データ主権とは?

データ主権とは、データがその物理的な場所の法律および規制の対象となることを指します。つまり、組織の物理的な場所に関係なく、データが保存、処理、または送信されることがあります。

国、州、地域、または管轄区域内で保存、処理、および転送されるすべてのデータは、データ使用およびプライバシー保護に関する関連法および規制に拘束されます。データ主権法は、個人、組織、および政府を保護および管理するために制定されています。データ保護規制には、個人の健康データの取り扱いに関する規則、公共部門情報のデータセキュリティ層、および外国企業向けのローカルデータストレージの確立に関する規則が含まれます。

データレジデンシーとは、データが物理的に配置されている場所です。データ主権とは、ある場所の法律が、その場所に物理的に存在するデータにどのように適用されるかを指します。世界中のどこにでもデータを保存できるクラウドコンピューティングとクラウドサービスでは、データ主権とデータレジデンシーの両方が特に重要です。 

すべてのクラウドストレージ、インスタンス、およびサービスは、特定の地理的場所に接続された物理マシン上で実行されます。このような規制環境が異なるため、組織はクラウドインスタンスの配置場所とクラウドサービスの実行場所を慎重に検討する必要があります。これらのストレージとインスタンスのデータ主権は非常に重要な決定です。

データ主権は通常、組織のサイバーセキュリティおよび法務プログラムのガバナンス、リスク、コンプライアンス機能に該当します。

AWS Digital Sovereignty Pledge は、AWS のお客様に、クラウドで利用できる極めて高度な一連の主権コントロールと機能を提供することに対する当社のコミットメントです。当社では、データローカライゼーションのワークロードを実行する方法と場所をお客様が柔軟に選択できるようにしています。

AWS Digital Sovereignty Pledge では、変化し続けるデジタル主権要件にお客様が対応できるよう支援するために AWS が投資している 4 つの主要分野について概説しています。

データの保存場所の管理

組織は、データの保存場所をいつでも選択できなければなりません。AWS は常に、北米、南米、ヨーロッパ、中東、アフリカ、アジア太平洋、オーストラリア、ニュージーランドの AWS リージョンとアベイラビリティーゾーンを使用して、お客様にデータの保存場所を選択できるようにしてきました。

ある AWS リージョンがデータレジデンシーのニーズを満たすのに十分近くない場合、AWS は、地理的な境界内で一貫したクラウドエクスペリエンスを提供するさまざまな分散インフラストラクチャサービスを提供します。AWS リージョン、AWS ローカルゾーン、AWS 専有ローカルゾーン、AWS Outposts、AWS Wavelength を使用すると、必要な場所でワークロードを実行できます。

データアクセスの制御

組織は、不正なデータアクセスを防ぐための保護対策を講じる必要があります。たとえば、AWS Nitro System は制限を適用して、AWS のユーザーを含め、誰も EC2 上のお客様のワークロードにアクセスできないように設計されています。最高レベルのデータ保護を実現するには、データタイプに応じてアクセス権限と制限を設定する必要があります。

データ暗号化機能

組織は、転送中、保管中、およびメモリ内のデータを暗号化できなければなりません。組織データはデフォルトで暗号化を使用し、必要に応じてより強力な暗号化オプションも使用する必要があります。すべての AWS サービスはすでに暗号化をサポートしており、そのほとんどが AWS がアクセスできない顧客管理キーによる暗号化もサポートしています。

クラウドの回復力

組織は、データ損失のリスクなしにデジタル主権を獲得できなければなりません。データの管理と高可用性はデータ主権にとって重要な考慮事項であり、組織はデータ損失のリスクを積極的に軽減する必要があります。これにより、予期しない事態が発生した場合でも業務を継続できます。AWS は現在、クラウドプロバイダーの中で最高のネットワーク可用性を提供しています。各 AWS リージョンは、完全に分離されたインフラストラクチャパーティションである複数のアベイラビリティーゾーン (AZ) で構成されています。より効果的に問題を隔離して、高可用性を実現するために、アプリケーションを同じ AWS リージョンにある複数の AZ で分離できます。

コンプライアンスを維持するには、データ主権要件を理解して組み込むことが不可欠です。データ主権への対応を進める際の主な留意点を次に示します。

データローカリゼーションコンプライアンスの計画

法律の遵守は、組織の運営を管理する規制を理解することから始まります。これらのデータに関する法律や規制には、事業活動の地理的領域、保存および処理するデータの種類 (健康、財務など)、顧客、従業員自身のデータ、およびデータ収集ログの保存期間などが含まれます。

関連する規制機関や法執行機関と調査して連絡を取り、コンプライアンスに準拠したシステムを構築していることを確認し、コンプライアンス違反が報告された場合のプロセスを把握しておいてください。

すべての企業がデータ主権の専門家を常駐させているわけではありません。コンプライアンスコンサルタントと提携することは、変化する規制に常に遅れずについていく上で有益です。 

