Compliance & Regulationシリーズの一部
完全ガイドを読むデータの所在地とローカリゼーション: データの所在が重要な場所
2016年にロシア連邦通信監督局がロシアのユーザーデータを国内のサーバーに保存できなかったとしてLinkedInをブロックしたとき、それは世界的なテクノロジー企業にとって警鐘となった。それ以来、データ ローカリゼーションの要件は 60 か国以上に拡大し、その傾向は加速しています。インドは 2025 年に、特定のカテゴリの個人データをインド国境内でのみ保管することを義務付ける規則を最終決定しました。EU の新たなデータ主権フレームワークは、欧州企業ですらクラウド インフラストラクチャに対する考え方を再構築しています。
国境を越えて事業を展開する企業(これには、海外の顧客にサービスを提供する Web サイト、SaaS アプリケーション、または e コマース ストアを含むあらゆるビジネスが含まれます)にとって、データが物理的にどこに存在するかを理解することは、もはや技術的な好奇心ではありません。それはコンプライアンスの義務です。
重要なポイント
- 現在、60 か国以上で、ソフトな優先設定からハードな義務に至るまで、何らかの形でデータ ローカリゼーション要件が設けられています。
- データ常駐要件はクラウド領域の選択、バックアップ戦略、災害復旧アーキテクチャに影響します
- データのローカライゼーション (ローカルに保存する必要がある)、データの常駐性 (どこにでも保存できるが、ローカル コピーが必要)、およびデータ主権 (現地の法律に従う) の区別が重要です。
- 国境を越えた転送メカニズム (SCC、BCR、十分性決定) により、特定の条件下でデータが国際的に流れることが可能になります
重要な概念を理解する
3 つの関連しながらも異なる概念が、データがどこに存在して移動できるかを制御します。
定義
データ ローカリゼーション: 特定の国の国境内でデータを保存および/または処理するための法的要件。データは国外に一切持ち出すことができないか、厳格な条件下でのみ持ち出すことができます。例: ロシア連邦法 242-FZ は、ロシア国民の個人データをロシアにあるデータベースに保存することを義務付けています。
データの所在地: データが保存される地理的な場所。データの保存場所は、法的要件ではなく、契約上の義務である場合があります (顧客はデータを特定のリージョンに保存することを要求します)。プライマリ ストレージが指定された場所にある限り、データは他の場所で処理できます。
データ主権: データは、収集または保存される国の法律および統治構造に従うという原則。データが物理的に A 国に存在する場合でも、それが B 国の国民に属している場合は、B 国の法律の対象となる可能性があります (GDPR の域外適用と同様)。
クラウド インフラストラクチャにとって重要な理由
AWS us-east-1 にデータを保存すると、そのデータは物理的に米国バージニア州に存在し、米国の法律 (CLOUD 法に基づく潜在的なアクセスを含む) の対象となります。そのデータが EU 国民のものである場合は、GDPR に基づいて適切な保護を確保する必要があります。データがロシア国民のものである場合、どのような保護を行っているかに関係なく、ロシアのデータ ローカリゼーション法に違反している可能性があります。
国固有のデータ所在地ルール
国とデータの所在地に関するルール
| 国/地域 | 要件のタイプ | どのようなデータ | 重要な法律 | 執行 |
|---|---|---|---|---|
| EU/EEA | 譲渡制限 | すべての個人データ | GDPR アート。 44-49 | 適切でない国への移送には安全措置が必要です (SCC、BCR) |
| ロシア | ハードローカリゼーション | ロシア国民の個人データ | FZ-242 | ロシアのサーバーに保存する必要があります。違反はブロックにつながります |
| 中国 | ハードローカリゼーション | 個人情報「重要データ」 | PIPL、DSL、CSL | 国境を越えた転送にはセキュリティ評価を受ける必要があります |
| インド | 条件付きローカリゼーション | 機密の個人データ (ミラー コピー)、重要なデータ (完全なローカリゼーション) | DPDP 法 2023 + 規則 | 政府はデータを転送できない国を指定できる |
| インドネシア | ソフトローカリゼーション | 電子システムデータ | GR 71/2019 | 公共の電子システムにはローカル データ センターが必要です。プライベートシステムは免除される |
| ベトナム | ハードローカリゼーション | オンライン サービスからのユーザー データ | 2018 年サイバーセキュリティ法 | 当局から要求された場合はベトナムにデータを保存する必要があります |
| トルコ | 譲渡制限 | 個人データ | KVKK (トルコ DPA) | 転送には明示的な同意または適切性の決定が必要 |
| ブラジル | 譲渡制限 | 個人データ | LGPDアート。 33 | 適切な国への転送、または契約上の保護措置の下で許可される転送 |
| サウジアラビア | 条件付きローカリゼーション | 特定のカテゴリのデータ | PDPL 2022 | 政府機関にはより厳しい要件があります。 |
| ナイジェリア | ソフトローカリゼーション | 個人データ | NDPR 2019 | データはナイジェリアで処理する必要があります。移転には適切性評価が必要 |
| 韓国 | 譲渡制限 | 個人情報 | ピパ | 譲渡に対する同意または契約上の必要性。通知が必要です |
| オーストラリア | 譲渡制限 | 個人情報 | 1988 年プライバシー法、APP 8 | 海外の受取人の取り扱いについては、譲渡人が引き続き責任を負います。 |
| カナダ | 地方のバリエーション | 個人情報 | PIPEDA + 州法 | BC および NS は海外送金の通知を必要とします。ケベック州では DPIA が必要です |
| アラブ首長国連邦 | 条件付きローカリゼーション | 健康データ、財務データ | さまざまな分野の規制当局 | DIFC と ADGM には別のフレームワークがあります。 |
クラウド領域の選択戦略
適切なクラウド リージョンの選択は、データ レジデンシーのコンプライアンスにとって最も影響力のある決定の 1 つです。正しく設定すれば、コンプライアンスがアーキテクチャに組み込まれます。やり方を間違えると、コストのかかる再構築や規制上の罰則に直面することになります。
マルチリージョン アーキテクチャ パターン
パターン 1: 単一リージョン (シンプル)
すべてのデータは 1 つのクラウド領域に保存されます。管理は最も簡単ですが、低遅延で世界中の顧客にサービスを提供する能力が制限され、ローカリゼーションの義務が厳しい国に顧客がいる場合はローカリゼーション要件を満たせない可能性があります。
次のような場合に最適: 主に 1 つの国または地域で事業を展開しており、他の場所では厳しいローカリゼーション要件がない企業。
パターン 2: 地域ハブ (バランス型)
運用の複雑さを管理しやすくしながら、地理的な範囲を提供する 2 ~ 4 つの戦略的リージョンに展開します。
| ハブ | クラウド領域 | カバー |
|---|---|---|
| ヨーロッパ | AWS eu-west-1 (アイルランド) または eu-central-1 (フランクフルト) | EU/EEA、英国、トルコ、中東 |
| アメリカ | AWS us-east-1 (バージニア) または ca-central-1 (カナダ) | 米国、カナダ、ラテンアメリカ |
| アジア太平洋 | AWS ap-southeast-1 (シンガポール) または ap-south-1 (ムンバイ) | 東南アジア、インド、オーストラリア |
| 中国 | AWS cn-northwest-1 (寧夏) または Alibaba Cloud | 中国 (別の法人が必要) |
最適な用途: ほとんどの国際的なビジネス。良好な遅延、規制の適用範囲、および管理可能な複雑さを提供します。
パターン 3: 国ごとの展開 (最大限のコンプライアンス)
厳しいローカリゼーション要件があるすべての国に導入します。コンプライアンスは最高ですが、運用コストと複雑さは最高です。
最適な用途: 厳しいローカリゼーション義務がある国 (ロシア、中国、インド) で事業を展開している、厳しく規制されている業界 (銀行、医療、政府)。
クラウドプロバイダーリージョンの可用性
| プロバイダー | 合計地域 | コンプライアンスの主要地域 |
|---|---|---|
| AWS | 34 | フランクフルト、アイルランド、ロンドン、ムンバイ、サンパウロ、シンガポール、カナダ、バーレーン、ジャカルタ |
| アズール | 60歳以上 | オランダ、ドイツ、フランス、英国、インド、ブラジル、UAE、南アフリカ、カナダ |
| GCP | 40 | ベルギー、ロンドン、フランクフルト、ムンバイ、サンパウロ、シンガポール、シドニー |
| アリババクラウド | 28 | 中国 (複数)、シンガポール、インドネシア、インド、UAE、ドイツ |
国境を越えたデータ転送メカニズム
データの所在地に関する要件があっても、事業運営のためには国境を越えたデータ転送が必要になることがよくあります。いくつかの法的メカニズムにより、準拠した転送が可能になります。
GDPR に基づく転送メカニズム
十分性の決定。 欧州委員会は、特定の国が適切なデータ保護を提供していると決定します。これらの国への送金は EU 内送金と同様に扱われます。現在適切な国には、アンドラ、アルゼンチン、カナダ (商業)、フェロー諸島、ガーンジー島、イスラエル、マン島、日本、ジャージー、ニュージーランド、韓国、スイス、英国、ウルグアイ、および米国 (認定企業向けの EU-US データ プライバシー フレームワークに基づく) が含まれます。
標準契約条項 (SCC)。 データ輸入業者が同意する必要がある事前承認された契約条項。 2021 年に更新された SCC には、さまざまな転送シナリオ (コントローラーからコントローラー、コントローラーからプロセッサー、プロセッサーからプロセッサー、プロセッサーからコントローラー) に対応する 4 つのモジュールが含まれています。
拘束力のある企業規則 (BCR)。 多国籍企業が企業グループ内でデータを転送できるようにする、EU データ保護当局によって承認された内部ポリシー。 BCR は導入に費用がかかり、時間もかかります (12 ~ 18 か月) が、大企業にとっては耐久性のあるソリューションとなります。
明示的な同意 データ主体は国境を越えた転送に同意できますが、これは具体的で、情報に基づいた、真に自発的なものでなければなりません。これは、組織的または大規模な転送には有効なメカニズムではありません。
契約上の必要性 データ主体と管理者の間の契約の履行に必要な送金 (例: 他の国のホテルの予約)。契約に直接必要な送金に限ります。
移転影響評価
Schrems II の決定以降、SCC を使用する組織は、移転ごとに移転影響評価 (TIA) を実施する必要があります。
- 特定の転送(データの種類、目的、受信者、宛先)を特定します。
- 目的国の法的枠組みを評価する(監視法、政府のアクセス権)
- 補足措置(暗号化、仮名化、契約上の制限)が必要かどうかを評価します。
- 評価を文書化し、要求に応じて提供できるようにする
国境を越えた転送を管理するプライバシー規制の包括的な概要については、データ プライバシー比較ガイド を参照してください。
実装チェックリスト
データ所在地コンプライアンスへの手順
-
データの一覧を作成します。 すべての個人データと機密データをマッピングし、その保存場所を特定し、データ主体の所在地に基づいて適用される管轄区域の法律を決定します。
-
該当する要件を特定します。 データ主体または顧客が存在する管轄区域ごとに、特定のデータの所在地またはローカリゼーションの要件を決定します。
-
現在のアーキテクチャを評価します。 現在のクラウド リージョン、バックアップの場所、CDN エッジ キャッシュ、およびデータを処理または保存するサードパーティ サービスを文書化します。
-
ギャップを特定します。 現在のアーキテクチャを要件と比較します。一般的なギャップには、非準拠リージョンに保存されたバックアップ、データをグローバルに複製する CDN キャッシュ、非準拠の場所にデータを保存する SaaS ベンダーが含まれます。
-
ターゲット アーキテクチャを選択します。 コスト、パフォーマンス、運用の複雑さのバランスをとりながら、特定された要件をすべて満たすマルチリージョン パターンを選択します。
-
データ ルーティングを実装します。 データ主体の管轄区域に基づいて、適切な地域にデータをルーティングするようにアプリケーションを構成します。これには、リージョンごとのデータベース シャーディング、リージョンごとの個別のストレージ バケット、またはデータ ルーティング レイヤーが必要になる場合があります。
-
ベンダー契約を更新します。 すべてのサードパーティ ベンダーがデータを準拠リージョンに保存していることを確認します。必要に応じて DPA と SCC を更新します。ベンダーのサブプロセッサーを確認します。
-
バックアップと DR を構成します。 バックアップおよび災害復旧インフラストラクチャが常駐要件に準拠していることを確認します。 DR のクロスリージョン レプリケーションは、準拠リージョン内にとどまる必要があります。
-
すべてを文書化します。 データ フロー、保管場所、転送メカニズム、およびコンプライアンスの決定に関する記録を維持します。この文書は GDPR (ROPA) によって要求されており、監査人によって期待されています。
-
継続的に監視します。 データ常駐は 1 回限りのプロジェクトではありません。新しいサービス、新しいベンダー、新しい顧客、新しい規制によって要件が変わる可能性があります。データ常駐チェックを調達プロセスとアーキテクチャ レビュー プロセスに組み込みます。
データ所在地のコンプライアンスを実証するために必要な監査証跡の構築の詳細については、監査証跡コンプライアンス ガイド を参照してください。より広範なコンプライアンスの状況については、エンタープライズ コンプライアンス ハンドブック を参照してください。
よくある質問
データ常駐性はバックアップと災害復旧コピーにも適用されますか?
はい。規制によりデータを特定の国内に保存することが求められている場合は、バックアップおよび DR コピーもその国内に存在する必要があります。これにより、通常、地理的に離れたバックアップが必要となる災害復旧のベスト プラクティスとの間に緊張が生じます。解決策は、準拠国内で複数のアベイラビリティーゾーンを使用すること (AWS にはほとんどの地域に複数の AZ があります)、または規制が許可する場合は、同等のデータ保護が行われている国のバックアップ場所を使用することです (例: ドイツのデータをフランスでバックアップすることは、一般的に GDPR の下で許容されます)。
グローバル CDN でデータの常駐をどのように処理すればよいでしょうか?
Cloudflare や AWS CloudFront などの CDN は、世界中のエッジ ロケーションにコンテンツをキャッシュします。静的コンテンツ (画像、CSS、JavaScript) の場合、これは通常、データの保存場所の問題ではありません。ただし、CDN が個人データを含む応答をキャッシュしている場合、それらのキャッシュされたコピーは非準拠の管轄区域に存在する可能性があります。解決策には、個人データを含む応答のキャッシュを無効にする、地域制限機能を備えた CDN を使用してキャッシュを準拠地域に制限する、またはキャッシュ可能な応答に個人データが決して含まれないようにするなどがあります。
データ保管場所の要件を満たすために暗号化を使用できますか?
一般的には、いいえ。ほとんどのデータ ローカライゼーション法は、データが暗号化されているかどうかではなく、データの物理的な場所に焦点を当てています。非準拠の場所に保存された暗号化データは、引き続き非準拠の場所に保存されます。ただし、暗号化は GDPR (特にシュレムス II 以降) に基づく国境を越えた転送の補助手段となり、一部の転送影響評価要件を満たす可能性があります。
転送中に処理されるデータはどうなりますか --- ルーティングは重要ですか?
一部の規制は、転送中のデータに関して曖昧です。一般的なコンセンサスは、準拠していない管轄区域を介した暗号化データの一時的なルーティング (インターネット ルーティングなど) は、その管轄区域内での保管または処理にはならないということです。ただし、準拠していない管轄区域でデータが意味のある処理 (復号、分析、変換) された場合、その処理はローカリゼーション要件に違反します。
マルチテナント SaaS プラットフォームはデータ常駐をどのように処理しますか?
マルチテナント SaaS プラットフォームは、データ常駐に関する最も複雑な課題に直面しています。一般的なアプローチには、リージョンごとに個別のインスタンスをデプロイする (最も準拠していますが、最も高価です)、リージョンを意識したルーティングを使用したデータベース レベルのテナント分離 (バランスのとれたアプローチ)、または特定のテナントのデータを特定のストレージ リージョンに送信するアプリケーション レベルのデータ ルーティング (最も柔軟性がありますが、実装が最も複雑です) が含まれます。
次は何ですか
より多くの国がデータ主権法を制定し、既存の規制が強化されるにつれて、データ所在地の要件は拡大し続けるでしょう。データ常駐コンプライアンスを最初からアーキテクチャに組み込むほうが、後から改修するよりもはるかに低コストです。
ECOSIRE は、企業が ERP および e コマース システム用にデータ常駐に準拠したアーキテクチャを設計するのに役立ちます。当社の Odoo ERP 実装 は、準拠したデータ ルーティングによるマルチリージョン展開をサポートしており、当社の クラウド インフラストラクチャ サービス には、データ常駐性の評価とアーキテクチャ設計が含まれています。 AI を活用したデータ フロー マッピングとコンプライアンスの監視については、OpenClaw AI プラットフォーム をご覧ください。 お問い合わせ して、データ常駐戦略についてご相談ください。
ECOSIRE によって発行 — Odoo ERP、Shopify eCommerce、OpenClaw AI にわたる AI を活用したソリューションで企業のスケールアップを支援します。
執筆者
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
関連記事
化学産業向け ERP: 安全性、コンプライアンス、バッチ処理
ERP システムが化学会社の SDS 文書、REACH および GHS 準拠、バッチ処理、品質管理、危険物輸送、配合管理をどのように管理するか。
輸出入取引用ERP: 多通貨、物流、コンプライアンス
ERP システムが商社の信用状、税関書類、インコタームズ、多通貨損益計算書、コンテナ追跡、関税計算をどのように処理するか。
ERP を使用した持続可能性と ESG レポート: コンプライアンス ガイド 2026
ERP システムを使用して、2026 年の ESG 報告コンプライアンスをナビゲートします。 CSRD、GRI、SASB、スコープ 1/2/3 排出量、炭素追跡、Odoo の持続可能性をカバーします。
Compliance & Regulationのその他の記事
電子商取引のサイバーセキュリティ: 2026 年のビジネスを守る
2026 年の完全な e コマース サイバーセキュリティ ガイド。PCI DSS 4.0、WAF セットアップ、ボット保護、支払い詐欺防止、セキュリティ ヘッダー、およびインシデント対応。
化学産業向け ERP: 安全性、コンプライアンス、バッチ処理
ERP システムが化学会社の SDS 文書、REACH および GHS 準拠、バッチ処理、品質管理、危険物輸送、配合管理をどのように管理するか。
輸出入取引用ERP: 多通貨、物流、コンプライアンス
ERP システムが商社の信用状、税関書類、インコタームズ、多通貨損益計算書、コンテナ追跡、関税計算をどのように処理するか。
ERP を使用した持続可能性と ESG レポート: コンプライアンス ガイド 2026
ERP システムを使用して、2026 年の ESG 報告コンプライアンスをナビゲートします。 CSRD、GRI、SASB、スコープ 1/2/3 排出量、炭素追跡、Odoo の持続可能性をカバーします。
監査準備チェックリスト: 書籍の準備をする
財務諸表の準備状況、裏付け文書、内部統制文書、監査人の PBC リスト、一般的な監査結果を網羅した完全な監査準備チェックリスト。
電子商取引ビジネスのためのオーストラリア GST ガイド
ATO 登録、75,000 ドルの基準値、少額輸入、BAS 申請、デジタル サービスの GST を網羅した、e コマース ビジネス向けのオーストラリア GST 完全ガイド。