データ主権とデータ・レジデンシーの違い

その主な違いは、データ主権は法的概念であり、データ・レジデンシーは地理的なカテゴリーであることです。しかし、この2つの概念には深く関連性があります。

多くの場合、データの保管場所によってデータの主権が決まります。例えば、企業がアイルランドのデータセンターにデータを保管している場合、そのデータはアイルランドに存在します。データがアイルランドに存在するため、アイルランドがそのデータに対する主権を持ちます。企業は、アイルランド政府によって義務付けられたデータ保護法、データ・プライバシー法、およびその他の規制要件に準拠する必要があります。

とはいえ、データを誰が管轄するかを決定する要因は、居住地だけではありません。データが最初に収集された場所やデータが誰に関連するかなど、他の要因も影響する可能性があります

データ主権とデータ・レジデンシーは、今日の組織にとって重要なデータ・ガバナンスの概念です。企業はこれまで以上に多くのデータを収集して処理しており、そのために クラウド・コンピューティングやサービスとしてのソフトウェア（SaaS）アプリケーションを使用することがよくあります。

その結果、国をまたがり移動するデータフローが大幅に増加しています。企業は、ある国の人々からデータを収集し、それを別の国のデータセンターに保管し、別の国で稼働しているクラウドベースのアプリケーションで処理する場合があります。データは、これらの場所ごとに異なる法的要件を満たす必要がある場合があります。

組織は、データのライフサイクルのあらゆる時点でデータがどこに保管されているか、また各地域で従うべきルールをしっかりと把握する必要があります。企業は、地域のデータ法に違反すると、重大な罰則を受ける可能性があります。

データ所在地とは、データの物理的な場所です。データを格納または処理するデータセンター、サーバー、その他のマシンが特定の国、州、または場所に物理的に配置されている場合、データはその場所に存在しているとみなされます。

ビジネスのデータはあちこちに移動する可能性があるため、組織が持つある単一のデータが複数のレジデンスを持つことがあります。

ある企業が米国に拠点を置き、米国の消費者から個人データを収集し、米国内のサーバーにデータを保管する場合、データは明らかに米国に存在します。

ここで、同じ組織がこのデータを処理するためにSaaSアプリケーションを使用しており、アプリケーションのサーバーがカナダにあるとします。処理のためにカナダのサーバーに転送されたデータはカナダに保管される可能性があり、カナダのデータ法の対象となる可能性があります。

データ・レジデンシー要件は多くの場合、データをローカライズするための規制要件とは関係なく、組織の内部ポリシー要件または契約上のコミットメントに起因します。

ただし、組織は必ずしもデータの保管場所を選択できるわけではありません。一部の地域では、データ・ローカリゼーション要件を定めた法律があり、組織は特定の場所でデータを保管または処理することが義務付けられています。

これらの用語は同じ意味で使用されることもありますが、2つの異なる概念を指します。データ・レジデンシーとは、データが保管される場所を指します。データローカリゼーションとは、データを作成した場所で保持すること、つまりデータをローカルに保持するという法的要件のことです。

一部の国では、データ・ローカリゼーション要件があり、組織はその国で作成されたデータを国内に保管する必要があります。これらの要件は、データのコピーを国内に保管するだけのものから、国外へのデータ転送の禁止まで多岐にわたります。

データ主権とは、データはそれが生成または処理される国または地域の法律の対象となるという概念です。国がデータに対して「主権」を持っている場合、それはその国が国家安全保障の目的を含め、そのデータに対して法的権限を持っていることを意味します。

データ主権は多くの場合、居住地によって決まります。データがある場所に存在する場合、通常はその場所の法律が適用されます。

一部のデータ主権法はデータに追従し、データがどこに移動するかに関係なくデータに適用されます。例えば、欧州連合（EU）の一般データ保護規則（GDPR）は、そのデータがEU居住者に関係する場合、EU外で保持または処理されるデータにも適用されます。

したがって、データがどこに保管されているかだけでなく、データがどこで収集されたか、またはデータが誰に関連しているかも重要になります。

データが複数の所在地を持つことができるのと同じように、データが複数の主権下に置かれることもあります。例えば、EU加盟国に保管されているデータは、その国の現地法とEU全体のGDPRに従う必要があります。

