用語集
ソブリンクラウドとは
2022年7月27日
クラウド最大の特長は、ITインフラやデータをインターネット越しに利用するという点です。この特長が、「場所を選ばずどこからでも利用することができる」というクラウドのメリットに繋がっています。しかし、利用する場所を選ばないのがクラウドのメリットであるにもかかわらず、データの保存されている物理的な場所を気にしなければならないケースもまた存在します。
例えば、米国には「CLOUD Act」と呼ばれる法律が存在します。これは簡単に言うと、米政府が米国内に本拠地を持つ企業に対して、仮に米国外に保存されているデータであっても、令状なしでデータの開示を要求する可能性があるということです。そのため、米国に拠点を置く外資クラウド上に保存したデータは、この法律の対象となる恐れがあります。
近年、既存システムのクラウド移行が推進されています。しかし、民間企業や公的機関が扱うデータの重要性を考えると、こうした外資クラウドを利用する際に発生しうる問題に対しても、何らかの対処を検討する必要があるでしょう。ここでは例として米国の法律を挙げましたが、その他の国であっても、その国や地域の法的規制の対象となるという点では同じです。
そうした中で、徐々に注目を集めているのが「ソブリンクラウド」です。ソブリンクラウドは、IT関連のリサーチ・アドバイザリ企業として著名なガートナー社が2022年の注目キーワードの1つとして取り上げており、今後さらに注目度が高まることが予想されています。
今回は、ソブリンクラウドの概要や生まれた背景、特長などを解説します。
ソブリンクラウドとは
「ソブリンクラウド(Sovereign cloud)」とは、クラウドサービスのうち、特に「セキュリティ」「コンプライアンス」「データ主権」について、各国の法的規制に準じていることが保証されているサービスを指す呼び名です。
ソブリンクラウド上に保存されたデータは、国外で利用されることはありません。そのクラウドが存在する国の司法権の範囲内で、保存・処理されることが保証されています。そのため、前述のCLOUD Actのような法的規則の下に、データの開示要求を受けるといったリスクを回避できます。また、定期的な監査によって、データが変化し続けるセキュリティ基準に準拠していることも保証されています。ソブリンクラウドを利用すれば、クラウド上の重要なデータに対し、第三国からアクセスされることも回避できます。
主に政府、地方自治体、教育機関といった公的機関や、銀行などの金融機関、公共事業を行っている企業など、自国にとって重要な機密データを取り扱う組織は多く存在します。こうした組織にとってソブリンクラウドは大きなメリットがあり、クラウドベンダー選定の際の、有力な選択基準になると言えるでしょう。
ソブリンクラウドが生まれた背景
ソブリンクラウドが生まれた主な背景には、「GDPR(General Data Protection Regulation、EU一般データ保護規則)」の制定があります。
EUには従来より、EUデータ保護指令と呼ばれる法令が存在しました。そしてGDPRとは、EU域内における個人データやプライバシーの保護の強化を目的として制定された、EUデータ保護指令にかわる新しい法令です。
GDPRはEUデータ保護指令と比べて、個人情報の保護をより厳格に規定しています。例えば、データのEU域外への持ち出しを原則として禁止するなど、プライバシーの保護を行うよう強く求めています。GDPRが施行されたことにより、EU域内でデータを取り扱う際には、従来以上の配慮が必要となりました。この影響はEU域内で活動する、世界中の企業に対して及んでいます。
こうした背景から、
- 特定地域内のデータプライバシーに関する法律に準拠していること。
- その地域内でのみデータが保存されること。
- 他国の影響を受けないこと。
といった保証がなされたクラウドサービスが求められるようになってきているのです。
ソブリンクラウドの特長
ソブリンクラウドをソブリンクラウドたらしめている特長は、以下に挙げる「セキュリティ」「コンプライアンス」「データ主権」の3つです。
主権地域の第三者機関による監査でセキュリティを保証
ソブリンクラウドの特長としては、まず第一に、堅牢なセキュリティ対策によるデータの保護が挙げられます。
この裏付けとなるのが、主権地域(後述するデータ主権をもつ地域・国)における第三者機関によるセキュリティ監査です。日本国内における具体的な例としては、「情報セキュリティマネジメントシステム(ISMS)」や「政府情報システムのためのセキュリティ評価制度(ISMAP)」といったセキュリティ監査の認証を取得するなどが挙げられます。
データプライバシーに関する法的規制への準拠
続いて、前述のGDPRや個人情報保護法といった、各国のデータプライバシー保護法へ準拠していることが挙げられます。GDPRではEUおよびEEA(欧州経済領域)からの個人データの移転に関する規制が存在し、もしも違反した場合は、多額の賠償金が発生する可能性があります。しかしソブリンクラウドは、こうした各国の法的規制に準拠することを保証しています。
データレジデンシーおよびデータ主権の確保
最後に、管理しているデータが自国以外の法的規制を受けないことが挙げられます。
ソブリンクラウドでは、データレジデンシーとデータ主権が確保されています。ここで言う「データレジデンシー」とはデータの「保存場所」を、「データ主権」は保存されたデータに対し、データの保存場所となっている国の法律が適用されることを意味します。ソブリンクラウドはデータの保存・処理を自国内で行うことで、データを自国の法的規制のみによって管理し、他国の法的規制の影響を受けないことを保証しています。
ニフクラでの取り組み
ニフクラにおいてもソブリンクラウドを実現するため、さまざまな取り組みを行っています。
まずセキュリティという観点では、ISMAPへの登録や、ISMSなどの第三者評価認証制度による認証を取得し、変化し続けるセキュリティ基準に継続的に対応しています。
コンプライアンスについては、個人情報保護法をはじめとした日本国内の法的規制への対応はもちろんのこと、お客様がEU域内の個人データを取り扱うケースをサポートするべく、GDPRに準拠したサービスを提供しています。 そしてデータ主権についても国内法のみが適用されるため、CLOUD Actをはじめとした日本以外のデータ開示要求の影響を受けないことを保証しています(ただし日本国内のリージョンに限ります)。
このように、ニフクラはデータが日本国の排他的な法的保護の対象となることを保証する、国産の高信頼なクラウドサービスです。今後、クラウド上のデータの取り扱いに関する懸念は各国で強まっていくことが予想されます。クラウドサービスの選定の際には、価格や機能にのみ注目しがちです。しかし、適用される法律は、見落としやすいものの重要なポイントだと言えるでしょう。特に重要なデータや機密データを多く取り扱う場合は、ニフクラをはじめとした国産クラウドの利用もぜひ検討してください。
ニフクラのソブリンクラウドへの取り組みの詳細については、「ソブリンクラウドについて」もあわせてご確認ください。
