関連するソリューション
ID-Cross/クラウドサービス
株式会社IDデータセンターマネジメント
ICTサービス第1部
テクニカルスペシャリスト 上坂 明
クラウドサービスを利用しデータを保存する場合、地域特性・法令を考慮したデータロケーション検討が必要となります。
例えばAWSなどのパブリッククラウドサービス上にサーバを構築する場合、リージョンを選択することである程度のデータコントロールが可能ですが、SaaS型サービスの場合、サービス提供企業のプラットフォームがどの国に存在し、どのような法律の影響を受けるのかを考慮する必要があります。
しかし、導入当時は存在しなかった法律や、社会情勢の変化によりリスクを被る可能性は常に存在します。
このような経済領域外からの不確定要素に対し、経済施策を官民一体的に進める経済安全保障という概念が存在します。
詳細については後述しますが、先日閉幕したG7広島サミットにおいても経済上の国益の確保、増進に向けた「経済強靭性及び経済安全保障に関する首脳声明」が発出されており、参加各国が経済安全保障を優先事項として捉えている状況と分かります。
声明について要約すると以下の通りで、いずれも経済活動に悪影響を及ぼす要素について、G7各国が協調し対処する旨が述べられています。
- グローバルな経済的強靭性(国際サプライチェーン・インフラ構築 等)の強化
- 国際的ルール・規範を損なう要因(経済的威圧・デジタル領域での有害行為)への対応
- 脅威(重要・進行技術の流出防止)に対する共通懸念への対処
※詳細は以下参考①のリンク先を参照下さい。
経済安全保障
経済安全保障とは国家や地域の経済安定・発展を確保する政策で、経済の安定・発展、および国益を確保することを目的としたものです。対象には「物資・資源の安定供給」、「最先端技術情報の開発促進と保全」などが範囲に含まれています。我が国においても国際情勢の変化や社会構造の変化により安全保障の範囲が経済分野に拡大したことから、経済安全保障を推進するための法案として令和4年5月11日に経済安全保障推進法が成立・公布されています。
経済安全保障推進法は大きく4つの制度に分類されます。
- 重要物資の安定的な供給の確保
- 基幹インフラ役務の安定的な提供の確保
- 先端的な重要技術の開発支援
- 特許出願の非公開
「1.」、「2.」については、経済活動に必要な物資、およびインフラの安定供給に関わる制度ついて定められています。
「3.」 は特定技術(宇宙・海洋・量子・AIなどの領域)の研究開発促進と保全を目的としたもので、一定の能力を有する機関等に対して情報提供や資金支援を実施するとともに、守秘義務を求めることが定められています。
「4.」 は特許出願に関わる制度で、特許公開により生じる「機微な技術の公開や情報流出を防ぐ」こと、および「安全保障の観点から特許出願が出来なかった発明者に対し、特許権を受ける途を開く」ことが目的となっています。
【参考②: 経済安全保障推進法の概要】
出典:内閣府HP 経済安全保障推進法の概要
経済安全保障推進法の詳細は以下リンクよりご確認下さい。
【参考③: 内閣府 経済安全保障】
クラウド上のデータ主権
経済安全保障が重要視されるようになった背景には、社会環境の変化が要因として考えられます。特にパブリッククラウドに対する懸念は大きく、国際情勢の都合でサービスが停止する可能性や、法令により保存データが差押えられるリスクがあり、データの安全性確保は喫緊の課題となっています。【参考④: パブリッククラウド影響を及ぼす事例・関連法令】
| 関連事項 | 影響 |
|---|---|
| GDPR | ・EU領域外へのデータ移転規制 ・EU領域に保存する個人データに対するIT対策 |
| CLOUD Act(クラウド法) | 米国内に本拠地を持つ企業に対し、米国外に保存されているデータであっても合法的にデータの閲覧・差押え要求を行うことが可能となった |
| クラウドサービス利用停止 | クラウドサービス(Microsoft365)を利用停止(ストックホルム) |
| ウクライナ情勢不安 | クラウドベンダー(AWS・SAP)はロシア地域でのサービス提供を停止 |
