データ主権とは

データ主権はデータ・レジデンシーとも呼ばれており、データの保存、処理、転送を扱う企業にとって、法律、プライバシー、セキュリティー、ガバナンス戦略の中核となりつつあります。データ主権の重要な要素であるデータ管理と国際的なデータ・フローに強力なアプローチを採用することで、組織は最も機密性の高い情報をサイバー攻撃やその他の脅威から保護することができます。

データ主権、データ・レジデンシー、データ・ローカライゼーションはすべて密接に関連する用語です。実際、データ主権とデータ・レジデンシーは非常に密接に関連しているため、同じ意味で使用されることもあります。しかし、クラウド・コンピューティングの機能をデジタル・トランスフォーメーションの過程の一環として活用しようとする組織にとっては、理解しておくべき重要な違いも存在します。

データ主権：データはその生成された国で保存、処理されるということ。

データ・レジデンシー：データが生成された国とは異なる国で保存されていること。

データ・ローカライゼーション：データ・レジデンシーに関連するすべての適用法および要件を遵守すること。

データ主権、データ・レジデンシー、データ・ローカリゼーションはすべて、組織が顧客データを収集、処理、保存する特定の地域や国のプライバシー法に準拠する際に役立つクラウド・コンピューティングの一種である、主権クラウドと呼ばれる概念の重要な要素です。

クラウド・ストレージが世界中に広がり続ける中、国境のような従来の地理的境界だけでは機密データを保護するのに十分ではなくなってきました。また、迅速かつ安全なデータ・アクセスに依存する人工知能（AI）や機械学習（ML）などのデータ集約型テクノロジーの台頭により、企業はクラウド・セキュリティーに関してより戦略的な意思決定を迫られています。AI、特に生成AIは、価値あるビジネス革新を促進する可能性を秘めていますが、機能させるには高速で安全なクラウド・インフラストラクチャーが必要です。

ソブリン・クラウドとは、データ主権、運用主権、デジタル主権を含む概念です。ソブリン・クラウドのフレームワークは、企業が事業を展開する地域におけるビジネスの成長を促進し、顧客の信頼を構築すると同時に、データ収集、データ・ストレージ、データ・プライバシーに関する法規制への準拠を支援します。

データ主権の重要性は、多くの組織の成長戦略全体におけるクラウド・コンピューティング環境の重要性の高まりと密接に関連しています。

より多くのエンタープライズ・アプリケーションがクラウドに移行するにつれ、クラウド環境は重要なインフラストラクチャーとなり、工場やオフィスビル、または貴重な知的財産と同様に、企業の健全性を維持する上で重要なものとなります。

データ主権の要件は通常、特定の国または地域のデータ・プライバシー規制に関連しています。現地の法律への準拠を目指す組織にとっての主な懸念事項には、、サイバーセキュリティー、データ・セキュリティーとデータ・プライバシー、機密データの侵害やマルウェアからの機密データの保護、データにアクセスできる個人、組織、アプリケーションの制御などがあります。

例えば、欧州連合（EU）には、EU領内で事業を展開し、EU市民のデータを扱う企業に対して、データ保護責任者（DPO）と呼ばれる人物を雇用することを義務付ける一般データ保護規則（GDPR）があります。これにより、企業が生成、処理、保存するデータの機密性、完全性、およびアクセス性を厳格に維持することが求められます。

データ主権は、データが生成された地域または国を管轄する特定の法律や規制によって決まります。

これらの法律は地域ごとに異なりますが、一般的に、ある国がデータの「主権」を有すると言われる場合、そのデータの使用方法とアクセス可能なユーザーについては、その国に管轄区域と権限があることを意味します。しかし、多くの場合、データは複数の国または地域の法律（データ・レジデンシーおよびデータ・ローカリゼーション）の対象となるため、データの管理、保管、処理がより複雑になります。

データが1国または地域で生成され、その他の場所で保存および/または処理される場合、そのデータを管理する組織は、その両方の場所でデータ・セットの処理に関するすべての法的要件を遵守することを確実にする必要があります。たとえば、企業は、1つまたは複数の地域におけるコンプライアンスを維持し、潜在的な紛争を回避するために、特定のデータを保護する契約を締結したり、特定のデータを転送するプロトコルを設計・実装したりすることを考える場合があります。さらに、複数の地域や国でデータを保存および処理する組織は、関連するデータ保護法、国境を越えた制限、またはその他データ・プライバシーと整合性を維持する上で必要な懸念事項について十分な知識を備えておく必要があります。

組織のデータ主権に対するアプローチを効果的なものにするには、さらに2つの重要な要素、「運用主権」と「デジタル主権」も含める必要があります。データ主権、運用主権、デジタル主権は、ソブリン・クラウド・インフラストラクチャーにとって最も重要な3つの要素になります。運用主権により、重要なインフラストラクチャーを必要とする個人、組織、アプリケーションが常に利用できるようになり、デジタル主権により、組織はデジタル資産を常に管理できるようになります。両方の用語と、それらが重要である理由について詳しく説明します。

運用主権により、データが豊富なアプリケーションに関連する重要なインフラストラクチャーが常時稼働し、アクセスできるようになります。また、運用主権は、企業が業務プロセスにおける透明性と管理を維持し、非効率なプロセスを特定するのに役立ちます。

