
動画
Snowflake Horizon Demo for Data Governors And Stewards
データガバナーとデータスチュワードを対象としたこちらのデモでは、機密データの分類とタグ付け、リネージの可視化、データ品質のモニタリング、きめ細かなポリシーの適用など、Snowflake Horizonの強みとなるコア機能について学習、体験できます。
データ主権とは何か、その仕組み、データレジデンシーやデータローカリゼーションなどの関連概念との違いについて解説します。データ主権が重要である理由、組織がデータ主権に関する規制を遵守するにあたって直面する主な課題、クラウドで運用する際のデータ主権管理のためのベストプラクティスについて把握していただけます。
今日のビジネスデータは、クラウドによって世界中を急速に移動しています。そのため、誰がそのデータを管理するのか、どの国の法律が適用されるのかを知ることが、かつてないほど重要になっています。グローバル組織は、欧州連合(EU)の厳格な一般データ保護規則(GDPR)の要件からカリフォルニア州消費者プライバシー法(CCPA)などのデータプライバシー法に至るまで、地域ごとに異なるデータ保護規制の複雑な迷路を乗り切る必要があります。
クラウドで運用している組織、顧客情報の収集と処理を行っている組織、海外で事業を展開している組織にとって、データ主権は極めて重要なビジネス上の考慮事項となっています。高額な罰金や処罰を回避し、顧客の信頼を維持し、事業継続性を確保するためには、データ主権を理解することが不可欠です。
データ主権とは、デジタル情報は収集または保存される国や地域の法律とガバナンス体系に従う、という原則のことです。すなわち、たとえデータを所有する組織が別の場所にある場合であっても、データは物理的に保存されている場所の法的枠組みによって管理されるのです。
データ主権の概念は、データ保護と規制コンプライアンスについての組織の考え方において重要な意味を持ちます。組織は、特定の地理的な場所にデータを保存する場合、その国や地域のデータに関する法規制に従う必要があります。データ主権の要件は、主に、データプライバシーとデータセキュリティに関する現地の法律(機密データの侵害からの保護、誰がどのデータにアクセスできるのかについての制御など)に関するものです。
データ主権とは、データの収集、保存、処理が行われる国や地域の法律によってデータが管理されるようにする仕組みのことです。通常、データの保存場所と、その法域におけるデータの管理方法を決定する法律との間には、法的な関連性があります。
重複する規制は複雑な義務を発生させ得るため、データ主権の要件に準拠するには、組織はデータの保存場所や国境を越えるデータの流れを慎重に文書化する必要があります。
データ主権のコンプライアンスの範囲には通常、ローカルデータセンターへのデータの保存、機密データへのレジデンシー要件やローカリゼーション要件の適用、データの保管場所とアクセス権限を制限するように設計された主権クラウドソリューションの使用が含まれます。
これら3つの概念は関連していますが、互いに置き換え可能なものではありません。それぞれの法律上および運用上の意味合いを以下で説明します。
データ主権とは、データは所在する国や地域の法規制に従う、という概念です。データ主権は、データを特定の1つの場所に留めなければならないことを意味するものではありません。しかし、組織はデータが物理的に存在する各法域の法律に従う必要があります。
データレジデンシーは、組織がデータを物理的にどこに保存するかについての、主として自発的なビジネス上の意思決定です。組織は、コンプライアンスの簡素化やパフォーマンス面の考慮事項など、さまざまな理由から特定の地域にデータを保存することを選択する場合があります。組織がデータの保存場所としてどこを選定した場合であっても、データはその地域の適用法に従います。
データローカリゼーションは、データレジデンシーと同じ意味でよく使用される概念ですが、重要な違いがあります。データローカリゼーションとは、特定の政府が、自国の法律や規制への準拠を確実なものとするために、自国の国境内で収集されたデータを国内に留めるよう求めることを指します。データレジデンシーとは異なり、データローカリゼーションは組織にとって任意事項ではなく、遵守すべき必須事項です。厳格なデータローカリゼーション法を策定している国には、ロシア、中国、インドなどがあります。
データ主権の重要性は、多くの現代の組織の全体的な成長戦略に不可欠となっているクラウドコンピューティング環境の成長と密接に関係しています。クラウド環境は、エンタープライズアプリケーションのクラウド移行の増加に伴い、今や重要なビジネスインフラストラクチャとなりました。
