By Larry Liu ,
Managing Director, Deputy General Manager, Chief Client Officer, Risk Management Segment Leader
05/08/2023 · 26 分で読める記事
アジア太平洋地域のデータセンター市場は、2023年から2028年にかけて年平均12%で成長し、2028年には535億8,000万米ドル(およそ7兆5千億円)に達すると予測されています1。アジアの同市場トップ2であるシンガポールは173メガワット、香港は79メガワットの容量のデータセンターを建設中で、引き続きその地位を確保しています2。一方で、日本、インドネシア、ベトナムでは拡大する海底ケーブル網を活用することで、データセンター市場が成長しています。
一方、こうしたアジアにおけるデータセンターの成長の背景には、データセンターの開発者、運営者、テナントなど、データセンターのバリューチェーン構成者が向き合わねばならないリスクや課題がありますが、それらリスクは相互に影響しあい増大しています。
データセンター事業におけるバリューチェーンは、まずデータセンター建物および設備を賃貸するオーナーから始まりますが、オーナーは通常、ネットワーク容量と電力、そしてサーバーの温度を下げる冷却装置を供給します。オーナーに続くバリューチェーンの構成は、クラウドベンダーや通信事業者などのデータセンター事業者となり、テナントとして場所を借り、IT機器を設置し、データセンター施設を運営、管理しています。データセンター事業者は、データセンターを一定の仕様や規制基準に適合させなければならず、これには電力使用効率(PUE)の最低基準も含まれます。
一方で、大手のテクノロジー企業や通信事業者、国際的なクラウドサービスプロバイダーは、バリューチェーンを横断して自社でまかなう手法を採用しています。この方法により、建設工事の工程を徹底的に管理・合理化し、データセンター運営のセキュリティとパフォーマンスを確保することが可能となります。不動産投資信託(REIT)を通じて様々な方法でデータセンターを運営するアジアの開発業者も少なからず存在します。
データセンターのバリューチェーンは相互に関連しているため、強固な事業継続性と賠償責任へのリスクマネジメントと保険の必要性に注目が集まっています。
データセンター管理: リスクとソリューションの関係性
一方、プライベート・エクイティ・ファンドの出資を含むノンリコース・プロジェクト・ファイナンスでは、借入人である事業主は、工事対象物の損害を補償する建設工事保険(Construction All-Risk)に加え、工事対象物に物的損害が発生したことで操業が遅延することで生じる財務リスクを軽減するための開業遅延保険(DSU: Delay in Start-up)を調達することが求められます。
特に、データセンターから得られる収益は、完成後すぐに大きなものとなるため、DSUの金額は慎重に評価され、適切な保険カバーを得る必要があります。同時に、将来の運用モデル(リース、コロケーション、その他)を考慮し、適切な開業遅延保険を手配することで、ローン期間中、合理的な保険料で補償を得られます。
データセンターにおけるプロジェクトの入札では、請負業者は契約上の賠償責任リスクに特に注意を払う必要があり、ハザード分析の実施方法など、厳しい入札要件を満たすために詳細情報を提供しなければなりません。また、請負業者は、データセンターの設計や建設に伴う課題に対して十分な理解と計画を示し、海外のプロジェクト当事者との請負工事契約の違いを認識しておく必要があります。
以下の主要リスクの見出しをクリックすると、リスクの種類とリスクに関する保険の検討事項についての詳細が表示されます。
アジアのデータセンターには、シンガポールや香港など都市部で5~7階建ての高層施設をデータセンターとして使用する場合、特有の物理的リスクが存在します。米国や欧州の低層で広い敷地を持つデータセンターと比較すると、こうした「垂直型」データセンターでは、十分な換気や冷却が必要となり、熱や火災による物理的ダメージのリスクも高くなりますが、リスクエンジニアリングの調査によって軽減することも可能です。
また、電力需要が高いこと等を理由に、自然災害が発生しやすい場所に設置せざるを得ない場合もあります。自然災害に関するリスクモデリングやリスクエンジニアリングは、台風、熱波、洪水などの厳しい気象現象の影響を調査するにあたり重要な手段ですが、2020年にUptime Institute社がデータセンター事業者を対象に行った調査では、36%の事業者はデータセンターの気候変動に対する脆弱性を正式に評価していないことが判明しました3。この調査は、より強固なデータセンターのリスクマネジメントと事業継続計画の必要性を明確にしています。
保険会社は、物理的な損害をカバーする保険を引き受けるにあたり、BCPの有無や適切な保険価額の評価を含めたリスクサーベイの実施を求めることがあります。
