データ主権とは？

データ主権とは、データが収集または保管される国や管轄区域の法律および統治構造に従うという原則です。これは、組織がデータを主にどこに保管しているかに関わらず、政府が自国の国境内に物理的に存在するデータに対して法的権限を行使する能力に影響を与える可能性があります。

これは重要です。なぜなら、データを管理する一連の規則は、会社の所在地に依存せず、データがどこに保存されているかによって決定されるからです。例えば、米国の企業がフランクフルトに拠点を置くサーバーに顧客記録を保管している場合、その記録には米国法だけでなくEU法も適用されます。

これら3つの用語は相互に関連していますが、同一ではありません。コンプライアンスの順守は、その適用における相違によって影響を受ける可能性があります。

•     データの主権は法的な概念です。国家がその領域内でデータを規制する権利。これは「誰が管轄権を持つのか？」という問いに答えます。
•     データレジデンシーは、データが地理的にどこに配置されるべきかを規定する、法的または契約上の要件です。これは「データはどこに存在するのか？」という問いに答えます。
•     データローカリゼーションには最も厳格な形態があります。これは、データが国内で保存され、かつ処理されることを法的に義務付け、国境を越えた転送には制限が課されるものです。「データはそもそも国外に持ち出し可能なのか？」という問いに対応します。

ソブリンクラウドは、ある国のデータ主権のニーズに基づいて設計されたクラウドサービスです。外国政府、裁判所、企業がホスト国の許可なしにデータを取得できないように、ソブリンクラウドは、グローバルなハイパースケーラーが運営する標準的なパブリッククラウドとは異なり、現地の事業体（または厳しく管理されたパートナーシップを通じて）によって運用されます。

•     現地での管理と所有：現地の企業、または現地企業が過半数の株式を保有する合弁会社によって運営されます。
•     管轄区域の分離：データが所在する国または地域の規制は、越境データ転送のプロセスに影響を与える可能性があります。
•     規制適合性：これらは、GDPR、フランスのSecNumCloud、ドイツのC5標準などの国内法に準拠して作成されています。

ビジネスリスクには以下が含まれます：

データ主権は、法的要件を満たすことだけではありません。適切な技術システムを備えることも求められます。真に主権を確立するためには、いくつかの技術を組み合わせる必要があります。

1.   主権クラウドプラットフォームとは、定義された法的および地理的境界内で運用され、外国の勢力によって管理されるシステムへの依存を回避する現地のインフラストラクチャを指します。
2.   顧客管理型暗号化キー (CMEK) は、組織が暗号化キーを管理できるようにし、法的要請に応じる場合でも、クラウドプロバイダーによるデータの復号化能力を制限する可能性があります。
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) は、顧客が鍵を保持することを可能にする2つの異なるレベルの仕組みです。クラウドは通常、暗号化操作を支援しますが、一般的にデータを復号化することはありません。
4.   データレジデンシー制御は、特定の地域へのデータレプリケーションまたはバックアップを制限する構成です。
5.   機密コンピューティングは、保存中または転送中のデータに加えて、処理中のデータを保護するためのハードウェアサポート（例：Intel SGXやAMD SEVなどを介して）を提供します。
6.   ゼロトラストアーキテクチャは、アクセスにおいて常に本人確認と最小権限の原則に依拠しています。

データ主権の実践的な適用には複雑な検討事項が伴う可能性があります。主な懸念事項は以下の3つの主要な領域に分類されます。

1.   コスト。主権的なものを構築することに関連するコスト クラウドインフラストラクチャ 標準的なものとは異なります パブリッククラウド。
2.   マネジメント。複数の法域で事業を展開する組織は、各国で異なる一連の規則に従わなければなりません。
3.   法律。主権国家の法制度は異なる解釈を受け入れる可能性があり、技術的な解決策が普遍的に適用可能な対応策となるとは限りません。

その他の検討事項には以下が含まれます。

•     グローバルなハイパースケーラーとは対照的に、小規模な主権国家準拠プロバイダーの数は、その機能提供に関連している可能性があります。
•     各国における標準開発の違いは、一貫したグローバルなコンプライアンス体制の構築に影響を与える可能性があります。