データ・ローカライゼーション要求に日本はどこまで取り組んでいるのか
インターネットには国境があるというお話 ― 「データ・ローカライゼーション要求」
と、データ・ローカライゼーションにまつわるお話に触れましたが、で、実際どう対応すればいいのでしょうか?
良く聞かれるのが『クラウドだと、抵触するよね?』という質問です。
当社は、Web制作を手がけるため、最近たまにクラウドWebサーバについて、この質問をされます。
この問いに回答する前に、まずは、その導入を検討しているサービス提供会社に、『○○国(または○○地域)におけるデータ・ローカライズ要求に対して、どこまでを責任範囲として貴社が担うのか。』を聞くことです。
もし、データ・ローカライズ要求に対応している(あるいは分かっている)サービス提供会社であれば、マネージドサービスを提供しているかどうかにかかわらず、おそらく『クラウド内(クラウドそのもの)のセキュリティ』と回答があり、その言葉を担保しうるレポート類を用意してくるはずです。
裏を返せば、クラウドサーバ(クラウドサービス)そのもの自体は、ビジネスを阻害することがなく(あるいは少なく)、データ・ローカライゼーションに耐えうる(限界はあります)ものと言って間違いはありません。
と申しますか、クラウドサービスでない、レンタルサーバを使っていたとしても、その会社の保有するサーバ郡はどこのデータセンターにあるのか、そして、自分のデータはそれらの内のどこに置かれているのか、さらに、そのバックアップデータはどこにあるのか・・・など本当は確認しないと、データ・ローカライゼーションに対応する姿勢とは言えません。
要するに、クラウドかそうでないかは、データ・ローカライゼーションの議論において決定的な違いはなく、契約者が使用する範囲のインフラが、適合するよう設置、運用されているかどうかが重要です。
そして、最も重要なのは結局、インフラの上で蓄積、利用される実際のデータ(情報)が正しく管理運用されるかという、データ管理者(サーバを利用する契約者)自身の話になります。
これについて、インターネット上でオープンかつ詳細に説明しているのは、AWSです。
ものすごい量のドキュメントがありますが、端的に言えばこれまでまとめさせていただいた事を言っています。インフラのセキュリティはAWSで、その上でどういうサーバを構築するかは、契約者に委ねられており、そこで責任は分担されるというものです。
AWSは契約者がWeb上で必要なシステム構成を調達設定できてしまうので、このあたりはさすがにしっかりしています。
ちなみに、AWSもざっと見る限りですが、『EEA(欧州経済地域)GDPRと、インドネシアのデータプライバシーには適合しているから安心してね!でも、それをちゃんとトレースできるかは、あなた次第!』という感じです。
もう一つの代表的なクラウドMicrosoft AzureもGDPR、インドネシア・データプライバシーの他、ロシア連邦個人情報保護法にも対応可能なようですね。
もし、日本やそれ以外の多数の国が、何かしらのデータ・ローカライゼーション関連法案を持つようになった時代が来たら、個人データはそれぞれのローカル・リージョンで保存し、個人情報への参照や書き込みは全てローカル・リージョンで行い、個人情報を扱わない領域は、世界共通のWebサーバで扱うなどということが求められることもありえます。そうなると、現実的にはクラウドがデータ・ローカライゼーションに関しては、非クラウドサーバに比べて優位と言えるのではないでしょうか。
ただし、Webサイトを一つ立ち上げるだけで、今の数十倍のコストが掛かる可能性は否めませんが。(まぁ、そのあたりの技術も進歩せざるを得ないので、そうはならなそうですが。。)
