インドにおけるデータセンターのリスク管理

インドにおけるデータセンターの可能性

インドの膨大なインターネット加入者数、安価なデータプラン、スマートフォンの普及率の向上は、2016年のナレンドラ・モディ首相によるデモネティゼーション（インドが流通する現金の86％を取り崩したこと）をきっかけとしたインドの金融テクノロジーエコシステムの成長と相まって、近年のデジタル経済の成長を促進させています。また、インド政府が積極的に展開している12億人以上が登録する世界最大のインドのバイオメトリック固有ID制度「Aadhar」を多くの公共サービスやデジタルサービスが採用していることも、この成長を後押ししています。 

政府は2023年初頭に、データを含むデジタル空間全体をカバーする広範な枠組みとして機能するインドデジタル個人データ保護法案を導入する見込みです。新法では、特に機密データや個人データのローカライズを重視し、違反の可能性がある場合は強い罰則を設けるなど、従来の草案のいくつかの条項が維持されるようです。これにより、企業はデータを現地に保管する必要性が高まり、今後数年間はデータセンターの需要が高まると予想されます。インドの中央銀行は、すべての金融決済企業が「重要な個人データ」を扱っているため、運用上の制約や既存のインフラがないにもかかわらず、データサーバーをインドに設置するよう既に求めています。

考慮すべきポイント 

インドはアジアにおける主要なデータセンターの1つとして台頭しており、インドのデータセンター設立を検討している日系企業は、インド市場へのスムーズな参入と長期的かつ持続的な事業運営を実現するために、以下の点を考慮する必要があります。 

• 進化する政策アーキテクチャ

2016年以降、テクノロジーへの投資とそれに伴うデータストレージの需要が増加しているにもかかわらず、インドの連邦政府や州政府は、デジタル経済のバリューチェーン全体（データセンターを含む）を管理する政策、基準、規則の多くがまだ議会で議論されており、法整備が追いついていないことが実態です。環境、社会、ガバナンス（ESG）に対する一般市民からの注目の高まりと相まって、日系企業は進化する規制と政策の枠組みの影響を注意深く監視し、評価する必要があります。

• データセンター開発は商業用不動産開発の延長線上にある

データセンター開発に関する包括的な政策や規制の枠組みがないため、政策立案者はこの分野を商業用不動産分野の延長線上にあると見なしていることに留意する必要があります。そのためデータセンター事業に特有のニーズを十分に理解していない関係者によって、データセンター投資を規制する政策が取られることがよくあります。 

• 現地パートナーの選定

デジタルエコノミー分野の政策や規制環境において、投資家や企業は、現地パートナーシップを重視することが予想されます。特にグリーンフィールド投資の開発機会を探している日系データセンター企業にとって、現地の不動産開発業者とのパートナーシップは、現地の豊富な事業経験、商業プロジェクトの成功実績や、土地銀行や区画へのアクセス等の活用を期待できるため、望ましい市場参入経路となっています。不動産開発業者がデータセンター事業に大規模に関与することで、データセンター業界は不動産部門にありがちな運用リスクやインテグリティリスクにさらされる危険性もあり、日系企業にとって現地パートナーの選定は重要な検討事項になります。 

• 最適な州の選定

データセンターの設置場所を探している企業は、政治、政策、運営、腐敗、セキュリティなどの環境において、州ごとに大きな違いに直面する可能性があります。これに加え、インフラの質（無停電電源装置や水の供給へのアクセスなど）、土地取得の容易さ、土地銀行へのアクセスなどにも大きな違いがあるため、企業はデータセンターを設置する前に、さまざまな場所の長所と短所を比較検討する必要があります。

• 地政学・国家安全保障の考慮

日系企業は、広範なデジタル・エコシステム内のさまざまな領域で海外のサプライチェーン、技術、機器に対する監視の目が厳しくなる中、インドの地政学・国家安全保障上の配慮を注意深く監視し、留意する必要があります。 

