日本国内にデータを保存できるクラウドストレージ・チャットまとめ

自分がクラウドサービスに預けたファイルやメッセージは、一体どこの国に保存されるのでしょう？　

「日本国内」を指定できるサービスはあるでしょうか？

調査のきっかけ

最近セキュリティの問題を色々検討していました。そのうちの1つとして、各種クラウドサービスのデータ保存場所がどこの国になっているかを、少し前から調べていました。

データの保存場所というのは、物理的な機械の場所ということです。

クラウドサービスというと、文字通り雲の上の話に聞こえてきますが、私たちがクラウドサービスに預けたデータは、地上にあるどこかのサーバー機（普通のHDDみたいなもの）に保存されます。
その機械はどこの国に置いてあるのですか？というのが、データの保存場所という問題です。

たとえば弁護士向けにはこんな指摘があります。

依頼人の情報は、法律事務所が業務をおこなっているのと同じ法律が適用される地域に保存するべきです。
多くの地域で、第三者（特に政府機関）に依頼人の情報を閲覧させる（たとえば捜索差押えする）ことが認められています。
法律が違うエリアにデータを保存するとどうなるかは、法律的に検討すべきことです。（IBAガイドラインA-8、要約、※法律事務所のサイバーセキュリティ実践ガイド【検討ノート】A-8参照）

弁護士に限らず、この問題を真剣に検討されている企業も多いと思います。データの保存場所は、機密情報を扱うときに重要になる問題の1つです。

特に著名サービスについて調べたい

今回は、普段目にする、著名クラウドストレージ・チャットについて調査をおこないました。

実際のところ、日本のサーバーにデータを保存したいだけなら方法はいくらでもあります。
たとえば、単純にオフィスのHDDに保存すれば、間違い無く日本国内にデータを保存できます。
また、日本の業者のサービスで、こまかなセキュリティ要件を色々指定できるようなものは、多数あると思います。

ただ、そうなると今度は、別の悩みが出てきます。
オフィスのサーバーに保存するとなると、オフィス外での業務が難しくなります。外からオフィスのサーバーに直接アクセスするなら、それなりに対策も考える必要が出てきます（VPNの脆弱性を狙った攻撃は一般的です）。
また、「普段目にするようなサービス」じゃないものをストレージに選ぶと、今度はその信頼性や安全性も色々考えなくてはいけません。費用が一気に上がる場合もあります。

「「普段目にするようなサービス」の中で、日本のサーバーにデータを保存できるものはないか」というのは、1つの重要な視点になりうると思います。

以上のようなことから、著名サービスを調べました。

キーワード：データレジデンシー（data residency）
データの保存場所を、データレジデンシーという言葉で呼ぶことがあります。

日本国内にデータを保存できるサービス、できないサービスまとめ

まずまとめです。

一定以上の信頼性を得ているだろう著名サービスとして、以下のものを選定し、調査しました。

【調査対象一覧】
クラウドストレージ系から
・GoogleDrive
・OneDrive（Microsoft）
・iCloud
・Dropbox
・Box
・Sync

Chatサービスから
・Slack
・Chatwork
・LINE

【調査方法】
ウェブサイトの記述を調べました。
それだけで判明しない場合には、サポートに問い合わせをおこないました。
一般的な個人情報全部ではなく、ユーザーが預けたファイル、メッセージがどうなるかを中心に調べました。

【調査期間】
2021年3月から4月はじめ

【結論】
日本国内だけにデータを保存することができるサービス（プラン）

・OneDriveのビジネスアカウントのプラン
・Dropboxのチーム向けプラン
・Boxの BusinessPlus 以上のプラン　（BoxZones適用）
・SlackのPlus以上のプラン（データレジデンシー機能　適用）
・Chatworkの全てのプラン

下記のサービスは、データ保存場所を日本国内に限定することはできない。

・GoogleDrive
・iCloud
・Sync
・LINE

以下、順に内容やソースを解説します。

GoogleDrive

GoogleDriveは、GoogleWorkspaceというサービスの一部です。

GoogleWorkspaceのサーバー所在地はこのようになっています。

管理者はデータ リージョン ポリシーを使用して、対象データを特定のリージョンに保管できます。指定できるリージョンは米国またはヨーロッパです。サポート対象のエディションをご使用でないユーザーは、データ リ―ジョン ポリシーの対象外となります。所属する組織部門にデータ リージョン ポリシーが適用されても、そのユーザーには適用されません。

米国とヨーロッパだけしか選択肢が無いため、日本のサーバーには保存できないと判断できます。

なお、Googleの運営するパブリッククラウドであるGCP（GoogleCloudPlatform、3大クラウドの1つ）は日本国内にサーバーを持っています。
GoogleWorkspaceはそのサーバーを利用していないようです。

【GoogleWorkspaceの管理画面：データリージョンポリシー】2022-05-10追記
米国・ヨーロッパしか指定できない。

OneDrive(Microsoft社)

Microsoft社のサービスは多岐にわたり、一目で把握しにくいのですが、詰めると以下の通りになるはずです。

OneDriveを利用するにあたって、家庭向けと、法人向けという区分けがあります（Microsoftのアカウントの区分）。

法人向けサービスにおいては、データの保存場所を確定することができます。

Microsoft の法人向けサービスのお客様は、ご自身のデータがどこに保管されているかを知っています。

日本の住所を最初に請求先住所として指定した場合には、OneDrive上のデータは日本のサーバーに保存されます。

iCloud(Apple社)

iCloudのサーバーの場所はウェブサイトに記載がありませんでした。
そこでサポートに問い合わせをおこないました。
サーバー所在地は一切開示していないという返答でした。
したがって、「日本のサーバーに保存できる」とは言えません。