データセンターの様々なリスクに対して保険を手配する場合、保険会社は、効果的なサイバーセキュリティ戦略が導入されているかという視点を持っています。この戦略には、強固なサイバーリスクマネジメント、継続的な改善、人材、プロセス、テクノロジーが組み合わされているべきと考えられています。
データセンターの所有者や運営者は、不正アクセスや情報漏洩からデータを保護し、HIPAA、GLBA、FISMA、GDPRなどの規制枠内で運用し、PCI DSSなどの業界標準を遵守しなければならず、またデータ侵害や顧客データの損失を防ぐためにデータのバックアップと復旧のための最善の方法を継続的に行うための法規制、契約、または機密保持の義務についても認識しなければなりません。
サイバーリスクに備えるためには、データセンターの関連事業者が、現在のサイバーリスクへの備えと全体的なサイバー成熟度のレベルを正確に自己評価することが重要です。マーシュの経験豊富なリスクアドバイザーからのアドバイスに基づき、サイバーセキュリティの態勢と、適切なレベルのサイバー保険を手配することが可能です。加えて、会社役員賠償責任(D&O)保険などを手配することにより、適切な対策を講じることができます。
データセンターの開発者や運用者は、意図的な破壊や不正行為に対抗できるインフラを確保する必要があります。シンガポールでは、シンガポール金融管理局(MAS)が、データセンターの潜在的なセキュリティ脅威と運用上の脆弱性を特定し、堅牢なデータセンターの運用管理の一環として防御レベルと種類を決定するため、テクノロジーリスクマネジメントガイドラインによって事業者に脅威と脆弱性のリスク評価(TVRA)を行うことを推奨しています4。さらにシンガポール政府のデータを管理するデータセンターは、シンガポールインフラ保護法の適用を受け、シンガポール警察によるセキュリティ・バイ・デザインプロセス(企画・設計段階から情報セキュリティを組み込む)が行われていると考えられます。
このような対策は、セキュリティに敏感な顧客を受け入れるデータセンターのオーナーや事業者にとって、付加価値のある安心材料として強く推奨されます。
物理的なセキュリティリスクの例としては、盗難、不正侵入、即席爆発装置(IED)を用いたテロ攻撃、放火、外部からの攻撃、妨害行為などがあります。脅威と脆弱性のリスク評価(TVRA)では、データセンターの建物インフラ、内部設備、外部設備、および周辺環境のレビューを行う必要があります。対策としては、サイバー攻撃によって、アクセス認証情報を取得し、物理的な攻撃に対してデータセンターのドアを遠隔操作で開けることができないようにすることなど、サイバーセキュリティの見直しや高度化を行う必要があります5。
データセンターのエネルギー需要と二酸化炭素排出量は高く、特に温暖な地域では集中的な冷却を必要とするため、事業者のグリーンコミットメントや義務の履行はより困難なものとなっています。Sunbird社の報告書によると、一般的なデータセンターでは約3分の1のサーバーが4年以上使用されており、これらの老朽化したサーバーは、データセンター全体の65%のエネルギーを消費する一方で、総パフォーマンス能力の4%しか貢献していません6。
シンガポールでは、新しく設立するデータセンターは「クラス最高の資源効率性と脱炭素化」を実現する必要があり、これには電力使用効率評価(PUE)1.3以上の要件が含まれます。開発者や運営者は、新しい業者と協力する場合や、既存施設に新しい省エネ技術や冷却技術を導入する際に、契約上の賠償責任を含む第三者賠償責任保険を手配することにより、リスクを軽減することが可能です。
気候関連財務情報開示タスクフォース(TCFD)や自然関連財務情報開示タスクフォース(TNFD)の報告を求める金融機関や証券取引所が増える中、データセンターの関連企業も環境・社会・ガバナンス(ESG)リスクマネジメント戦略の一環としてカーボンオフセットの役割を評価し、企業のリスク管理戦略にESGリスクを組み込むことが求められています。
データセンターは、他の不動産アセットクラスと比較して、第三者リスクが大きいことも特徴です。データセンター事業者は、建設中の第三者への賠償事故、サービスレベル契約上の賠償責任、顧客に対する義務など、第三者に対する賠償責任のリスクに特に注意を払う必要があります。計画外の電力停止により、オペレーターが顧客の損失に対して責任を負う可能性がある場合、サイバー保険やE&O(Error & Omissions)保険が必要な補償を提供することができます。
第三者賠償責任保険の手配の際は、複雑な要素が含まれているため注意が必要ですが、リスクアドバイザーが保険カバーのギャップを回避するためのアドバイスをします。例えば、サーバーなど他人の資産を占有管理する場合、それら財物に生じた物理的損害については、一般的には管理下財物免責条項(CCC: Care, Custody, or Control Exclusion)により保険カバーの対象外となります。リスクアドバイザーの支援により、顧客との契約条件の変更や保険条件の修正などにより適正な保険カバーを手配することが可能です。このような場合、企業包括賠償責任保険だけでなく、サイバー保険も検討対象になります。