きめ細かなアクセス制御を実装

1 人のユーザーがデータを別の物理的な場所にコピーすると、データレジデンシーが損なわれる可能性があります。このような状況を防ぐには、まず基本となるベストプラクティスの ID およびアクセス管理から始めて、権限のある管理者には厳格な特権アクセス制御を実装してください。 

AWS Control Tower を使用すると、ストレージロケーションの自動化と監視、データの暗号化、データレジデンシーガードレールの適用が可能になります。AWS Control Tower コントロールライブラリには、デジタル主権コントロールのグループが含まれています。これらの制御により、データ主権構成の適用、アクションの防止、リソース変更の検出、きめ細かなアクセス制限の適用、デフォルト暗号化の有効化、および回復機能の提供が可能になります。

ミッションクリティカルなシステムのレジリエンスを構築

災害時の事業継続は、信頼性の高いバックアップとフェイルオーバーシステムにかかっています。データ主権規制に準拠するには、これらのシステムが同じ地域内に存在し、通常の業務と同じデータ主権を維持する必要があります。

ミッションクリティカルなシステムのレジリエンスを構築するには、データを複数のアベイラビリティーゾーンに分散させて、データのローカリゼーションを強化する必要があります。

オンプレミスまたはリモートユースケースでワークロードを実行しているお客様には、ネットワーク障害時やリモートコンピューティングとストレージの継続的サポートのための特定の機能を提供する AWS サービスを使用できます。これらのサービスには、AWS Outposts と Amazon EKS Anywhere が含まれます。

透明性と保証を提供するクラウドパートナーを検索

データの保存場所を選ぶことは大きな決断であるだけでなく、組織は、クラウドサービスプロバイダーのシステムが管轄区域のデータ主権規則に完全に準拠していることを信頼できなければなりません。コンプライアンスの専門家を招き、プロバイダーのコンプライアンスチームとチャットして保証を受けてください。

AWS は常に、データ主権よりもお客様の選択を優先し、データの場所と移動を完全に制御できるようにしてきました。AWS のデジタル主権に対応した設計アプローチは、初日から、世界で最もデータセキュリティとプライバシーを重視する組織の 1 つであるお客様からの信頼を得てきました。

コンプライアンスに準拠したデータアーキテクチャを維持するには、現在のデータランドスケープを最新の状態に保つことが不可欠です。次の実装を検討してください。

機密データを分類して保護

機密データを保護するには、タグ付け、ID とアクセス管理、暗号化、分離、および保管中、転送中、処理中の機密データに関するルールなどの組み込み制御が必要です。 

適用法に従ってデータレジデンシーを選択

事業運営、顧客、データタイプに関する調査に基づいて、ニーズに最適なデータロケーションを選択してください。ビジネスの変化に伴い、データ保管場所のニーズも変化し、データ主権が影響を受ける可能性があります。

信頼できるクラウドプロバイダーを選択

パブリッククラウドプロバイダーを厳密に審査することで、データ主権の保証に対する信頼を得ることができます。選択したデータロケーションで実績のあるプロバイダーを選択してください。 

コンプライアンス義務を最新の状態に保つ

データに関する法律や規制は常に変化しています。最新の規制を常に把握し、新しい要件を予測し、報告義務を果たす必要があります。組織内の代理人、または法律の変更に関する最新情報を把握する責任を負うパートナー企業を選択してください。義務に沿った内部データ保護ポリシーを作成してください。

データの保管、処理、取り扱いに関する法律や規制は、世界中のさまざまな地理的場所によって大きく異なります。管轄区域が重複している場合があり、データの保管と取り扱いに関するデータ規制がさらに厳しくなることがあります。たとえば、スペイン、フランス、その他の EU 諸国にはデータ主権を規定する国内法がありますが、EU 法も遵守する必要があります。医療や金融などの規制の厳しい業界でも、規制が異なります。一部の国では、先住民の権利に関する先住民データ主権法が制定されています。 

域外事業を行うと、データガバナンス要件に影響が出る可能性があります。たとえば、オーストラリアの企業は EU 市民のデータを扱う際に GDPR を遵守しなければなりません。 

複数のグローバルに登録された事業体を持つ組織にとって、データ主権とさまざまな域外規制の遵守は非常に複雑になります。

すべての組織は、規模の大小を問わず、データ主権を慎重に検討して、データ管理における法的義務を確実に遵守する必要があります。国境を越えた事業活動、多国籍企業、規制の厳しい業界で活動する組織では、データ主権に関する考慮事項がますます高まっています。データの保存を管理する方法、データを転送する方法、およびデータを処理する方法を検討してください。

データ主権を十分に理解しているクラウドプロバイダーを選ぶことが重要です。クラウドプロバイダーは、地域の要件に従って顧客に組み込みのデータ保護を提供し、幅広いデータガバナンス、デジタル ID、アクセス管理、データセキュリティ、プライバシー管理を提供する必要があります。

この重要なセキュリティ、アイデンティティ、コンプライアンス分野における詳細情報、ケーススタディ、最新の製品アップデートについては、AWS のデジタル主権をご覧ください。