データ主権の3つの新ルール:場所、場所、場所
不動産だけが場所が重要なビジネスではありません。エドワード・スノーデンが明らかにしたように、米国政府が市民を監視している範囲が明らかになって以来、データローカライゼーションやデータ主権は、特にグローバル企業においてデータセキュリティとIT管理のホットトピックとなっています。
最近のデータプライバシーとデータ主権法の進展、特に欧州連合(EU)、ロシア、カナダにおいて、顧客データの位置を特定し分離する能力が米国企業にとって非常に重要になっています。これらの国の市民は、自分たちの個人データがプライベートであり、無許可の収集から安全であることを望んでいます。彼らの政府は市民のプライバシーの権利を認識し、またデータ主権の権利—国が自国の境界内でデータを保持する権利—も認識しています。場合によっては、政府がデータローカライゼーションを要求する新しい法律を制定しています。
データプライバシー、データ主権、データローカライゼーション—消費者データを持つグローバルな組織にとって、これらの概念とそれがIT投資と運用に与える要件を理解することが重要です。これらの用語とその重要性についての簡単な入門編を以下に示します。
データ主権とは何か?
データ主権とは、個人または組織に属するデータが、そのデータが収集、保存、または共有される地理的地域の法律に従うという概念です。これはグローバルなプライバシー規制の基本概念であり、異なる国が個人データの取り扱いを規制する異なる法律と規制を持っています。国際的に活動する組織は、個人のデータとプライバシーを保護するために、複数の地域および国家のデータ保護規制に準拠しなければなりません。
企業は、収集し保存するデータを管理することでデータ主権から利益を得ます。異なる管轄区域の規制要件を理解し管理することで、データがコンプライアンスを遵守し安全であることを保証できます。さらに、企業はデータが意図された目的のみに使用され、データ主体の明示的な同意なしに組織外で共有されないことを保証できます。これにより、データ侵害や誤用から企業を保護し、ブランドへの信頼を高めます。
データ主権はデータの安全性とコンプライアンスを確保するための重要なツールであり、企業はデータプライバシーの義務を認識し、データ主権の実践が関連する規制に沿っていることを確認する必要があります。データ主権を使用しない企業は、深刻な財務的、法的、評判的な影響を受ける可能性があります。例えば、データ管理が不十分であると、規制当局からの重大な罰金、データ主体からの法的措置、消費者の信頼と忠誠心の低下を招く可能性があります。データ侵害や誤用は、訴訟や高額な評判の損害を引き起こし、企業の成功と収益性に大きな影響を与える可能性があります。
データプライバシー vs. データ主権 vs. データローカライゼーション
データプライバシーは、データの機密性を指します。データをプライベートに保つことは、データを読むことや変更することを許可されていない人の手に渡らないようにすることを意味します。例えば、米国の医療情報保護と可用性法(HIPAA)は、医療機関とそのビジネスパートナーが患者データを機密に保つことを義務付けています。患者のデータを見ることを許可されているのは、患者自身、彼または彼女の医療提供者、および関連する保険支払者のみです。この点で、HIPAAはデータプライバシー法です。
データ主権は、誰がデータに対する権力を持っているかを指します。ウェブスター辞書は、主権を特に政治的な体に対する極端な権力と外部の制御からの自由として定義しています。データに適用される場合、主権は一般的に、国に保存されているデータがその国の法律と規制に従うという原則を指します。例えば、米国に保存されているデータは米国の法律に従い、ドイツに保存されているデータはドイツの法律に従います。ドイツと他の27のヨーロッパ諸国がEUのメンバーであるという事実には、追加の保護層があります。その結果、EU市民の個人データは、EUの主権の下にあると同時に、彼らの個々の国の主権の下にもあります。