データセンターは、多くの産業で事業運営に欠かせないものとなっています。サーバーの所有やレンタルにかかわらず、データセンターには複雑な事業中断リスクや偶発的な事業中断リスクが存在します。
データセンターの事業中断は、ベンダーやサービスプロバイダーに直接的な収入減や偶発的な損失をもたらす可能性があります。また、損失発生後の業務再開に必要な追加費用(追加スタッフによる費用、時間外費用、機器のリースなど)は言うまでもなく、データセンターが損害を受けるリスクを軽減することも重要です。
特に、シンガポール、香港、東京のような成熟したデータセンター市場以外の新興市場におけるデータセンターに対する需要は、この地域における5Gの普及率の増加に伴って増加すると予想されます。こうした「エッジロケーション」のデータセンターは、計画外の電力停止や人為的なミスによる問題に対するリスクが増加する可能性があります。ステークホルダーは、リスクアドバイザーの専門知識を活用して、余剰キャパシティの活用を検討するとともに、こうしたリスクを正確に定量化し、新興市場に進出する際に適切な保険カバーを確保するための保険仲介の専門知識を活用できます。
インフレ環境や為替変動の中で事業中断リスクを適切にカバーするため、新市場に進出するデータセンターの開発者や所有者、あるいは多国籍企業の拠点は、保険を付保する資産価額や事業中断時の利益損失額を定期的に見直し、保険金請求発生時に補償額が不足する可能性を最小限に抑える必要があります。保険会社に申告する適切な財物および利益の保険金額、必要とされる復旧期間などを正確に決定するための実績と経験を持つマーシュによるアドバイスにより、事業中断リスクへの対策が可能です。
マーシュは、アジアの建設、テクノロジー、不動産、プライベートエクイティ分野におけるリスクアドバイザリー、リスク軽減対策、リスクファイナンス、保険金請求に関する幅広い専門知識と、市場知識、データおよび分析能力、保険会社やプライベートエクイティ会社との幅広いネットワークにより、データセンターのライフサイクルの各段階における課題の特定と解決を支援します。
Asia's Data Centre Risks: Unravel the Blind Spots Webinar
* 英語版のみ
Sources
1 - Asia Pacific Data Centre Market Report 2023: Demand for High-Density Data Centers by Businesses is Augmenting Sector Growth. Research and Markets. (2023). https://www.globenewswire.com/news-release/2023/03/03/2620074/28124/en/Asia-Pacific-Data-Centre-Market-Report-2023-Demand-for-High-Density-Data-Centers-by-Businesses-is-Augmenting-Sector-Growth.html
2 - APAC Data Centre Update: H2 2022. Cushman & Wakefield (2022). https://www.cushmanwakefield.com/en/singapore/insights/apac-data-centre-update
3 - Extreme weather affects nearly half of data centers. Uptime Institute (2021). https://journal.uptimeinstitute.com/extreme-weather-affects-nearly-half-of-data-centers/
4 - Technology Risk Management Guidelines. Monetary Authority of Singapore (2021). https://www.mas.gov.sg/-/media/MAS/Regulations-and-Financial-Stability/Regulatory-and-Supervisory-Framework/Risk-Management/TRM-Guidelines-18-January-2021.pdf
5 - Hackers Scored Data Centre Logins for Some of the World’s Biggest Companies. Bloomberg (2023). https://www.bloomberg.com/news/features/2023-02-21/hackers-scored-corporate-giants-logins-for-asian-data-centers#xj4y7vzkg
6 - Top 40 Data Centre KPIs. Sunbird. (2020). https://www.sunbirddcim.com/ebooks/top-40-data-center-kpis