Salesforceのデータ保管に関するベストプラクティス

コンプライアンス要件を満たし、Salesforceデータの保存場所を管理する

Salesforceを利用する組織にとって、機密性の高い顧客データのセキュリティとコンプライアンスを確保する上で、データの保存場所（データ・レジデンシー）は極めて重要な考慮事項です。Salesforceは世界中に展開しているため、Salesforceデータが物理的にどこに保存されているか、およびそれに関連する法的影響を理解することは、サイバーリスクとコンプライアンスリスクの両方を軽減するための鍵となります。

データレジデンシー、データローカリゼーション、データソブリンティの違いとは？

これら3つの用語は関連していますが、データ管理およびコンプライアンスの分野においては、それぞれ異なる意味を持ちます。データ・レジデンシーとは、サーバー、データベース、データセンターのいずれであれ、組織のデータが保存されている物理的または地理的な場所を指します。データ・ローカリゼーションとは、特定のデータが収集された国または地域内で保存および処理され、その国境の外へ転送されないという要件です。データ主権とは、データの所有者である個人や法人の国籍にかかわらず、データはそれが所在する国または管轄区域の法律や規制に従うべきであるという原則です。組織が関連するデータプライバシーおよびセキュリティ規制を確実に遵守するためには、これらの概念の微妙な違いを理解することが不可欠です。

Salesforce のデータレジデンシーとは？

データレジデンシーとは、サーバー、データベース、データセンターのいずれであれ、組織の Salesforce データが物理的に保存されている場所を指します。Salesforce データが所在する国または地域によって、そのデータに適用されるプライバシー法、データ主権に関する規制、およびセキュリティ要件が決まります。Salesforce ユーザーにとって、データレジデンシーは特に重要です。なぜなら、Salesforce は世界中にデータセンターを保有しているからです。Salesforce 組織の設定によっては、Salesforce データは米国、ヨーロッパ、アジア、またはその他の地域に保存される可能性があります。

各国の法律や規制に応じて、以下のような事項がしばしば含まれます：

• 保存場所：多くの国では、特定の種類のデータを自国の領土内に保存することを義務付ける法律があります。
• 転送制限：一部の法域では、国境を越えたデータ転送に関する要件が設けられています。例えば、EUの一般データ保護規則（GDPR）では、EUからデータが転送されるのは、適切なレベルのデータ保護を提供する国に限られると規定されています。
• 現地でのアクセス：規制により、現地政府や特定の規制当局がデータにアクセスできることが求められる場合があります。
• プライバシー保護：国によっては、組織が保存するデータに対して、データ暗号化、仮名化、または匿名化に関する措置など、特定のプライバシー保護措置を講じることが求められる場合があります。
• データ漏洩の通知：一部の国では、データ漏洩が発生した場合、組織が関係当局および／または影響を受けた個人に通知することを義務付けています。
• 記録の保持：組織は、すべてのデータ処理活動の記録を保持することが求められる場合があります。
• 同意：場合によっては、組織はデータを保存または処理する前に、データ主体から明示的な同意を得る必要があるかもしれません。

例えば、オーストラリアやシンガポールでは、規制対象業界で事業を行う公共部門の組織や民間企業から、自国におけるSalesforceセキュリティデータの保管場所を管理したいという強い要望が寄せられています。

なぜSalesforceデータの保管場所が重要なのか？

Salesforceデータの保存場所がセキュリティ上極めて重要である主な理由は以下の通りです：

1. 法令遵守：国や地域によって、データの保存、保護、プライバシーに関する法律は異なります。法的問題や罰則を回避するためには、現地のデータ保存場所に関する規制に準拠してSalesforceデータを保存することが必須です。
2. データプライバシーの保護：データ保存場所に関する規則は、データが収集される個人のプライバシーを保護するために存在します。Salesforceデータの保存場所に関する規則を順守することで、顧客データが安全に、かつ適切なプライバシー管理の下で取り扱われることが保証されます。
3. セキュリティリスクの低減：Salesforceデータを国内に保存することで、不正アクセス、データ漏洩、データ損失など、国境を越えたデータ転送に伴うリスクを最小限に抑えることができます。通常、国内での保存の方がより安全です。
4. 顧客の信頼：データプライバシー法を尊重し、Salesforceのデータ居住要件に従ってデータを保存するSalesforceを活用したビジネスに対し、顧客はより大きな信頼を寄せます。これにより信頼関係が築かれます。
5. 事業継続性：災害発生時、Salesforceデータをローカルに保存しておけば、被災地域のデータセンターがサービスの復旧に専念できるため、より迅速な復旧が可能になります。

Salesforceデータレジデンシー管理のベストプラクティス

データレジデンシーの観点からSalesforceデータの安全性とコンプライアンスを確保するには、以下のベストプラクティスに従ってください：

1. Salesforceデータの保存場所を把握する：Salesforce組織のデータが物理的に保存されている具体的なデータセンターとリージョンを特定してください。この情報は、SalesforceまたはSalesforceコンサルティングパートナーから入手可能です。
2. 関連するデータレジデンシー法を把握する：データの保存場所に基づき、Salesforceデータに適用されるデータレジデンシー、データ主権、およびデータプライバシーに関する法律を調査してください。コンプライアンスを確保するために、法律顧問に相談してください。
3. 適切なデータ暗号化を実施する：特に国境を越えてデータが転送される場合は、保存時および転送時の両方で、強力な暗号化を使用して Salesforce データを保護してください。Salesforce の組み込み暗号化機能を活用し、サードパーティ製アプリケーションもこれに準拠していることを確認してください。
4. Salesforce データへのアクセスを制限する：Salesforce データへのアクセスを、それを必要とする従業員およびシステムに限定してください。Salesforce の堅牢なユーザー権限および共有設定を使用して、データアクセスを制御してください。
5. Salesforceデータのアクティビティを監視する：Salesforceデータの使用状況、アクセス、共有のアクティビティを継続的に監視し、データ侵害やコンプライアンス上の問題を示す可能性のある不審な行動を検知してください。Salesforceのセキュリティ監視ツールを活用してください。

これらのベストプラクティスに従い、データの保存場所とセキュリティを重視するSalesforceコンサルティング企業と提携することで、Salesforceデータが世界のどこに保存されていても、その安全性とコンプライアンスを確保できます。

WithSecure™ Cloud Protection for Salesforceがコンプライアンス要件の達成をどのように支援するか

WithSecure™ Cloud Protection for Salesforceは、AWSデータセンター上でホストされています。本ソリューションは、ヨーロッパ（アイルランド）、米国、オーストラリア、シンガポールのデータセンターで稼働しており、日本を含むその他の国々でもまもなく提供開始予定です

データの保存場所、つまりデータがどのデータセンターで処理されるかを完全に制御できます。データは転送中も保存中も厳重に暗号化されます。データの取り扱いおよびセキュリティ対策は、最も厳格な業界標準に準拠しています。また、隠れたホスティング費用や手間について心配する必要はありません。