| 為替変動リスク | ドル建て払いの国外クラウドサービス利用料の増加 |
【参考⑤: 各国のデータの安全性・クラウド技術の確保に関する取り組み】
出典:経済産業省デジタル産業に関する現状と課題参考④にある「CLOUD Act(クラウド法)」は2018年3月に米国で成立した「国際的な犯罪やテロ活動に対応することが目的」の法令で、米国企業のサービスを利用している場合、日本リージョンに保存されたデータであってもデータ開示要求が可能となりました。
あくまで開示請求が可能となったことを定めたものであり、自由にデータアクセスを許可するものではありません。また、AWSをはじめとした米国クラウドベンダーはCLOUD Actに対する見解と方針を述べておりますが、基本的には利用ユーザに対して不利益が発生する恐れは無いものとあります。
【参考⑥: AWS 海外データの合法的使用を明確化する(CLOUD)法律】
しかしながら、今後どのような法令が制定されるかは不透明な状況下において、クラウド上の重要データを保護するには、利用組織がデータの制御と管理の権利を所有する「データ主権」という概念が重要となります。
このデータ主権をコントロールできるクラウドとして、ソブリンクラウドというサービス概念が注目を集めています。
ソブリンクラウド
ソブリンクラウド(Sovereign Cloud)は明確な定義は存在していませんが、保存されるデータ、構築されたクラウド上の資産に対し、「セキュリティ」「コンプライアンス」「データ主権」が各国の法律や規則に則っとったことを保証するサービスとなります。このサービスを利用する場合、クラウド上データをその国の司法権限範囲で保全します。単一地域で提供されるサービスであるため勝手に他国に提供されることは無く、データロケーションが保全されます。
つまり、利用組織がデータ主権を保有するサービスであり、保存されたデータ・技術情報などを保護することを主に置いたサービスであると言えます。尚、この保証には定期的な監査要件も含まれており、変化するセキュリティ要件にも対応しています。
具体的なソブリンクラウドサービスとして、主要パブリッククラウドベンダーは以下のサービス名称にて提供を開始しています。
【参考⑦: 主要クラウドベンダーのソブリンクラウドサービス(一例)】
| クラウドベンダー | サービス名称 |
|---|---|
| AWS | AWS GovCloud |
| Azure | Azure Government |
| GCP | Google Cloud Government Cloud |
Gov(ガバメント)が示す通り、いずれのサービスも政府機関向け・特定地域に対するサービスであり一般企業向けのサービスではありません。
尚、日本での政府機関が利用するクラウドとして、デジタル庁が推進する府省庁・地方自治体の共同利用を目的としたパブリッククラウド基盤「ガバメントクラウド」があります。このクラウド基盤は、政府や地方自治体が個別に開発していた業務システムをパブリッククラウド上へ移行・集約するもので、「全国の自治体が共通のサービスを利用出来る」、「個別開発のコスト削減」等の効果が見込まれています。
政府はガバメントクラウド対象サービスとしてAWSやAzure、Google Cloudを選定しており、ガバメントクラウド基盤から一般企業向けのサービス展開が行われるのではないかと期待しています。
【参考⑧: デジタル庁 ガバメントクラウド】
最後に
経済安全保障を考慮するとソブリンクラウドサービスのニーズは、今後更に増えていくものと思われます。ただし、データ主権が確保される一方、特殊なリージョン(ソブリンリージョン)を利用するため、複数の国に跨ったリージョンペアでの利用が出来ないなどのサービス制約があり、BCPの観点ではデメリットとなるケースもあります。今後は取り扱う情報の重要度にあわせて、パブリッククラウドとソブリンクラウドを組み合わせたハイブリットクラウドを利用するなど、今までにない利用形態での運用が増えるのではないかと思われます。
最後まで読んで頂きありがとうございました。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
