Press Release
新しいKiteworksレポート、全地域の組織がデータ主権コンプライアンスに数百万ドルを費やしている実態を明らかに
昨年、3社に1社がデータ主権に関するインシデントを経験しました。
Kiteworksは、機密データの送信・共有・受信・利用におけるリスク管理を強化するソリューションを提供しています。このたび、同社はリスク管理、コンプライアンス、IT、セキュリティの専門家を対象としたクロスリージョナル調査「2026年データセキュリティ&コンプライアンスリスク:データ主権レポート」を発表しました。本調査では、データ主権に関する認識がかつてないほど高まっている一方で、過去12カ月間に3社に1社が主権関連のインシデントを経験しているというギャップが明らかになりました。調査はカナダ、中東、欧州の専門家を対象に、PIPEDA、PDPL、GDPR、そして新たなAIガバナンスフレームワークへの対応状況をカバーしています。
本レポートで最も注目すべき点は、認識の高まりとインシデントの継続発生が同時に起きていることです。各地域の回答者の約44%がデータ主権要件について「非常によく理解している」と回答(カナダ44%、中東44%、欧州44%)。それにもかかわらず、インシデント発生率はカナダ23%、欧州32%、中東44%と地域差があります。主なインシデントの種類は、主権に関わるデータ侵害(17%)、サードパーティのコンプライアンス違反(17%)、規制当局による調査(15%)、無許可の越境データ転送(12%)、政府によるデータアクセス要求(10%)などです。
「調査対象となったすべての地域で、組織は主権コンプライアンスに数百万ドルを投じ、認識も高いにもかかわらず、侵害や無許可転送、政府のアクセス要求に直面し続けています」とKiteworksのEMEA GTM & Customer Operations GM、Dario Perfettibileは述べています。「問題は知識ではありません。実際にレジデンシーを強制し、アクセスを制御し、必要に応じて監査証跡を提示できるアーキテクチャと、ポリシー文書との間にあるギャップなのです。」
主な調査結果:主権ギャップは情報ではなく運用面にある
本レポートでは、主権成熟度に関する従来の想定に挑む地域ごとのダイナミクスが明らかになりました。中東では、回答者の93%がPDPLおよびSDAIA規制が業務に直接影響していると答え、3分の2が年間100万ドル超を投じているにもかかわらず、インシデント発生率が最も高い(44%)という結果に。カナダはインシデント発生率が最も低い(23%)ものの、カナダの回答者の40%がカナダ・米国間のデータ共有の変化を最大の懸念事項とし、21%が米国クラウド法を直接的な主権リスクと認識しています。
欧州では、ほぼ全社がGDPRに準拠しているにもかかわらず、44%がクラウド導入の最大の障壁としてプロバイダーによる主権保証を挙げており、これは全地域で最も高い割合です。特にMicrosoft GCC Highのような環境は、管轄レジデンシー要件を満たしていても、暗号鍵の単独所有権を提供しておらず、プロバイダーが顧客データへ技術的にアクセスできるため、多くの組織が求める主権保証を損なう要因となっています。
技術インフラの変更(59%)や法務・コンプライアンスの専門知識(53%)がリソース消耗の主因となっており、大半の組織が主権コンプライアンスに年間100万ドル超を費やしています。しかし、市場はポリシーからアーキテクチャへのシフトが進行中であり、コンプライアンス自動化や技術的統制強化が、3地域共通の2年計画戦略の中心となっています。
AIガバナンスが次なる主権競争の舞台に浮上
レポートでは、AIデータ主権の課題が拡大していることも明らかになりました。回答者の約3分の1はAIトレーニングデータをすべて自国内に保管し、もう3分の1はデータの機密性に応じて混合型アプローチを採用、21%はAI主権ポリシーをまだ策定中です。EU AI法が施行され、サウジアラビアではSDAIAがAIガバナンスを主導する中、ポリシー未策定のグループは計画のないまま規制執行サイクルに突入するリスクが指摘されています。
Kiteworksのプライベートデータネットワークは、証明可能な主権を実現するための機能でこれらの課題に対応します:
暗号鍵の単独所有権:Kiteworksは暗号鍵の管理を顧客環境内に限定し、プロバイダーが法的強制下でもコンテンツを復号できないようにします。政府によるデータアクセス要求を主権インシデントと回答した10%の組織にとって、これはワークフロー上の課題と暗号技術的な不可能性の違いを生むアーキテクチャ上の差別化要素です。
柔軟な管轄デプロイメント:オンプレミス、プライベートクラウド、ハイブリッド、FedRAMPなど多様なデプロイメントオプションにより、カナダ・中東・EUなど各地域の自国内に機密コンテンツを限定保存可能。IP制御によるジオフェンシングも実現します。
改ざん不可能な監査証跡と自動コンプライアンスレポート:中央集約型の改ざん不可能なログと、GDPR、PIPEDA、PDPL、DORA、NIS2向けの事前設定済みテンプレートにより、レポートが指摘する「宣言上のコンプライアンス」と「証明可能な統制」のギャップを埋めるエクスポート可能な証拠を提供します。
統合データ交換ガバナンス:メール、ファイル共有、マネージドファイル転送、SFTP、ウェブフォームなど、サードパーティの失敗や越境転送インシデントが集中しやすいチャネルを、単一のゼロトラストプラットフォームで統合管理します。
「かつて主権とは“データを正しい国に置けばOK”という地理的な意味合いでしたが、今やその時代は終わりました。規制当局や顧客、調達部門は、『誰がデータにアクセスできるのか』『誰が鍵を管理しているのか』『必要な時にコンプライアンスを証明できるか』を求めています。こうした証明をアーキテクチャに組み込む組織が先行し、他はルールを知っていてもインシデントに見舞われ続けるでしょう」とKiteworksのEMEA GTM & Customer Operations GM、Dario Perfettibileは述べています。
Kiteworksについて
Kiteworksのミッションは、組織が機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう支援することです。Kiteworksプラットフォームは、顧客にデータガバナンス、規制コンプライアンス、データ保護を提供するプライベートデータネットワークを提供します。このプラットフォームは、組織内外を移動する機密データを統合・追跡・制御・保護し、リスク管理を大幅に向上させ、すべての機密データ交換における規制コンプライアンスを確実にします。本社はシリコンバレーにあり、Kiteworksは1億人以上のエンドユーザーと1,500社を超えるグローバル企業および政府機関を保護しています。
メディアお問い合わせ先
Martin Brindley
PRマネージャー
martin.brindley@kiteworks.com