コントロール・リスクスの支援内容

データセンターの投資家、提供者、購入者のいずれであっても、他の重要な資産と同様に、データセンターには強固なリスク管理が必要です。インドでデータセンターを計画、設計、建設、運用する際に直面し得る数々の脅威に対して、コントロール・リスクスは、専門知識と実績を駆使し、安全でコンプライアンスに適合したレジリエンスあるデータセンター構築を支援します。 

＜計画・検討フェーズ＞

インド国内でのデータセンターへの投資、建設、運営を計画されているお客様には、下記のような支援を提供します。 

• 新たな市場参入の戦略立案に際して、インドのデータセンタービジネスに関する政治、政策、規制、セキュリティ、運用上のリスクの分析・評価を実施
• データセンター事業に対する主要省庁や官僚の傾向や影響力を把握するための詳細なステークホルダー分析、および現地パートナー選定のためのパートナー評価とデューデリジェンスを実施
• 様々なリスクカテゴリーにおける州や地域間の比較ベンチマークを行い、お客様がデータセンター設立に適した場所の特定を支援
• データセンターを運営する企業を対象とした、データのローカリゼーションや個人情報保護、サイバーセキュリティなどに関する規制リスク、トレンドの分析に基づいた対応方針の策定を支援
• ビジネスパートナーや取引先に対する包括的なデュー・デリジェンス、サプライヤー・ベンダー・その他の第三者のリスクに関するスクリーニングを実施

＜設計・建設フェーズ＞

新規データセンター：コントロール・リスクスの専門家チームは、脅威と脆弱性リスク評価を多数実施しています。セキュリティリスクと環境リスクの両面をカバーし、適切なリスク軽減策を提案いたします。新規データセンターの設計、入札、建設、試運転、引き渡しの各フェーズにおける対応策について包括的にご支援いたします。

既存データセンター：脅威と脆弱性リスク評価、セキュリティギャップ分析を実施し、既存データセンターのセキュリティ状況を評価し、改善策をご提案いたします。この提案には物理的、技術的なセキュリティの脆弱性やギャップ分析の結果に加え推奨される対応策の提示が含まれます。

＜運営フェーズ＞

コントロール・リスクスは、世界最大級のデータセンター施設にセキュリティやリスク管理のご支援を提供しており、大規模なデータセンターの重要な機能や潜在的な脆弱性を深く理解しています。

• データセンターのセキュリティプログラムを成功させるためには、機材、設備、人員、手順、専門知識などが緊密に統合された仕組みが必要です。これらの各分野を評価するための詳細なレビューを実施し、セキュリティリスク管理の強化を支援します。

• データセンターのセキュリティ対策のストレステストとして、複雑なペネトレーションテストを実施し、現在実施されている物理的、技術的なリスク軽減策の有効性を評価し、改善策をご提案いたします。 

• リスク管理、危機管理、有事対応の分野で長年培った知見と、データセンタービジネスに関する専門的知見を統合し、一般的なセキュリティ／リスク管理の担当者が見落とす可能性のある弱点を特定し、改善策やリスク軽減策をご提案します。

事例

• （2021年）コントロール・リスクスは、インドのナビムンバイ地域にデータセンターの建設を検討しているオーストラリアの大手テクノロジー企業向けに、綿密な市場参入評価を実施。本評価では、クライアントの現地パートナー候補に対する詳細なデュー・デリジェンスの実施、データセンターに関連するインドの規制・政策の評価、データセンター投資を監督する連邦・州政府のステークホルダーマッピング、データセンターの建設・運営段階において同社がインドで直面する可能性がある政治・規制・風評・業務リスクの詳細な分析を実施しました。

• （2020年）コントロール・リスクスは、ヨーロッパの大手データセンター企業が、データセンター設立の候補地として検討していたインドの5つの州について、詳細な比較ベンチマーク評価を実施。本評価では、潜在的なリスクと機会、および各州の長所と短所を様々なパラメータで比較し、クライアントの経営上の意思決定を支援しました。