データ主権要件はさまざまです。

• 一部の国では、企業が収集できる機密データの種類とそのデータの収集方法を制限しています。
  
  
• 組織が特定の種類のデータを使用する方法に制限を設けている国もあります。
  
  
• また、特定のサイバーセキュリティー管理を義務付け、データ侵害が発生した場合に特定のプロセスに従うことを組織に義務付けている国もあります。
  
• 一部のプライバシー規制では、データを削除する権利を含め、データ主体にデータに関する多くの権利が与えられています。

現地のデータ法に従わないと、罰金やその他の法的処罰を受けたり、評判に傷がついたりするだけではなく、組織がデータ・プライバシー規制を無視したことにより、顧客が他の組織に移ってしまう可能性さえあります。

データ所在地とデータ主権の要件は、組織が収集するデータの種類、データの使用方法、構築するITインフラストラクチャーに関する決定に影響を与えます。

今日、組織は世界中のより多くのデータ・ソース（Webアプリケーション、ビジネス・システム、モノのインターネット・デバイス）から、より多くの種類のデータ（顧客データ、運用データ、トランザクション・データ）を収集しています。多くの組織が、データ・ストレージ、処理、分析、その他の主要なワークロードにクラウド・サービスを使用しています。

データが組織のクラウド接続ITインフラストラクチャーを通過する際、多くの境界を越える可能性があります。データが移動する場所に関係なく、新しい法律の対象となる可能性があります。クラウド・サービス・プロバイダーと連携する場合、組織は、データが保管、バックアップ、処理される場所を認識しておく必要があります。

組織は、組織と同じ場所にインフラストラクチャーを持つパブリッククラウド・プロバイダーと連携することを選択する場合があります。組織によっては、必要な場所にハードウェアを配置したプライベートクラウドに依存しているところもあります。

多くの組織は、複数のパブリッククラウド環境とプライベートクラウド環境およびプロバイダーを使用したハイブリッド・マルチクラウド・アプローチを採用しています。このハイブリッド・アプローチは、組織がさまざまな場所のさまざまなデータ法に準拠するために必要なインフラストラクチャーを構築するのに役立ちます。

クラウドにおけるデータの保管場所と主権の複雑さにより、組織がさまざまな地域の法的要件や規制要件に準拠できるように設計されたクラウド・コンピューティングの一種であるソブリン・クラウドが開発されました。

一部の組織では、クラウド・ストレージと処理の代わりにオンプレミス・データ・システムを選択しています。オンプレミスでデータを保持すると、特定のコンプライアンスの問題を軽減できますが、このような方法はコストがかかり、クラウドよりも拡張性が低くなる場合があります。

一部の国では、特定のアクセス制御や脅威検知テクノロジーの適用など、組織がデータを保護するための特定の手順を実行することを義務付けています。

機密情報への不正アクセスを防止することは、ほとんどの組織にとってすでに優先事項ですが、データの保管場所と主権によって、実行すべき具体的なデータ・セキュリティー手順が決まる場合があります。

一部のデータ法は、組織が保有するデータを使用してできる内容を規定しています。

例えば、特定の制限条件が満たされない限り、機密データの使用を禁止する法律もあります。また、要求に応じてデータを削除する権利など、個人データに関するかなりの権利を人々に付与する法律もあります。

これらの法律の対象となる組織は、データが適切に使用され、消費者が権利を容易に行使できることを保証するためのメカニズムを導入する必要があります。

データ・レジデンシーとデータ主権の要件は、人工知能（AI）と機械学習（ML）のワークロードに影響を及ぼす可能性があります。

一部の国では、特定の種類のデータに対するAIの特定の使用を制限しています。例えば、EUAI法では、年齢や障害による脆弱性など、特定の脆弱性を悪用するソーシャル・スコアリング・システムやAIシステムなどを禁止しています。

さらに、今日では、独自のAIモデルをゼロから構築する組織はほとんどありません。多くの組織は、クラウドでホストされているサードパーティー・プロバイダーのAIシステムを使用しています。これらのシステムは、他のクラウド・サービスと同じ複雑さをもたらす可能性があります。

AIの安全な使用に関する懸念に端を発し、国家が独自のAIシステムを開発し、国内でAIを管理する取り組みである主権AIへの関心が高まっています。

AIガバナンス・ツールは、組織がITスタック内でAIがどのように、どこに導入されているかをより詳細に把握し、管理するのに役立ちます。この可視性と管理の向上により、組織はAIおよびMLアプリケーションが関連する規制に準拠しながら価値を提供できるようになります。

免責事項：お客様は適用法・規則の遵守を徹底する責任を負うものとします。IBMは法律上の助言を提供せず、IBMのサービスまたは製品を使用することでお客様による法律または規則の遵守が確約されると表明することも保証することもありません。