Appleへの電話問い合わせ結果（要旨）
回答日
　2021年3月30日　
質問
　iCloudのサーバー所在地はどこですか？ 日本のサーバーは指定できますか？
回答
　AppleはiCloudのサーバー所在地を一切開示しておりません。ご了解願います。

Dropbox

Dropboxのウェブサイトにはこう書かれています。

Dropbox Business ユーザー用のストレージ サーバーはドイツ、オーストラリア、日本にあります。

上記の記述により、日本のサーバーがあることは分かりますが、「必ず日本サーバーに保存されるのかどうか」がはっきりしません。そこでサポートへ問い合わせました。
その結果、チーム向けプランであれば、必ず日本のサーバーに保存されるという回答でした。

チーム向けプランはこの3つです。

Dropboxへのメール問い合わせ結果（要旨）
回答日
　2021年3月29日　
質問
　日本のユーザーのデータは必ず日本のサーバーに保存されますか？　
回答
　チーム向けプラン（Standard,Advanced,Enterprise）であれば、必ず日本のサーバーに保存されます。　　

Box

Boxというのは、特に管理機能が強いクラウドストレージサービスと認識しています。大企業でも採用されています。

BoxZonesというサービスにより、日本国内にデータを保存することを指定できます。
BusinessPlus以上のプランが必要です。

Sync

Syncは日本ではあまり知名度がないかもしれませんが、エンドツーエンド暗号化を特徴とするサービスです。著名サービスの1つと言えると思います。

ウェブサイトには`Canadian data residency`という記述があり、カナダのサーバーのように見えますが、はっきりしません。

そこでメールで問い合わせをおこないました。その結果、100％カナダのサーバーに保存されるという返答でした。

Syncへのメール問い合わせ結果（要旨）
回答日
　2021年3月29日　
質問
　データの保存場所を日本国内にすることはできるでしょうか？
回答
　Syncは全てのデータをカナダ国内のサーバーに保存しています。

Slack

データレジデンシー機能により、日本国内をデータ保存場所にすることができます。

Plus以上のプランが必要です。

Chatwork

「チャットメッセージ・ファイルは日本国内のみで保管しています」とのことです。

上記記述を発見できなかったので、メール問い合わせを先におこなっていました。メッセージ・ファイル以外の個人情報等は海外サーバーに保管される場合があるとのことです。

Chatworkへの問い合わせ結果（要旨）
回答日
　2021年3月11日　
質問
　データの保存場所を日本国内のサーバーに限定することはできますか？
回答
　Chatwork上で送信されたメッセージ・ファイルについては日本国内に保存されています。その他の個人情報等については海外サーバーに保管される場合があります。

LINE

LINEは、個人情報の一部が中国企業で閲覧できるようになっていたということで、最近問題になりました。

LINEのプライバシーポリシーには以下のように記述されています（2021年4月2日確認）。

6.b.パーソナルデータの保管場所
当社は日本のお客様のパーソナルデータを日本および韓国のデータセンターで保管しています。

日本および韓国ですので、日本国内に限定することはできません。
テキストデータは日本国内、ファイル類は韓国という情報もあります。

LINEはメッセージのテキストデータをEndToEndで暗号化しています（LetterSealing）。
ファイル類はEndToEnd暗号化をしていないようです（「各コンテンツタイプ別の暗号化状況(Letter Sealing, LEGY暗号, HTTPS)をまとめると以下のようになります。」以下の一覧表より）。

まとめ

いかがでしたでしょうか。
上記のような著名サービスの中でも、日本国内要件を満たせるものがある程度存在することが分かりました。

個人的には、iCloud(Apple)の、「データの保存場所は一切公表していない」という回答は印象的でした。クラウドサービスにとって、その裏側の実装やデータの所在ということはあまり重要でなく、あくまで「機能」をユーザーに提供するのが責任だという（Saas的な）発想が強くあるのかなと感じました。

ただ、他のサービスも見ると、

・ビジネスプランではデータ所在地をコントロールさせる（or明らかにする）
・パーソナルプランではデータ所在地はコントロールさせない（or明らかにしない）

という傾向があるのかなと感じられます。

サービス選定には複数の要素が絡むと思いますが、データ保存場所が日本国内だと、この点の法的な悩みは1つ解消されます。

ただし、法的な適格性と実際の安全性がイコールではないことも、よく実感されていることと思います。「運営側の事故や不備でデータが漏洩するリスク」が一つの問題です。

日本国内にデータを保存していても、非常に古めかしい運営方法のサーバーであれば、危険性は高くなります。
逆に、データ保存場所が全く分からないiCloudにデータを預けたとしても、「運営側の事故や不備でデータが漏洩するリスク」という観点では、危険性が高いわけではありません。

その点では、ここに出てきたような著名（＝安全で安定した）サービスの中から、かつ日本国内にデータを保存できるサービスを選ぶというのは、1つの目安となるかも知れません。

また、EndToEnd暗号化が、バックドアの無いプロトコルで、ミスなく実装されているのであれば、サーバーの所在地は問題にならない（それがどこに国であってもむしろ安全）という考え方はありえます。現在この点をどう捉えたらよいかが気にかかっているところです。