生み出します。データローカライゼーションは人工的な地理的サイロを作ることになり、実際には脆弱性を特定して積極的に対処する能力を低下させます。例えば、インドにおけるボットのトレンドに関するデータをインディアナ州のサイバーセキュリティのエキスパートと共有できない場合、インターネットは誰にとってもより危険なものになります。そして、2022年にロシアが侵攻したときにウクライナが判明したとおり、データをローカルに保つことは国の国家安全保障にも危険な影響を与える可能性があります。
大局的には、このような影響が出ます。ローカライゼーションの義務が拡散する中で事業運営を試みる個々の組織にとって、国、地域、地域別の規制が多すぎることは大きな問題となります。パフォーマンスを犠牲にすることなく、すべてのニーズを満たすITインフラストラクチャをつなぎ合わせるのは、大変な作業になるのです。
コンプライアンスとパフォーマンスの実現
セキュリティとデータ保護ソリューションを評価する際に適切な質問を投げかけることで、これは難しい作業では�あるものの不可能なものではなくなります。積極的なコンプライアンス、耐障害性、可視性を優先する製品とベンダーを採用することで、規制遵守義務そして顧客とユーザーの需要に応えられるようになります。
データローカリゼーションの要件を満たした上で、セキュリティツールがユーザーの期待する結果を提供できるか評価する際には、次の3つの重要な質問を問いかけてみてください。
真にグローバルなプレゼンスとマインドセットを持っているか?
多くの国や地域ですでに運用されておりコンプライアンスに準拠している、基盤となるソフトウェアとハードウェアがなければ、ツールはデータの場所をコントロールできません。また、ユーザーがいる各法域におけるデータ保護コンプライアンスの違いを慎重に考えているベンダーを選ぶのがよいでしょう。お客様のデータがどこでどのように処理されているかを把握できるか?
データがどこにあるのかをすぐに可視化でき、転送中および保存中のデータに何が起こるかについて明確に説明できなければ、地域のデータ処理に関する義務を遵守しているとは言えません。ベンダーはプライバシーとセキュリティにコミットしているか?
製品を提供する企業は、標準化組織や政府機関からプライバシーを重視した認定一式を取得している必要があります。また、データが存在する場所のローカルポリシーに関係なく、ユーザーデータを暗号化を維持した記録も持っている必要があります。また、データ主体の居住地の法域のデータ保護法と相反するデータ開示要請を政府が行ってきた場合の対応の経験を持っているべきです。
Cloudflareでは、データ保護についてどこで行っているかよりも、どのように行っているかの方が重要であると考えています。当社は、セキュリティを第一に考え、プライバシーを第一に考えたグローバルクラウドネットワークを構築しました。そして、この取り組みは、ISO 27701とISO 27018の認証、さらにEU-USデータプライバシーフレームワークとEUクラウド行動規範の認証を受けています。
しかし、ローカライゼーションツールを必要とするお客様もいらっしゃるため、当社はデータの状態を一元的に可視化し、データの使用場所を制御できるローカライズされたツールのスイートをお客様に提供し、グローバルネットワークの持つ力を提供できるようにしました。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについ��てお伝えするシリーズの一環です。
著者
Emily Hancock — @emilyhancock、
Cloudflare最高個人情報責任者
記事の要点
この記事では、以下のことがわかるようになります。
地理がデータプライバシーの代替項目となった経緯
データローカライゼーションの欠点
セキュリティツールを評価する際に見落とせない3つの大切な質問