Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > EU一般データ保護規則コンプライアンス > データ主権とGDPR [データセキュリティの理解]
Blog Banner - Data Sovereignty and GDPR [Understanding Data Security]

データ主権とGDPR [データセキュリティの理解]

by Tim Freestone updated 1月 25, 2025 EU一般データ保護規則コンプライアンス
Reading Time: < 1 minutes

データ主権は多くのセキュリティ専門家にとって混乱を招く可能性があるため、ここではその定義と企業のデータセキュリティとの関連性について説明します。

 

データ主権とは何か?

データ主権とは、情報とその保護および管理が、その情報が発生した国または個人に属するという概念です。例えば、フランスの市民に属するデータが、アメリカの企業によって保存または処理されているからといって、米国の法律や規制の対象になるべきではないという考えです。アメリカの企業は代わりにデータをフランスに保存し、そのデータはフランスの法律または欧州連合(EU)の法律の対象となるべきです。この概念は、クラウドコンピューティングやその他のサービスが個人データや機密情報の国境を越えた転送を必要とするデジタル時代において、ますます重要になっています。

データ主権が重要な理由

データ主権は、データが収集された国に特有の方法で管理され、保護されるべきであることを規定するため重要です。

個人はデータ主権の恩恵を受け、データが外部からの干渉やアクセスから安全であることが保証されます。データ主権は、データが無許可でアクセスされたり使用されたりすることを防ぎ、ビジネスの利益に反しない目的で使用されることを保証します。さらに、データ主権は企業に対して、自社のデータおよび顧客のデータが安全であり、発生した管轄区域に留まることを保証します。これにより、企業はクラウドストレージやその他のデジタルサービスを利用する際に、より自信を持つことができます。最後に、プロバイダーを変更してもデータが同じ管轄区域内に留まるため、企業はデータが保護され続けることを保証されます。

データ主権法を遵守しない企業は、データがアクセスされたり誤用されたりした結果生じる金銭的損失に対して責任を負う可能性があります。さらに、関連するプライバシー法を遵守しなかった場合、法的な影響を受ける可能性があります。評判リスクも考慮すべき事項です。現在および将来の顧客が企業のデータ保護の失敗を知った場合、世論の法廷で企業が損害を被る可能性があります。

組織はデータ主権の解釈においていくつかの問題に直面しています。主権は、情報が収集され処理された国の境界内に留まり、その国の法律に従わなければならないという国固有の規制です。

これは、企業が従わなければならない複雑で相互に関連し、矛盾する法律を提供する可能性があります。例えば、EUで情報を収集する国がMicrosoft AzureやGoogleのクラウドサーバーを使用する場合があります。どちらも米国の法律に従う米国企業であるため、政府からの開示要求に応じる可能性があり、EUのデータプライバシー法に違反する可能性があります。

GDPRデータレジデンシー要件

EUのデータレジデンシー要件は、EU居住者の個人データを欧州連合の境界内で保存および処理することを企業に要求する規制を指します。GDPRの下で、EU居住者は個人データを管理する権利を持ち、アクセス、修正、消去、制限、転送する権利を含みます。EU市民のデータを収集および処理する企業は、明示的な同意の取得、適切なセキュリティ対策の実施、72時間以内のデータ侵害の報告を含むGDPR規制を遵守しなければなりません。

データレジデンシー要件は、EU居住者のプライバシー権を保護し、低いプライバシー基準を持つ国への個人データの転送を防ぐことを目的としています。EUで事業を行う企業は、データストレージおよび処理システムがGDPR要件に準拠していることを確認する必要があります。遵守しない場合、巨額の罰金や法的措置が課される可能性があります。

データ主権 vs. データプライバシー vs. データローカライゼーション vs. データレジデンシー

データ主権、データプライバシー、データローカライゼーション、データレジデンシーは、現代のデジタル環境において重要な役割を果たす4つの相互に関連する概念です。情報のグローバルな流れが急速に拡大する中、企業、政府、個人はこれらの複雑な問題をナビゲートし、規制コンプライアンスを確保し、プライバシーと知的財産を保護する必要があります。

国際商取引とクラウドストレージが常態化しているビジネスの世界では、これらの状況が組織を非常に困難な状況に置く可能性があります。

さらに、一部の用語はしばしば主権と混同されます:

  • データレジデンシー: レジデンシーは、ビジネスやその他の組織が特定の地理的な場所に情報を保存し、規制コンプライアンスを見つけるために有利な条件を探す場合を指すことがよくあります。これには、財務的な理由でビジネス活動の大部分が他の国にあることを示すために場所を移動することが含まれる場合があります。
  • データローカライゼーション: 最も厳密な意味で、データローカライゼーションは、特定の場所で作成されたデータがその場所に留まることを要求することを指します。これには、欧州連合の一般データ保護規則(GDPR)のような、国の市民に関連する個人データに関するコンプライアンス規制が含まれ、組織がその情報をローカルサーバーに保持し、国境外への送信を制限または禁止することを要求します。
  • 先住民データ主権: 主権の一部門である先住民主権は、特にアメリカ、カナダ、オーストラリア(他の国々を含む)の先住民国家が自らの情報のプライバシーを管理する権利に適用されます。

データ主権に関する重要な考慮事項と課題

データ主権とは、デジタルデータが保存されている国の法律および規制の対象となるという概念を指します。これは、データが物理的に国の境界内にある場合、その政府がそのデータに対して管轄権を持ち、データ保護ポリシーを施行できることを意味します。この原則は、国際的な境界を越えて事業を展開する組織にとって特に重要であり、データが存在する各管轄区域の規則を遵守しなければなりません。

データ主権に関する法的および規制コンプライアンス

データ主権に関する主な課題の一つは、異なる国での多様な法的および規制要件に組織が従う必要があることです。これには、データ保護法、業界固有の規制、国際協定の遵守が含まれる場合があります。非遵守は、重大な罰金、法的措置、評判の損害をもたらす可能性があり、企業がデータ管理戦略を慎重に計画することが重要です。

データ主権を確立する画期的なケース

主権がグローバルなスケールで法的概念として浮上したのは、国家安全保障局が運営する観察および秘密情報収集プログラムであるPRISMプログラムがエドワード・スノーデンによって暴露されたことに起因します。

PRISMと米国愛国者法

国家安全保障局(NSA)は、テキスト、画像、映画、電話、ソーシャルネットワークの詳細、ビデオ通話など、さまざまなプラットフォームやプロバイダーを通じて情報を観察し収集しています。その合法性が疑わしいことに加え、米国はネットにかかった外国人からも情報を収集していました。

PRISMプログラムと並行して、米国愛国者法は、米国の国境内に物理的に存在するサーバーからデータを収集する権利を米国政府に与え、しばしば異なる種類のプライバシーおよびセキュリティ法で管理される外国情報を含んでいました。

マイクロソフト対米国

このケースはデータ主権に関する基準を法律に定めたわけではありませんが、議論を始めました。もう一つのケースであるMicrosoft Corp対米国は、この概念の画期的なものでした。

2013年、米国司法省は、捜査中の麻薬密売事件に関する情報をマイクロソフトのサーバーから収集しようとしました。マイクロソフトは、情報がアイルランドのセンターに保存されており、米国の管轄外であり、アイルランドのデータ法の対象であるとして拒否しました。

マイクロソフトは最初の法的挑戦に敗れましたが、2nd U.S. Circuit Court of Appealsに上訴し、判決に異議を唱え、ケースを米国最高裁判所に送りました。その間に、議会はCLOUD法を可決しました。この法律は、米国企業が情報がどこに保存されているかに関係なく、法執行に関連する情報を提供しなければならないと述べています。しかし、特に米国がこれらの国とデータ共有法を持っている場合、米国企業が運営するサーバーに存在する外国人の情報を保護するための特定の要件を追加しました。

CLOUD法はまた、米国に保存されている情報へのアクセスを求める外国の国々に対する基準を設定し、米国の裁判所による監視と法的および証拠的な価値の証明を条件としています。

データ主権はGDPRとどのように関連しているか?

GDPRは2018年に参加EU諸国で施行され、消費者情報のプライバシーと所有権を保護するための厳格な基準を設定しました。これらの法律は主権もカバーしています。

GDPRの下で、EU市民から収集された情報は、EUの管轄区域内または保護法の範囲と厳格さが類似している国にあるサーバーに保存されなければなりません。このようにして、情報はEUの厳格なセキュリティ法の下に置かれ、市民はその保護を受け続けます。

具体的には、この法律はプロセッサーとコントローラーの両方に適用され、情報を収集する企業およびデータ収集のためのサービスを提供する企業の両方がこの法律の対象となります。

EU外のプロバイダーや企業にとってはどういう意味があるのでしょうか?EUで事業を行っている、またはEU市民から情報を収集する企業にサービスを提供している場合、GDPRの対象となります。この規制に違反すると、年間総収入の最大4%の罰金が科される可能性があります。

クラウドサービスプロバイダーとデータ主権にどのように取り組むか

言うまでもなく、国際的な顧客基盤を持っている、または外国で事業を展開している場合、データ主権はビジネスの重要な側面です。

それを念頭に置いて、組織が考慮すべきいくつかの要因があります:

