USCLOUD Act+ HIPAAEUGDPRdata residencyCNPIPL +CSLdata lives where it's storedtransfers require legal safeguards

データ主権

11 最小読み取りプライバシー

データ主権とは、データが物理的に存在する国の法律に従うという法原則です。クラウド サービスにより国境を越えたデータのやり取りが容易になるため、政府は特定のデータ タイプのローカル ストレージを要求する規則で対応しています。その結果、どのデータがどこに送信できるのか、そしてなぜ企業が自社のクラウドがどの地域にあるかを気にするのかについての複雑な地図が作成されます。

記事全文は以下に英語で記載されています。

データ主権 は、デジタル データは、それが存在する国の法律と統治に従うという原則です。データが国境を越える場合、プライバシー法、政府のアクセス権限、保持要件、ブロッキングおよび検閲命令など、異なる規則が適用される可能性があります。

この原則は単純に思えます。この影響は、過去 10 年間のクラウド アーキテクチャ、VPN ポリシー、および国際インターネットを形作ってきました。

データ主権が重要な理由

同じデータ、異なる国、異なるルール:

  • 政府アクセス。 米国に保存されたデータは、クラウド法 (データにまで及ぶ) に基づくものも含め、米国の令状の対象となります。米国に本社を置く企業は海外に保有します)。 EU に保存されているデータは、一括監視に対してより強力な保護を備えています。
  • プライバシー法。 GDPR は、他の場所に保存されている場合でも EU 居住者のデータに適用されます。 PIPL は中国でも同様に適用されます。国境を越えた転送には、明示的な保護措置が必要となる場合があります。
  • 保持要件。 一部の国では、特定のデータ (財務記録、医療記録、政府データ) を国境内に保持する必要があります。
  • 検閲とブロック命令。 政府は現地の通信事業者にコンテンツの削除を強制できます。管轄区域外のオペレーターは強制するのが難しい場合があります。
  • 暗号化義務。 一部の管轄区域では、特定の暗号化の実践が禁止または要求されます。

主要な規制フレームワーク

  • EU GDPR + データ プライバシー フレームワーク — 転送を制限しますEU の個人データを適切な保護なしに第三国に流出させる行為。歴代の米国と EU の枠組み (セーフハーバー、プライバシー シールド、DPF) は欧州司法裁判所によって無効にされ、置き換えられてきました。法的状況は数年ごとに変わります。
  • 中国のPIPL + サイバーセキュリティ法 + データセキュリティ法 — 「重要な」データのローカル保管、国境を越えた転送のセキュリティレビュー、およびオンデマンドの政府アクセスに関する広範な要件。
  • Rロシアのデータローカリゼーション法(242-FZ) — ロシア国民の個人情報を必要とするデータは最初にロシアで収集および保存されます。
  • インドの DPDP 法 (2023 年) — ローカルに保存する必要がある高機密カテゴリを備えたデータ分類のフレームワークを作成します。
  • US 部門別法 — HIPAA (医療)、GLBA (金融)、FERPA (教育)、カリフォルニア州の CCPA などの州レベルの法律。
  • ブラジルの LGPD - ブラジル居住者に対する GDPR に類似。

クラウド アーキテクチャの対応

主要なクラウド プロバイダーは、次のような地域構造を構築しています。準拠:

  • EU 地域 (EU のみのデータ常駐、多くの場合法的に分離された子会社)
  • 中国地域 中国のパートナーが運営 (Sinnet 経由の AWS、21Vianet 経由の Azure、Google Cloud の存在は限定的)
  • Sovereign政府および規制産業向けのクラウド製品 - 特別な分離、ローカルキー管理、地域限定の職員アクセス
  • BYOK / 顧客管理キー - クラウドプロバイダーがデータを保存しますが、暗号化キーは顧客が保持するため、管轄権の問題が部分的に軽減されます

クラウド法

米国の合法性の明確化海外データ使用法 (2018 年) により、米国当局は、データが物理的に保存されている場所に関係なく、米国に本社を置く企業が保有するデータにアクセスできるようになります。これが GDPR の中心的な緊張です。Microsoft Azure-Europe 上の EU ユーザーのデータは、Microsoft に作成を強制できる場合でも米国の令状の対象となります。

EU の対応は徐々に厳しくなっています。Schrems II (2020) は以前のセーフ ハーバーを無効にしました。現在のデータ プライバシー フレームワークには、新しい監視メカニズムが含まれています。現在も法的異議申し立てが続いています。

VPN ユーザーにとっての意味

VPN プロバイダーの管轄権の選択は主権の決定です:

  • US ベースのプロバイダー は、NSL (National Security Letter) 緘口令およびクラウド法令状の対象となります。令状カナリアを持っている人もいます。
  • EU ベースのプロバイダー (スイス - EU ではないが同様のプライバシー姿勢、スウェーデン、オランダ) はより強力なプライバシー保護の下で運営されていますが、依然として現地のデータ保持と合法的アクセス規則の対象となります。
  • プライバシー天国 (NordVPN の場合はパナマ、ExpressVPN の場合は BVI、ルーマニアはCyberGhost) — 弱いデータ保持要件に特化して選択された管轄区域。法的保護の質はさまざまです。

ポリシーが真に監査されている場合、VPN の管轄権はログなしポリシーほど重要ではありません。ただし、プロバイダーが開示を強制される内容の基準は管轄権によって決まります。

個人データの主権

自分自身のデータの保管場所について考えることができます以下も:

  • 各国に拠点を置くメールプロバイダーは法的責任も異なります
  • 写真とクラウドストレージ — iCloudは米国に拠点を置いています。プロトンドライブはスイスです。 Mega はニュージーランド
  • セルフホスティング — あなたの国の自宅にあるサーバーが最も強力なデータ主権
  • 分散型代替 — IPFS、マストドン(フェデレーション)、マトリックス — 複数のオペレータではなく、多くのオペレータにデータを分散します。 one

断片化の傾向

インターネットは国境なしに設計されました。 25 年間にわたる規制により、地域の分断化が進んでいます。中国のグレート ファイアウォールはその極端なバージョンです。 EU-米国間のデータ緊張はより穏やかなものである。今後 10 年間は、各国政府が監視、AI、プラットフォームパワーの懸念に対応する中で、断片化がさらに進むことになるでしょう。これは、ユーザーにとって、サービスの拠点と適用される法律にさらに注意を払うことを意味します。

よくある質問

私のデータは実際にはどこに保存されているのでしょうか?
サービスにより異なります。 Apple データは通常、ユーザーのリージョン内にあります (プレミアム サービスの場合は分散されています)。 Google、Microsoft、Amazon は、サービスごとにデータをリージョン全体に分散させています。各プロバイダーのドキュメントをお読みください。一部のサービスでは地域を選択できます。多くの人はそうではありません。
VPN を使用するとデータ主権は変わりますか?
VPN を使用すると、転送中のトラフィックをどの管轄区域が認識するか、および明らかなリクエストの送信元がどこから来たかを変更できます。宛先サービスがデータを保存する場所は変わりません。ログインするクラウドには、そこにたどり着いた方法に関係なく、同じ場所が存在します。
米国ベースのサービスは避けるべきでしょうか?
脅威モデルによって異なります。ほとんどのユーザーにとって、プライバシーに関する強力な実績を持つ米国ベースのサービスは問題ありません。一か八かのシナリオ(ジャーナリズム、独裁国家での活動)の場合、米国の法的範囲外のサービスを選択することが重要になる可能性があります。リスクリワードは、万能の答えではありません。
CLOUD法とは何ですか?なぜEUの顧客を怖がらせるのでしょうか?
CLOUD法により、米国当局は物理的な場所に関係なく、保有するデータを米国企業に召喚することができる。米国のクラウド プロバイダー (AWS、Azure、GCP) を使用している EU の顧客は、技術的には EU 法と米国の保証の両方の対象となるデータを同時に所有しています。 EUの対応は、契約上の保護措置を要求し、EUに本部を置く代替案を推進することであった。
データ主権はプライバシーを保証するものですか?
それ自体ではありません。データがどこに存在するかは、どの法律が適用されるかに影響しますが、データのプライベート性は事業者が選択した範囲内に限られます。強力な暗号化 (クライアント側の暗号化、顧客管理のキー) により、管轄区域に関係なく保護が提供されます。データ主権は 1 つの層です。エンドツーエンド暗号化はより強力です。
データ主権の説明: データの所在とそれが重要な理由