by Wim Stoop, and Anthony Behan
この記事は、2022/5/02に公開された「Choose Compliance, Choose Hybrid Cloud」の翻訳です。
デジタルトランスフォーメーションが加速し、デジタルコマースがあらゆる商取引の主流となるのに合わせ、世界中の規制当局や政府は、消費者保護とデータ保護対策の必要性の高まりを認識しています。欧州連合(EU)がそんな取り組みの先陣を切っていましたが(直近では、Digital Services Act、デジタルサービス法案について暫定合意)、他の国・地域も追随し、オーストラリアからブラジル、南アフリカから米国カリフォルニア州(米国の他の地域はまだ追いついていません)、中国から英国まで、ほぼ毎日のように新しいデータ管理および保護規則が制定されています。商取引とインターネットの持つグローバルな性質を考えると、これらの新しい規則の多くは、規則制定者の管轄を越えて広範な影響を及ぼすことになります。欧州と取引している企業は、他の地域に拠点を置いている場合でも、法的義務(特に一般データ保護規則、GDPR)を認識する必要があります。さらに、ヘルスケアや金融といった分野別の規則により、企業は自社のデータ資産やプロセスをコンプライアンスに適合させるために、さらなる負担が増大しています。
ハイブリッドクラウドアーキテクチャを導入する理由は、コスト、パフォーマンス、信頼性、セキュリティ、インフラストラクチャの制御など、数多くあります。そんな中でもCloudera のお客様は、コンプライアンス要件を管理するためにハイブリッドクラウドアーキテクチャを選択されることが多くなっています。これは、タグ付け、メタデータ管理、アクセス制御、匿名化など、特定のガバナンスルールを実装するだけに限らず、将来的にルールが変更される可能性に備えるためでもあります。
例えば、2018年に施行された GDPR は、個人データの処理に関する厳格な義務を定め、個人に対するプライバシー権を強化しました。GDPR は、その前身と同様に、個人データのEU域外への移転に関する制限と、国境を越えた移転の例外を扱うための基準(例えば、米国への個人データの移転に関する EU・米国間のプライバシーシールドの枠組み)を維持しました。しかし、欧州連合司法裁判所は、2020年にプライバシーシールドを無効としました。それが、Schrems II 判決です。これによって、この枠組みを信頼して米国に個人データを移転する企業は、そのようなデータを合法的に移転し続けるための新たな仕組み、すなわち、移転に携わる当事者間で標準的な契約条項を締結することを実施しなければならなくなったのです。さらに、Schrems II は、データのプライバシーを確保するための移転影響評価の実施など、データを保護するための新しいプロセスや手順を設定することも企業に要求しています。このような厳しい規制環境を踏まえ、GDPR の対象となる個人データを処理する企業は、データを米国のパブリッククラウドに格納するのか、英国のパブリッククラウド、もしくはEU 企業自体のファイアウォールの内側のどこにハウジングするのかを検討する必要があります。
このような規制の変更を見越した上で、エンタープライズ・データ・アーキテクチャを設計することは困難です。欧州におけるこの動きは、米国政府にオムニバスデータ保護法の実施や、欧州連合司法裁判所とのプライバシーシールドの新版を確保するための外国人の個人データセキュリティとプライバシーに関する規則の強化に拍車をかけ、Trans-Atlantic Data Privacy Framework(大西洋横断データプライバシーフレームワーク)のように、EU が米国の EU 個人データに対して「安全」と見なすことになる可能性があります。さらに、EU のデータ保護体制は、すでに世界中の同様のデータ保護法に影響を与えており、一部の法律では、データの国際移動に同様の制限を課しています。これらのことが意味するのは、事実上、データ保護体制は進化しており、今後数年のうちにさらに変化する可能性があるということです。問題は、その変化が起こったときに、データアーキテクチャが十分に対応できる俊敏性を備えているかということです。
ハイブリッドデータプラットフォームの特長は、データ資産が複数のクラウドにまたがって単一のプラットフォーム上に存在できる点にあります。各クラウド(例:米国のパブリッククラウド、EUのパブリッククラウド、プライベートクラウド、オンプレミスの医療業界専用クラウドなど)は、アクセス、制御、データ衛生に関する独自のガバナンスルールを持ち、ビジネス、顧客、業界のルールに準拠することが可能です。ルールが変わればガバナンスも変わり、同様に管轄やインフラも変わります。これは、単なるデータメッシュを超えた、データアーキテクチャの根本的な新しいアプローチであり、これまでのアーキテクチャレイヤーにはなかった動きをもたらします。
ハイブリッドクラウドの活用とコンプライアンスの確保は、企業が解決を求める難問です。個々のインフラストラクチャは、それぞれ独自のアーキテクチャ、フレームワーク、およびデータセキュリティとプライバシーの観点からの影響を持ち、すべてのインフラストラクチャでコンプライアンスを確保することは簡単ではありません。ハイブリッドデータプラットフォームの重要な特徴の1つは、クロスプラットフォームのセキュリティとガバナンスです。優れた一歩先を行くガバナンスは、ビジネス価値を明らかにするだけでなく、コンプライアンスの実証にも役立ちます。また、ガバナンスは、セキュリティと密接に連携し、誰がどのデータにアクセスできるかを制限したり、データの保存場所を制限できなければなりません。どちらも、後付けできるものではなく、複数にまたがる場合はなおさらです。すべてのクラウドで一貫したセキュリティとガバナンスを実現することが、ハイブリッドクラウドの成功の鍵であり、データとサービスの移動性を実現するための基本要件なのです。
Cloudera Data Platform (CDP) 内では、Shared Data Experience (SDX) がデータのセキュリティとガバナンスを提供する基本的な機能となっています。コンピュートやストレージのレイヤーから独立した SDX は、メタデータをベースにしたセキュリティおよびガバナンステクノロジーの統合セットを提供し、ハイブリッドクラウド間での一貫性を確保します。SDXを使用することで、企業はデータに関する必要な洞察を得て、安全かつコンプライアンスに準拠した方法でデータを使用する方法について正しい情報に基づいた意思決定を行うことができます。また、規制が変更されても、コンプライアンスを維持するためにハイブリッドクラウド間でデータと分析を移動させることができます。
Clouderaがハイブリッドクラウドを活用し、欧州を中心に国際的なデータプライバシーコンプライアンスを実現する方法に関するウェビナーを開催しました。アーカイブがございますのでご興味があれば是非ご覧ください。(英語版となります)
