みなさんこんにちは。
最近話題となっている某大手検索サイトの欧州経済領域でのサービス提供不可のニュースについての背景と、エンジニア視点を簡単にまとめてみました。
背景について
まず、話題となっている某大手検索サイトのお知らせです。
【重要】欧州などからご利用のお客様へ - Yahoo! JAPAN
詳細な理由については公式サイトからアナウンスがないため差し控えさせていただきますが、背景としては下記のリンク先記事に記載のとおりGDPR(一般データ保護規則)の影響だろうという推測に基づいて話をすすめさせていただきます。
ヤフー、欧州でサービス提供中止 法令順守の採算合わず: 日本経済新聞
GDPR(一般データ保護規則)
GDPR(一般データ保護規則)とは
まずは話の前提となっているGDPR(一般データ保護規則)とはなんぞやというところになりますが、簡単にいうなら「EU域内にいる個人のデータを域外に持ち出してはいけませんよー」というルールになります。このルール自体は2018年5月から施行されたものですが、施行当時から今までの間は、企業内の人事部管轄で「働く人の情報管理が重要だよねー」という認識だったため、個人的な解釈としては確かにそういうルールがあるのは知っているが、欧州の人の個人情報を管理するシステムに携わるということがなければとくに対策する必要はないだろうと考えていました。
なぜGDPRが話題になっているの?
オーストリアのデータ保護機関(DBS)が、欧州企業が使用していたGoogleAnalyticsがGDPRに違反しているという判断を下しました。この判断を下したのはGoogleAnalyticsで取得した欧州ユーザーデータを米国企業へ転送していること自体を問題視したからです。そしてオーストリアで下った判断はEU全体に影響が出るため、他のEU諸国でも同様の判断がなされるだろうと下記ニュースで指摘されています。このニュースが流れてきたのが2022年1月半ば頃になりますので、日本の大手検索サイトのサービス提供不可というのはかなり素早い判断だったと推測されます。
GDPR(一般データ保護規則)関連の参照先
GDPRについての概要は下記リンク先をご確認ください
・EU域内にいる個人の個人データを取り扱う企業の皆さまへ
・GDPR(General Data Protection Regulation一般データ保護規則)
・AWS のサービスを使用する場合の GDPR コンプライアンス
今後求められる対策
ペナルティに関しては様々な見解があるものの、グローバルでつながってしまっているサイト管理者やアプリケーションを提供している立場の企業は、個人情報などのデータを持ち出さない、EU域内にデータを留めるような設計が求められるものと推測されます。オンプレミスで構築する場合は、EU域内にデータセンターを用意してという選択肢になりますが、あまり現実的ではないのかもしれません。クラウドベンダーをうまく使うことで世界中のデータセンターを利用して対策を取ることは可能ではないかと考えています。例えばAWSを使用した設計の場合、EUリージョンと他エリアのリージョン(例えば東京リージョンなど)でシステムを分けたうえで、Route53の位置情報ルーティングポリシーなどを併用してEU域内のWebクエリーはEU域内に、それ以外のWebクエリーは東京に流すというような対処が必要になると思います。
AWSのRoute53の位置情報ルーティングポリシーについて
余談な話になりますが、AWSの公式ドキュメントでは「位置情報ルーティングでは、ユーザーの地理的場所、つまり DNS クエリの送信元の場所に基づいて、トラフィックを処理するリソースを選択できます。」とあり、特定の地域から発生したDNSクエリーを指定したリソースに転送するような処理をおこないます。DNS クエリの送信元は大陸別、国別、米国の州別で指定できます。どの場所にもマッピングされない IP アドレスからのクエリや、位置情報レコードを作成していない場所からのクエリがあった場合は、デフォルトリソースレコードセットにそのトラフィックを流します。そのため負荷分散や対障害性を考慮する場合だけでなく、特定の地域に限定したトラフィックを流す必要がある場合でも、デフォルトリソースレコードの設計・設定には注意する必要があります。