データの利活用が企業の競争力を左右する昨今において、多くの企業がIT基盤をクラウドへと移行しています。しかし「データ主権」、および「データレジデンシィ」にまつわる法整備や施行が世界的に進行しています。ここではデータ利活用に関するグローバルな動向や、VMwareの活動に対する日立製作所の取り組みを紹介します。
21世紀に入ってからテクノロジーは凄まじいスピードで進化し、いまやスマートフォンやPCはもちろんのこと、インターネットを通じて提供される多種多様なサービスが、世界中の人々の生活に深く根付いています。こうしたテクノロジーの進展は、市場が変化する速度も劇的に上げることとなりました。
ビジネスを取り巻く環境の変化が激しい時代の中、企業には柔軟な対応力が求められています。働き方やITシステムの変化に追随するべく、社内のITシステムをクラウド移行する試みも散見されるようになりました。しかし、クラウド移行に踏み切れていない企業の中には、個人情報や機密性の高い情報およびデータをクラウド上で管理することを不安視するところもあります。
プライバシー保護や機密情報保護の観点においては、自国内の産業を保護するために国境を超えるデータ流通を規制する動き「データ主権」、および「データレジデンシィ」があります。もう少し詳しく解説しましょう。
世界中の企業・組織がクラウド移行に着手する中、データの扱い方について、さまざまな問題が議論されています。多種多様なデータの蓄積や利活用が、国・企業の競争力の強化に不可欠な要素であることは言うまでもありません。先ほども触れたように、諸外国ではデータ流通を規制する法制度の制定・施行が進行しています。
代表的な法令としては、欧州連合(EU)の「一般データ保護規則(GDPR:General Data Protection Regulation)」があります。GDPRは、主にEU域内に居住する個人のプライバシー保護を目的として、EU域内で収集されるデータを保護する規則です。具体的には、EU域内で取得した個人データをEU域外に移転する際に満たすべき法的要件を規定しています。
GDPRでは、データ主体(Data Subject)、すなわちEUに居住する個人の基本的権利を保護するという基本理念が根源にあります。そのため、GDPRのデータ保護に関する要件は、個人の権利の明確化や違反した際の制裁金の設定などの規制が厳格に定められているのです。
GDPRはEUで定められたルールではありますが、日本国内企業であっても適用されるケースは十分に想定されます。例えば、EU域内に子会社・支店・営業所を有している日本企業や、EUに商品やサービスを提供している日本企業、EUから個人データの処理を委託されているデータセンターを有する日本企業も適用対象となります。
その他にもクラウドサービス利用時は、データ主権とデータレジデンシィへの対応も考慮しなければなりません。そのため、クラウド移行に踏み切れない企業も存在するのです。
データレジレンシィにまつわる課題などを受け、昨今注目を集めているのが「ソブリンクラウド(Sovereign Cloud )」です。
ソブリンクラウドにおいては、「データ主権」と「データレジデンシィ」の2つの要素が、各国の法律や規則にのっとっていることが保証されます。
「データ主権」では、国内のインターネットインフラで生成されたデータや通過するデータをコントロールし、国境を越えて個人情報を移転する方法を制限する措置を通じて、国内のデータが海外で悪用されるのを防ぎます。そしてデータは国内の司法管轄権が及びます。
また「データレジデンシィ」とは、“サービス提供に必要なデータは全て当該国内に存在しなければならない”という考え方です。
データレジデンシィだけでは、データに国内の司法管轄権が及ぶことが保証されません。ソブリンクラウドの基本となる機能は、データ主権とデータレジデンシィの両方を備えていることです。
データレジデンシィに関する法制度の制定・施行が世界的に進み、データ主権を実現するソブリンクラウドが世界的に求められている中、VMwareでは、ソブリンクラウドのコンセプトを発展させた「VMware ソブリンクラウドイニシアチブ」を立ち上げ、活動しています。
VMwareソブリンクラウドイニシアチブは、「データ主権」、「データレジデンシィ」を前提として、各国のクラウドベンダーと各国の規制要件を満たすために協業しています。VMware ソブリンクラウドイニシアチブに参画済みの企業が提供するソブリンクラウドは、データ活用による新たな価値の創出とビジネスの成長の追求を支援できます。
日本国内においては、国内のインターネット基盤で生成されたデータや、ネットワークを通過するデータを国内で制御しています。国外で個人情報を移転する方法を制限することで、国内のデータが悪用されるのを防いでいます。
VMware ソブリンクラウドイニシアチブは、VMwareが定義するソブリンクラウドの要件に沿った設計・運用のベストプラクティスのフレームワークを定め、4種類に分類・整理しています。VMwareソブリンクラウドイニシアチブへの参画には、本フレームワークに準拠していることが求められます。日本国内のIT企業の中では、クラウドサービス「エンタープライズクラウドサービスG2」を提供する日立製作所(以下、日立)が2022年8月時点では要件を満たすサービスを提供できるため、参画しています。
エンタープライズクラウドサービスG2では、数あるサービスメニューのうち「クラウド環境移行サービス準備サービス」「リージョン間接続オプション」「コンテナ環境提供オプション」「オブジェクトストレージ」などの提供を予定しています。これらがVMwareが定義するソブリンクラウドイニシアチブのフレームワークの要件を満たすものとして認可を受けており、顧客企業の堅牢なデータ保護をサポート可能です。
VMware ソブリンクラウドイニシアチブのフレームワークに沿った日立の取り組みは、大きく4つに分けられます。
日立が取り組む4つの試み
顧客のデータは、日立が運用を管理する日本国内のデータセンターに保管されます。
VMware Cloudを活用したソリューションを提供する「VMware Cloud Verified」の認定パートナーとして、日立はVMware Cloud Director®、VMware NSX® などVMwareの仮想化テクノロジーを利用し、データアクセスを柔軟かつ効率的に制御・管理することで、顧客の重要なデータを保護します。
日立は、情報セキュリティの国際規格「ISMS(ISO/IEC27001)」や、クラウドセキュリティの国際規格「ISO/IEC27017」の認証を取得しています。2021年6月には、日本国内の政府情報システムのためのセキュリティ制度「ISMAP」のクラウドサービスリストにも登録されています。第三者機関による定期的な監査によって、高いセキュリティレベルの維持が可能です。
日立はクラウドサービス間のデータ移行サービスやアプリケーションをパッケージ化し、データの可搬性を高めるサービスを提供することで、最適なハイブリッドクラウド環境の構築を支援しています。
安全なクラウド環境を構築
エンタープライズクラウドサービスG2は、「システム構成を細かく設定し、柔軟に変更・拡大したい」といった顧客の声に応えるべく、日立が生み出したクラウドサービスです。そのため、顧客の環境や利用状況に応じたシステムの拡大・変更が可能です。
専用の通信回線で結ばれた東西の基幹センターからサービスを提供しているため、同時に被災するリスクを可能な限り低減しており、ネットワークの連携も容易です。ファシリティサービスを利用することで顧客の持ち込みにも柔軟に対応している点も、特筆すべきポイントでしょう。
エンタープライズクラウドサービスG2は「ポータルサービス」「ネットワークサービス」「サポートサービス」「仮想マシン提供サービス」で構成されています。顧客が操作するクラウド統合管理ポータルサイトは、顧客自身でシステム設計・運用できます。モニタリングやメンテナンスといったサポートサービスは、導入から契約後まで日立の担当者が顧客のシステム構築や運用を支援するため、安全・安心にエンタープライズクラウドサービスG2を活用可能です。
エンタープライズクラウドサービスG2の構成図
その他にも、本サービスの構成要素にはオプションサービスがあり、今後も追加・拡大していく予定です。
そして日立は、VMwareソブリンクラウドイニシアチブに参画したことを皮切りに、今後もVMwareとともに、データ主権などといった「データの在り方」全般の課題への対応に向けて、エンタープライズクラウドサービスG2を中心に、信頼性・セキュリティを継続的に向上させるサービスの強化を図っています。
さらに、企業のDX推進における多種多様なニーズにも対応できるよう、クラウドジャーニーを支援する日立のサービスにより、信頼性の高いクラウド環境の構築・運用を支援していきます。
