データ主権
データ主権 とは何ですか?
データ主権データが収集・保管・処理される国の法令と統治構造に従う原則。プロバイダーの本社所在地に関係なく適用される。
データ主権は、データレジデンシーを超えて法域による支配を主張します。具体的には、米国 CLOUD 法、中国国家安全法、EU GDPR などの法体系の下で、どの裁判所・規制当局・アクセス権限が開示を強制し、契約を上書きし、ローカライズを義務付けるかという問題です。建築的な対応には、現地法人が運用するソブリンクラウドリージョン、プロバイダーが触れられない HSM 上の顧客管理鍵、コンフィデンシャルコンピューティング、European Data Boundary・C5・SecNumCloud・IRAP などの認証が含まれます。Schrems II 判決後の大西洋越境移転リスクを踏まえ、EUCS、GAIA-X、EU-米国データプライバシーフレームワークなどの取組も主権概念に基づいています。
● 例
- 01
公共部門ワークロードを、国内事業者が運営するソブリンクラウドリージョンに限定して稼働させる。
- 02
KMS のルート鍵をオンプレミス HSM に保管し、クラウド事業者が顧客データを復号できないようにする。
● よくある質問
データ主権 とは何ですか?
データが収集・保管・処理される国の法令と統治構造に従う原則。プロバイダーの本社所在地に関係なく適用される。 サイバーセキュリティの プライバシーとデータ保護 カテゴリに属します。
データ主権 とはどういう意味ですか?
データが収集・保管・処理される国の法令と統治構造に従う原則。プロバイダーの本社所在地に関係なく適用される。
データ主権 はどのように機能しますか?
データ主権は、データレジデンシーを超えて法域による支配を主張します。具体的には、米国 CLOUD 法、中国国家安全法、EU GDPR などの法体系の下で、どの裁判所・規制当局・アクセス権限が開示を強制し、契約を上書きし、ローカライズを義務付けるかという問題です。建築的な対応には、現地法人が運用するソブリンクラウドリージョン、プロバイダーが触れられない HSM 上の顧客管理鍵、コンフィデンシャルコンピューティング、European Data Boundary・C5・SecNumCloud・IRAP などの認証が含まれます。Schrems II 判決後の大西洋越境移転リスクを踏まえ、EUCS、GAIA-X、EU-米国データプライバシーフレームワークなどの取組も主権概念に基づいています。
データ主権 からどのように防御しますか?
データ主権 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
データ主権 の別名は何ですか?
一般的な別名: データの管轄, デジタル主権。
● 関連用語
- privacy№ 283
データレジデンシー
契約・顧客要求・業界規制を背景に、データを特定の国や地域内に物理的に(時には処理も含めて)保管することを求める要件。
- privacy№ 276
データ分類
機微性と価値に基づきデータにラベルを付ける一連のプロセスで、保護・取り扱い・保存の各統制を一貫して適用するための基盤。
- compliance№ 440
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
- privacy№ 856
プライバシー・バイ・デザイン
システム・プロセス・初期設定に対し、設計の最初期段階からプライバシー観点を組み込む工学・ガバナンスのアプローチ。
- privacy№ 284
データ保管期間
データのカテゴリごとに、どれだけの期間保管し、いつ安全に削除・アーカイブ・匿名化するかを定めるポリシーと統制。
- privacy№ 210
同意管理
プライバシー法令に沿って、個人データ処理と Cookie 設置に対するユーザーの許可を取得・記録・更新・適用するためのプロセスとツール。