Competing Interests: Data Ownership at the Crossroads of SaaS Stakeholders and Regulation

SaaS（Software-as-a-Service）技術に関するトピックのシリーズを開始するにあたり、SaaSアプリケーションが管理するデータと、SaaS環境における様々なステークホルダー間の複雑な関係から生じる課題について、枠組みを構築することが重要です。

企業の評価額は収益と成長予測に連動しており^¹、特にSaaS企業に付与される価値の大部分は、同社が取り扱うデータの価値に基づいている^²。これは通常、提供サービスとデータ自体の価値から期待される収益成長の組み合わせとして等価視される。例えば、個人データの価値の代用指標として検索エンジン広告収益を用いると、過去20年間でユーザー1人当たりの広告収益は1,^{800％増加した³。}これはSaaS企業が扱うデータ量と評価額の相関関係を裏付けるものである。

その結果、SaaS環境におけるデータ管理とデータ所有権の様々な側面に関する課題を理解することが、これまで以上に重要となっている。

SaaSステークホルダーの概要

典型的なSaaSプラットフォームでは、データ処理の異なる段階に様々な利害関係者が関与しており、各関係者は自身が保存または処理するデータの少なくとも一部に関して、固有の役割と所有権主張を有している。これらの各利害関係者は、データスタックの様々な層において、ユーザーデータにアクセスし、所有し、利用し、保存し、処理し、あるいはその他の方法で関与する可能性がある。

SaaSプラットフォームの複雑さに基づき、関係者の数は大きく変動する可能性があります。例えば、SaaSプラットフォームにはエンドユーザーからのデータ（個人データ、財務データ、医療データなど）に加え、企業からの機密データ（従業員情報、技術情報、事業上の機密情報など）が含まれる場合があります。 SaaSサービスプロバイダーは、受け取った機密データを自社システムやクラウドサービスプロバイダーに保存し、そこで独自開発またはオープンソースのソフトウェアソリューションを用いてさらに処理することがあります。あるいは、処理やソフトウェアソリューションは、自社システムやクラウドサービスプロバイダー上のデータにアクセス権を持つ第三者のサービスプロバイダーによって提供または管理される場合もあります。

SaaSプラットフォームにおける地理的およびデータ固有の懸念事項

地理的要因により、企業やその他の主体がSaaS企業が使用するデータとどのように関わるかという複雑さが増幅される。例えば、関係者は様々な地域に所在し、データ所有権や管理に関して異なる管轄区域の法令・規制・期待に服する可能性がある。その結果、これらの考慮事項への遵守義務を関係者間でどのように配分するかに関して多くの問題が生じうる。さらに、異なる関係者はSaaSプロセスに間接的に関与する他の当事者に対して相反する利益や様々な義務を有し、データの直接的な所有・管理からさらに下流の商業関係に影響を及ぼす。

さらに、データの種類や性質によっては、プライバシー、⁴規制遵守、⁵データセキュリティ、⁶データへのアクセスと利用といった追加要素を考慮する必要が生じる場合がある。⁷例えば、EMR（電子カルテ）を扱う SaaS 企業は、医療機関の患者の個人健康情報（PHI）などの特定の種類のデータを扱う場合、追加の法的責任が生じます。⁸このような EMR データは、企業自体および関係者の地理的な場所に応じて、独自の管轄区域に基づく規制の対象となる場合があります。データ侵害の活動や規制（例えば、個人の健康情報データや子供に関するデータなど）が大幅に増加していることを考えると、これらの問題は近年特に懸念されています。