  • サーバーの場所: ストレージと処理のための明確で合意された場所があるべきです。一部のクラウドプロバイダーは、柔軟性を維持するためにクラウドカバレッジを「地域」で分割しようとするため、これらのプロバイダーが具体的であればあるほど良いです。
  • 地元の管轄権とプライバシー法: 組織は、その情報に適用されるプライバシーと法律をよく理解しているべきです。これらの法律は、その情報がその国に入るまたは出る際にどのように管理されるかに影響を与える可能性があり、そのようなファイル転送が合法であるかどうかにも影響を与える可能性があります。
  • データ所有権と消費者の権利をマッピングする: プライバシーとセキュリティ法と並行して、消費者の権利をよく理解しているべきです。例えば、GDPRによって保護されている情報は消費者に所有権を与え、これらの個人が情報の提供または削除を要求できることを意味します。GDPRや最近のカリフォルニア消費者プライバシー法(CCPA)のような規制は、その情報がどのように処理され使用されるかに厳しい制限を課しています。
  • 情報ガバナンスツールを決定する: どのクラウドまたはサービスプロバイダーも、包括的な監査ログ、保持、修復ツール、高度な分析などの重要な情報ガバナンス機能を提供するべきです。

GDPRに準拠してEU市民のデータプライバシーを保護するKiteworks

Kiteworksのプライベートコンテンツネットワークは、GDPRに準拠してEU市民の個人データを保護することを可能にします。展開の柔軟性、詳細なアクセス制御、ファイル活動の可視性と報告、一クリックでのGDPRコンプライアンスレポートにより、特に信頼できる第三者と共有される際に機密コンテンツを保護することができます。

Kiteworksのセキュリティとガバナンス機能には以下が含まれます:

  • セキュリティとコンプライアンス: Kiteworksは、データの保存時にAES-256暗号化を使用し、転送中のデータにはTLS 1.2+を使用します。プラットフォームの強化された仮想アプライアンス、詳細な制御、認証およびその他のセキュリティスタック統合、包括的なログと監査により、組織は機密データを保護しながら効率的なガバナンスとコンプライアンスを確保できます。
  • セキュアなファイル共有: Kiteworksのセキュアなファイル共有ソリューションは、第三者リスク管理(TPRM)を強化し、個人識別情報や保護対象保健情報(PII/PHI)、知的財産(IP)などの機密データを第三者と共有しながら、業界および政府の規制、例えば医療保険の相互運用性と説明責任に関する法律(HIPAA)、米国連邦情報処理規格(FIPS)、サイバーセキュリティ成熟度モデル認証(CMMC)などに準拠します。
  • SIEM統合: 組織は、機密コンテンツ通信からのメタデータをセキュリティ情報イベント管理(SIEM)データと統合することで、シングルペインのアラート、ログ、イベント対応を実現し、環境を安全に保つことができます。統合には、IBM QRadar、ArcSight、FireEye Helix、LogRhythmなどが含まれます。Kiteworksはまた、Splunk ForwarderおよびSplunk Appとの統合も行っています。
  • 監査ログ: Kiteworksは不変の監査ログを可能にし、組織が攻撃を早期に検出し、フォレンジクスを実行するための正しい証拠の連鎖を維持できることを保証します。プラットフォームは複数の機密コンテンツ通信チャネルからのメタデータを統合し標準化するため、その統一されたSyslogとアラートはセキュリティオペレーションセンター(SOC)チームの貴重な時間を節約し、コンプライアンスチームが監査の準備をするのを助けます。
  • シングルテナントクラウド環境: ファイル転送、ファイルストレージ、ファイルへのアクセスは、オンプレミスで展開された専用のKiteworksインスタンス、Logging-as-a-Serviceリソース、またはKiteworksクラウドサーバーによってホストされるクラウド上で行われます。これらおよびその他のセキュアな展開オプションにより、共有ランタイム、データベースまたはリポジトリ、リソース、またはクロスクラウドの侵害や攻撃の可能性がありません。
  • データの可視性と管理: CISOダッシュボードは、組織にデータの概要を提供します:どこにあるのか、誰がアクセスしているのか、どのように使用されているのか、GDPRに準拠しているかどうか。ビジネスリーダーが情報に基づいた意思決定を行い、コンプライアンスリーダーシップが規制要件を維持するのを助けます。

Kiteworksがどのようにして組織がデータ主権を管理し、すべての機密コンテンツ通信のメタデータを簡単に、安全に、GDPRに準拠して集中化することを可能にするかを学ぶために、カスタムデモを今日スケジュールしてください。

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks