データ所在地の要件を適用する

このページでは、データ所在地の要件を適用するように AlloyDB for PostgreSQL を構成する方法について説明します。

データ所在地の概要

データ所在地とは、データの物理的な場所と、そのデータの保存、暗号化、アクセス方法を規定するローカル規則のことです。国ごとのデータ保護やプライバシーに関する規制が厳しくなり、ローカルデータ所在地の要件に従い、ユーザーデータを保護する方法を理解することがますます重要になっています。

従来のオンプレミス環境では、データ所在地を処理するようにさまざまなコンポーネントを構成します。たとえば、企業はトークン化ゲートウェイをクラウド アクセス セキュリティ ブローカー(CASB)としてホストして、アプリケーション データを海外に転送する前に保護できます。

クラウド コンピューティング サービスではデータが社外で保存されるため、クラウド コンピューティングには独自のデータ所在地に関する問題と質問があります。次に例を示します。

  • 企業のクラウド管理者がデータの物理的な場所を把握していない場合、その場所に適用される規制も把握していません。各ロケーションのデータ所在地に関するポリシーを調査するには、管理者がデータセンターの場所を把握している必要があります。
  • 企業のクラウド管理者とプロバイダは、許可されるロケーションを設定するサービスレベル契約(SLA)を使用して、クラウドサービスがデータ ストレージに使用できるリージョンの範囲を制限する場合があります。
  • ユーザーは、自身のデータと、自身のクラウド プロジェクトで使用するサービスとリソースのすべてが、ホスト国のデータ所在地に関する規制を遵守していることを確認する必要があります。

AlloyDB のデータ所在地

データ所在地には、特定のリージョン内に個人を特定できる情報(PII)やその他の機密情報を、そのリージョンの法律や規制に準拠した方法で保存することが含まれます。

データを保存するには、該当する国の法的要件や規制要件(データ局所性に関する法律など)を満たす必要があります。たとえば、政府関連のデータをその国内に保存することが法律で義務付けられている場合があります。あるいは、一部の顧客データを別の国に保存することが契約で義務付けられていることもあります。このため、企業はデータを保存する国のデータ所在地の要件を満たす必要があります。

Cloud Asset Inventory(CAI)サービスを使用すると、AlloyDB を含むCAI でサポートされているサービス全体のリソースのロケーションを表示してモニタリングできます。

AlloyDB では、データのロケーションを指定し、AlloyDB で使用可能なロケーションを制限することで、データ所在地の要件を満たすことができます。

ロケーションの選択

Google Cloudでは、データの保存場所を選択できます。たとえば、データを保存するリージョンを選択できます。これらのリージョンで AlloyDB リソースを構成すると、Google はサービス固有の規約に従い、これらのリージョンにのみデータを保存します。リージョンはクラスタの作成時に選択できます。クラスタに対して作成されたインスタンスとバックアップは、クラスタと同じリージョンに保存されます。

リソース ロケーションの制約

組織のポリシーの制約を使用して、組織レベル、プロジェクト レベル、フォルダレベルでデータ所在地の要件を適用できます。これらの制約を使用すると、サポートされているサービスのリソースをユーザーが作成できる Google Cloud のロケーションを定義できます。データ所在地については、リソース ロケーションの制約を使用して、新しいサポートされている AlloyDB リソースの物理的な場所を制限できます。また、制約のポリシーを微調整して、許可または拒否するロケーションとして、us-east1europe-west1 などのリージョンを指定することもできます。既存のロケーション違反は、Security Health Analytics を使用して検出し、修正できます。

次のステップ