データ主権とAIのバランス

AIを利用しながら機密データをローカルに留める方法

データを所定の場所に留める

データ規制が複雑化する中、データはどこから来て、どこへ行くのか、誰が処理するのかがますます重要になっています。世界の多くの地域では、データ規制により、外部組織が規制に準拠していることを証明できない限り、データを元の地域内に留めておくことが要求されています。この概念は、「データ主権」と呼ばれます。データが処理される国や地域の法律によってデータが規制されるという考え方です。

しかし、データ転送先の場所やベンダーが準拠していたとしても、国境を越えたデータ転送は違反となる可能性があります。たとえば、一部の国の政府機関が、国境を越えて移動するデータを検査する権限が与えられている場合がありますが、これは他の国のデータ規制に違反します。

適切な保護を講じずに元の地域の外にデータを転送する組織は、深刻な法的および財務的な結果をもたらす可能性があります。たとえば、2023年にMeta社は個人データをEUから米国へ転送しましたが、転送データのプライバシー保護が十分でないとして、13億ドルの罰金を科されました。

上記をきっかけに、データローカライゼーションの概念が生まれました。データ規制の遵守と消費者の信頼を維持するために、組織は多くの場合、データを自社地域内に留める必要性に直面します。

データローカライゼーションとは、データは国境を越えて転送されたり遠隔地にあるサーバーで処理・保存されずに、特定の国または地域内に留める考え方です。ただし、このアプローチは、クラウドコンピューティングや外部サードパーティサービスでは通常データはこのようにローカライズされないため、これらを利用する人にとってより複雑になります。クラウドデータセンターは、どの地域でそのサービスをサポートしているかを問わず、世界中に配置されています。

つまり、多くの企業にとって、データローカライゼーションの必要性は、現在利用可能な最も重要なクラウドベースのサービスの1つである人工知能（AI）の動きと逆行する可能性があります。

AIはビジネスの強力なツールとして台頭

近年、より強力なハードウェアとますます洗練されたソフトウェアの組み合わせにより、AIの機能が飛躍的に向上しています。多くの企業が、予測モデル、コンテンツのアイデア出し、リサーチ、感情分析、カスタマーサービスの自動化などにAIを取り入れています。マッキンゼーなどのアナリスト企業は、生成AI（GenAI）の事業利用の拡大に引き続き楽観的な見方をしています。しかし、ほとんどの企業には独自のAIモデルを構築する時間やリソースがないため、これらのテクノロジーを使用するために、外部ベンダーに依存しています。

しかし、AIは機能するために大量のデータを収集します。AIモデルは、複雑なアルゴリズムのトレーニングに使用される大規模なデータセットに基づいています。これらの大規模なデータセットはさまざまな場所に保存されますが、スケーラビリティのため、AIの訓練データはほぼ常にクラウドに保存され、世界中のデータセンターで管理されています。（OpenAIコンシューマサービスに関するFAQより：「コンテンツはOpenAIシステムと、米国内および全世界の信頼できるサービスプロバイダーのシステムに保存されています（重要）」。）

つまり、AIにアップロードされたデータ、または生成AIモデルのトレーニングに使用されたデータは、最初にデータがあった組織の管理下から出て、地理的にその組織の地域の外にある可能性が高いと言うことを意味します。

モデルがより多くの入力を受けると、モデルは微調整され続けます。つまり、入力データが未来の出力に影響を与えたり、未来の出力として再び現れる可能性があるということです（後者は機密データへのリスクとなるため、一部の企業では、従業員による生成AIの利用を禁止しています）。このプロセスはほとんどの場合、見えないところで行われます。ほとんどのAIを利用する人は、提供したデータがどこで処理されるかを知りません。また、ITチームの知らないところで承認なしに使用されるシャドーAIの存在も問題です。

これにより、多くの法域で、企業がデータ主権の要件に抵触する可能性があります。そうした要件に抵触するリスクには、罰金小規模の罰金からメタ社に課された多額の罰金まで、制裁、社会的評判や顧客信頼の低下などがあります。

一方で、AIを使わず競争に遅れることも、企業にとって同様のリスクをもたらします。

要約すると、AIは非常に有用ですが、厳格なデータ規制の下で運用されている組織にとっては、データ主権に配慮したAIのアプローチが見つかなければ、リスクを伴う可能性があります。

国境を越えずにAIを活用する方法

企業がAIを活用する際に、データが地理的な境界を越えるリスクを回避するにはどうすればよいでしょうか？必要なのは、複雑なAIモデルをサポートできる計算力を持ちながらも、ローカライズされた形で提供されるアプローチです。さらに、データが送信中も保存中も、どこで保存され処理されるかを組織がしっかりと管理する必要があります。

したがって、今後の最善策は、データローカライゼーションとローカルAIインスタンスの組み合わせです。これには、サードパーティプラットフォーム上に構築されたものや、ベンダーが提供する事前構築されたものがあります。完全なデータローカライゼーションとは、データが保存されている場所、ユーザーへのサービスの元となる場所、暗号化キーの保存場所が完全に制御された状態です（これにより、復号化された状態でデータが存在する場所が決定されるため）。これらの機能は、ローカルに展開され、十分な計算力をオンデマンドで提供できる強力なグローバルAIネットワークと統合されている必要があります。

AIの活用とデータのローカライゼーションが求められる企業は、それを理解しサポートできるパートナーが必要です。Cloudflareは、データ主権の要件を満たすためのデータローカライゼーションスイートを提供しています。さらに、Cloudflare for AIでは、世界中のどこからでもGPUにアクセスでき、開発者が簡単にAIモデルを利用できる環境を提供しています。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事では、以下のことがわかるようになります。

• データローカライゼーションが規制枠組みを遵守する方法

• AIサービスとデータの地域ごとにローカライゼーションすることとの対立

• AIを利用しながらデータをローカルに維持するための技術的解決策

関連リソース

• データ主権の問題を克服する

• データをAIから保護

• 従業員のAI使用を禁止すべきか？