データローカライゼーションは、データがどこに位置できるかを指します。ロシアで最近可決された個人データに関する法律(OPD法)のような一部のデータ主権法は、データに対する権力を持つ者を指定するだけでなく、その国の市民に関するデータがその国に物理的に存在しなければならないことを義務付けています。ロシアの場合、2015年9月1日以降、ロシア市民に関する個人データを持つ組織は、そのデータをロシア連邦内のデータセンターやその他の施設に保存しなければなりません。OPD法はデータローカライゼーション法です。
データレジデンシーまたはデータ転送制限
データ主権が国がデータの流れを制御する権利を持ち、誰がそれにアクセスできるか、どのように使用され共有されるかを制御する概念であるのに対し、データレジデンシーはデータを物理的な場所に保存し、特定の国または地域の境界内に留めることを定義できます。ポリシーまたは法律が、組織がデータを保存または処理しなければならない場所を指示します。これらの法律と規制は国または地域によって異なり、データプライバシー、セキュリティ、およびアクセス性に異なる影響を与えます。
企業はさまざまな理由でデータレジデンシーを利用することで利益を得ます。ローカルのデータ法と規制、および他の国際法に準拠するのに役立ちます。データをローカルの物理的な場所に保存することで、ローカルの法律に準拠する必要があります。データレジデンシーはまた、企業がデータを保護し安全に保つのに役立ち、ハッカーが適切な許可なしに外部からアクセスすることを防ぎます。さらに、データレジデンシーはデータを簡単に取得できるようにし、顧客やビジネスプロセスのニーズに迅速に対応するのに役立ちます。最後に、データレジデンシーは企業にデータの管理権を与え、データを安全かつ効果的に管理、保存、処理するのに役立ちます。
データレジデンシーのルールや手続きを守らない企業は、ローカルのデータ法と規制に準拠しない場合、罰金やその他の法的制裁を受ける可能性があります。さらに、データが安全に保存されていない場合や正しい場所に保存されていない場合、顧客の信頼や評判を失う可能性があります。データレジデンシー要件を遵守しない企業は、サイバー攻撃の際にデータが保護されていない場合、高額なデータ侵害に直面する可能性もあります。
米国の情報機関とEUの規制当局の間で、データへのアクセスと保存をめぐる対立が迫っており、欧州司法裁判所(ECJ)によるセーフハーバー協定の無効化が引き金となり、データセキュリティとプライバシーにおける「場所」の役割が前面に出てきており、企業がヨーロッパでビジネスを行う際の影響を理解することが不可欠です。
クラウドにおけるデータ主権
クラウドに保存されたデータもデータ主権法の対象です。組織は、そのデータが保存されている国と管轄区域の法律を遵守しなければなりません。誰かの幻想を壊すようで申し訳ありませんが、データは実際にはクラウドに保存されていません。「クラウド」とは通常、サーバーを管理し維持するオフサイトの場所や施設、例えばサーバーファームを指します。クラウドに保存されたデータのデータ主権には、データプライバシーと保護法、データへのアクセス権が含まれます。また、クラウドに保存されたデータが安全で機密性があり、適用される法律に準拠していることを保証します。
企業はクラウドにおけるデータ主権を利用することで、データのセキュリティ、プライバシー、コンプライアンスを確保することができます。クラウドに保存されたデータが作成された管轄区域に限定されることを保証することで、企業はデータが安全であることを確認できます。さらに、企業はデータ主権法を利用して、データがアクセス権を持つ者にのみアクセスされ、必要な場合にのみアクセスされることを保証できます。これにより、企業はデータプライバシー法を遵守し、追加のセキュリティ層を提供することができます。
クラウドでデータ主権を使用しないことによる財務的、法的、評判的な影響は深刻です。データプライバシー法に違反していると判断された場合や、データを適切に保護できなかった場合、企業は高額な罰金やその他の制裁を受ける可能性があります。さらに、データが許可なくアクセスされたり漏洩したりした場合、企業は評判を損なう可能性があります。これらすべてが企業の財務的および法的地位、さらには評判に悪影響を及ぼす可能性があります。
Kiteworksのセキュアファイル共有とガバナンスプラットフォームを使用することで、組織はデータ主権規制に準拠するために最高レベルのセキュリティと制御を活用できます。
詳細を知りたい方は、Kiteworksのカスタムデモを今すぐスケジュールしてください。