運用主権に対する健全なアプローチにより、特定の地域が災害の影響を受けた場合でも、企業は重要なインフラストラクチャーの回復力を確保できます。この目的を達成するために、多くの運用主権アプローチには、事業継続性災害復旧（BCDR）またはサービスとしての災害復旧（DRaaS）計画が含まれています。最後に、運用主権は、企業が特定の地域におけるクラウド環境をサポートするために必要なインフラストラクチャーに関する地域の規制に遵守するのに役立ちます。

デジタル主権とは、データ、ソフトウェア、コンテンツ、デジタル・インフラストラクチャーなどのデジタル資産に対する組織の管理レベルを指します。デジタル主権は、ソブリン・クラウドの概念において、主にガバナンスと透明性の観点から重要になります。デジタル資産へのアクセス制御を活用する企業は、権限を付与する人物および制限する人物に関するルールを設定する必要があります。これらのルールは、Policy as Code（組織がインフラストラクチャーと手順を繰り返し管理できるようにするプロセス）など、簡単に適用できる方法で設定する必要があります。

透明性は、デジタル主権においてもう一つの重要な側面であり、組織がそのプロセスと結果を監査する能力を指します。透明性により、組織は最も重要な運用ワークフローを把握でき、機能しているものと変更すべきものを確認できるようになります。

大まかに言うと、クラウド・コンピューティング環境におけるデータ主権に対してソブリン・クラウドのアプローチを検討している組織には、パブリッククラウドと分散型クラウドという2つの選択肢があります。ほとんどの国または地域では、パブリッククラウドとマルチクラウドの導入により、組織は特定の地域におけるデータの制御を維持しながら、クラウドのワークロードをデプロイできます。一般的なパブリッククラウドのアーキテクチャには、ハイブリッドクラウド・プラットフォームのようなプラットフォーム・クラウド・レイヤーが含まれており、安定した一貫性のあるクラウド・デプロイメントを提供します。

2つ目の選択肢は、現地のインフラストラクチャー・プロバイダーやオンプレミスのデータセンターなどの分散型クラウド・デプロイメント・モデルです。これらは、データに対して厳格な制御を必要とする企業にとって魅力的です。基本的に、分散型クラウドのデプロイメント・モデルを使用すると、任意のインフラストラクチャーにワークロードとプラットフォームをデプロイできるようになります。

データ主権に対して効果的なアプローチを導入する際、組織は以下の手順を踏む必要があります。

世界中の市民や規制機関がデータ主権に関する懸念を表明し続ける中、ソブリン・クラウド・アプローチは、データがどこで保存され処理されるかにかかわらず、企業がデータの完全性を確保するのに役立っています。

今後数年間、企業がデータをどのように収集し、保護し、保存し、データへのアクセスを管理するかは、特にAIやMLなどの新しいデータ豊富なテクノロジーを活用しようとしている場合、企業の成長とセキュリティーに極めて大きな影響を与えるでしょう。これらの懸念の中心にあるのがデータ主権であるため、データ主権を深く理解しているクラウド・プロバイダーを選択することで、強力なソブリン・クラウド・アプローチを実装し、デジタル・トランスフォーメーションの目標を達成することができます。企業がクラウド環境の構築を目指す地域や国のパートナーは、サイバー攻撃、自然災害、ダウンタイムなどの一般的なリスクを軽減するための戦略を持っている必要があります。

最後に、データ主権とソブリン・クラウドに対する強力なアプローチを構築しようとしている企業は、クラウド・プロバイダーが、その事業を行っている国や地域の法律に沿った強力なクラウド戦略を持っていることを確認する必要があります。ここでは、データ主権への強力なアプローチを構築するために、企業がCSPやその他の潜在的パートナーを検討する際に最も重要な機能をいくつかご紹介します。

データ・ガバナンス能力：データ・ガバナンスに対するCSPのアプローチは、機密データを適切に取り扱い、必要な制限を適用するための適切なポリシーと手順を備えていることを示している必要があります。また、導入したガイドラインが遵守されていることを証明する定期的な監査結果も提供できる状態にある必要があります。

サービス・レベル契約（SLA）：ソブリン・クラウド環境におけるデータ主権に関するSLAを検討する場合、SLAがカバーすべき3つの最も重要な領域は、コントロール（クラウド管理）、可用性とパフォーマンスです。

コンプライアンス：企業のデータ主権要件への準拠を支援するCSPやその他のパートナーは、事業を展開する地域のあらゆるデータ法について高い専門知識を持っている必要があります。理想的には、企業とそのCSPは、新しい規制を常に把握し、対応するための戦略を策定する責任を共有するべきです。

データの暗号化： ソブリン・クラウド分野のCSPは、機密データを安全に保管し、アクセスできるようにするため、暗号キーのような強固なデータ暗号化機能を持っていることが重要です。暗号化キーは、データを適切な権限（キー）を持つ人だけが復号化できる暗号化アルゴリズムにデータを変更します。これにより、企業は誰がいつデータにアクセスできるかを技術的に保証し、制御することができます。

レジリエンシー：データ主権と主権クラウド環境に対する強力なアプローチには、強力なレジリエンシーが備わっているべきです。関連する国や地域において、顧客のレジリエンシーや復旧への取り組みを支援してきた実績のあるCSPのみを検討すべきです。ソブリン・クラウド環境に関しては、すべてのクラウド・デプロイメントには、データが保存されているそれぞれの特定のコンプライアンス領域に合わせて調整された、復元機能とフェイルオーバー機能が組み込まれている必要があります。