クラウドコンピューティングの登場により、組織におけるデータの保存および管理方法は過去20年で大きく変化しました。データはもはや、ローカルドライブやオンプレミスのサーバーだけに保存されるものではなくなりました。また、さまざまなクラウド環境へのデータの幅広い分散を背景に、組織には、セキュリティとコンプライアンスを慎重に管理し、データ侵害やデータプライバシー違反のリスクを軽減することが求められています。
データ主権の概念は、EUのGDPRなどのさまざまなデータ保護法や規制フレームワークの確立とともに台頭してきました。該当する法律を遵守できない場合、組織は厳しい金銭的罰則を含む深刻な法的問題に直面する可能性があります。たとえば、GDPRに基づく罰金は、組織の世界全体における収益の一定割合に相当する額となる場合もあり得ます。
機密データへのアクセスの制御は、誰がどのデータにアクセスできるのかというデータ主権の重要な要素であるため、深刻なデータ侵害によって生じ得る評判の失墜や顧客の信頼低下から組織を守るうえで、重要な役割を果たします。さらに、事業継続性も考慮しなくてはなりません。データ主権戦略では、組織のデータの保管場所と準拠すべき規制を慎重に検討し、緊急時のデータへのアクセスやデータの復旧を容易にする必要があります。
データ主権は、組織に以下のような多くの課題をもたらします。
組織がある国または地域でデータを生成し、別の場所で保存または処理する場合、両方の法域の法的要件に確実に従う必要があります。これはグローバルに事業を展開し、遵守すべき数十もの異なる法的枠組みに直面する可能性がある企業にとって、より大きな課題となります。こうした複雑な状況すべてに対応するには、法的な専門知識と慎重な監視が必要です。
データローカリゼーションの要件を満たすための取り組みにより、インフラストラクチャ、コンプライアンス、法的コストなど、多大なコストが組織にもたらされる可能性があります。さらに、要件を満たすことによって生じる運用の非効率性は、さらなる金銭的負担につながりかねません。特に小規模な組織では、こうした財務面での対応が難しい場合があります。
データの取り扱い方法に関する既存の法律や規制は急速に変化する可能性があります。また、世界中の新たな法域において、独自の規制フレームワークが徐々に導入されることが見込まれます。この急速に変化する法環境は、組織にとって大きな課題となる可能性があります。組織は、事業を展開するすべての国における法規制の変更を継続的に監視しなくてはならないためです。
データ主権の要件は、グローバルな組織のビジネス遂行を困難にする可能性があります。具体的には、データセットの断片化によって包括的なデータ分析が妨げられ、データの地域的な制限によってグローバルな製品開発に影響が生じることも考えられます。組織は、業務効率とデータ主権に関するコンプライアンスとの妥協点を見出す必要があります。
データ主権は複雑であり、組織によってさまざまなアプローチがあり得ますが、以下のベストプラクティスは最も一般的な課題に対応するものです。
定期的なデータ監査により、収集したデータ、データの保存場所、データの移動方法、データのアクセス権限を把握しやすくなります。データが存在するすべての物理的な場所を対象に棚卸しを行うことで、準拠すべき地域の法律や規制を特定できます。監査対象に、本番データ、バックアップ、開発環境、サードパーティが保持するデータが含まれていることを必ず確認するようにします。
組織において、必要な地理的境界内でデータを保持できるよう、地域ごとのホスティング機能が確立されており、データの保存場所に関する契約上の保証も提供しているクラウドプロバイダーを選択します。プロバイダーを評価する際は、サービス契約にデータレジデンシーに関する明確なコミットメントが明記されていることを確認します。
データ暗号化により、誰がいつデータにアクセスできるのかを組織が制御できるようになります。暗号化によってデータ主権の義務が排除されるわけではありませんが、データが意図せず国境を越えた場合の保護が強化されます。保存データと転送データの両方を暗号化し、すべての暗号化キーの制御を維持するようにしてください。
組織が事業を展開するすべての法域における規制の変更を注意深く監視し、変更内容が事業運営にどのような影響を与える可能性があるのかを定期的に評価することが重要です。これを実行するための最も包括的な方法は各地域の法律顧問との連携ですが、法律に関する最新情報源への登録や業界団体への参加も検討対象となります。
データ主権に関する考慮事項は後回しにせず、最初から業務に組み込んでおかなくてはなりません。製品の開発方法、参入する市場、提携するベンダーの選定にあたっては、データ主権に関する考慮事項を踏まえることが必要です。データ主権に関する意思決定を担当する従業員の役割と責任を明確に定義したデータガバナンスの枠組みを構築します。
組織が事業を展開する法域ごとに法律顧問との関係を構築し、さらに、グローバルなデータ保護法についての幅広い知識を持つ法律の専門家と連携します。そうした専門家は、グローバル組織が国際的なデータ主権要件という複雑なネットワークに対応するための実務的な支援経験を有しており、現地政府による執行手続きが発生した際にも組織を代表して対応できます。
データ侵害やその他のコンプライアンス違反が発生した場合に従業員が従うべきインシデント対応計画を策定します。計画には、各地域のデータ侵害の定義、しかるべき現地対応チームの連絡先情報、明確なエスカレーション手順を必ず記載します。また、規制当局や主要なステークホルダー向けの事前承認された通知テンプレートを、関連するすべての言語で用意します。インシデント対応訓練を定期的に実施して、実際のインシデントが発生する前に不足部分や弱点を特定しておくことが必要です。
多くの組織がクラウドインフラストラクチャを活用し、あるリージョンでデータを保存し、別のリージョンで処理し、さらにパフォーマンス向上のために複数の拠点へデータを複製していますが、これらすべてがデータ主権への対応をより困難なものにしています。
こうした懸念に対処するために、現在、大手クラウドプロバイダーはさらに高度なソリューションを提供するようになっています。たとえばAWSは、リージョン固有の展開オプションと、データは特定のリージョン内に留まるという契約上のコミットメントを提供しています。また、Microsoft AzureとOracle Cloudも顧客に同様のリージョン保証を提供しており、「主権クラウド」ソリューションを開発しています。さらに、これらのプロバイダーはコンプライアンス認証を維持し、定期的に監査を実施しています。
しかし、組織はコンプライアンスの責任をクラウドプロバイダーだけに委ねることはできません。クラウドプロバイダーとの契約は、データ主権に具体的に対処し、データの場所に関する明確なコミットメントが含まれるものでなくてはなりませんが、組織自身が自らの具体的な責任を認識し、データの保存場所と管理方法を常に監督することが必須です。
今日においては、データ主権に関するコンプライアンスはもはや任意事項ではなく、組織にとって無視するわけにはいかないビジネスクリティカルな要件となっています。今後、コンプライアンスをめぐるグローバル環境は複雑化の一途をたどり、プロアクティブに適応する組織こそがコンプライアンスを維持してユーザーやパートナーとの信頼を構築できます。そしてデータ主権への対応を後回しにする組織は、多額の金銭的罰則、評判の毀損、規制監視の強化、その他の競争上の不利益に直面することになります。
データ主権の領域は常に変化し、複雑さを増しています。常に先を行くためには、規制の変更や進化するクラウドソリューションを継続的に注視する必要があります。また、必要に応じて慣行の調整と適合を行い、コンプライアンスの確保に必要な専門知識に投資することが必要です。
データ主権の要件では多くの場合、セキュリティ調査とフォレンジックについて、特定の法域内で管理することが規定されています。また、一部のデータ主権関連法では、組織によるセキュリティモニタリングデータの保存場所を制限している場合もあります。これらすべてが、グローバル企業のセキュリティ運用をさらに複雑化させる要因となる可能性があります。
組織がデータ主権ルールに準拠するには、事業の展開先の適切な地域に拠点を構えるクラウドプロバイダーを選択し、準拠していない場所にデータが複製されないようにクラウドインフラストラクチャを構成する必要があります。また、クラウドプロバイダーとの契約に、データの場所や行政によるアクセスなどの問題についての明示的な文言を含めることも必要です。
米国には、EUのGDPRのような包括的なデータ主権法はありませんが、多くのデータプライバシー法があります。中には、カリフォルニア州消費者プライバシー法(CCPA)やコロラド州プライバシー法(CPA)など、州レベルのものも存在します。また、ヘルスケア業界向けの医療保険の相互運用性と説明責任に関する法律(HIPAA)や金融サービス業界向けのグラムリーチブライリー法(GLBA)など、特定の業界に特化したものもあります。米国には厳格なデータローカリゼーション要件はありませんが、米国人が所有するデータについては、そのデータが米国外に保存されている場合であっても、米国の特定の法律が適用されることがあります。
主権クラウドは、特定の国や地域の厳格なデータレジデンシーとデータ主権要件を満たすように設計された展開モデルです。データの保存場所とデータにアクセスできるユーザーについて、強力な契約上の保証を提供することで、グローバル組織の複数の法域にまたがるコンプライアンスの複雑さを簡素化します。