EUデータ主権要件:GDPRが求めるものと主権が実際に必要とするもの
多くのコンプライアンスチームにEUのデータ主権要件について尋ねると、GDPRを指摘します。法務部門にSchrems IIの要件を尋ねると、移転影響評価(Transfer Impact Assessments)や標準契約条項(SCCs)について説明するでしょう。CISOに米国政府の召喚状がクラウドプロバイダー本社に届いた場合どうなるかを尋ねると、場が静まり返ります。
この混乱は無理もありません。「データレジデンシー」「データローカライゼーション」「データ主権」は、多くのエンタープライズの会話で同じ意味で使われていますが、法的にもアーキテクチャ的にも異なる概念です。組織はGDPRのデータレジデンシー義務をすべて満たしていても、構造的には外国政府によるアクセスのリスクにさらされている場合があります。GDPRの要件がどこまでで、本当のデータ主権がどこから始まるのかを理解することは、単なる学術的な違いではありません。これは、現在データ保護当局(DPA)が積極的に取り締まっているコンプライアンスギャップです。
エグゼクティブサマリー
主なポイント:GDPRはEU個人データのデータレジデンシーおよび移転要件を定めていますが、GDPRコンプライアンスとデータ主権は同義ではありません。データレジデンシーはデータをどこに保存すべきかを示し、データ主権は誰がどの法域でアクセスを制御するかを定めます。米国本社のクラウドインフラを利用する組織の場合、フランクフルトのデータセンターでGDPR準拠のデータレジデンシーを実現しても、CLOUD Actにより米国政府の要求でデータが法的にアクセス可能なままです。これは標準契約条項では解決できない構造的なリスクです。本当のデータ主権コンプライアンスには、顧客管理の暗号鍵、シングルテナントの欧州展開、ポリシーで強制されるジオフェンシングなど、未承認アクセスを技術的に不可能にするアーキテクチャ制御が必要です。契約上禁止するだけでは不十分です。
なぜ重要か:オーストリア、フランス、イタリアのDPAは、特定の米国クラウド利用がGDPR違反であると既に判断しています。GDPR違反の罰金は全世界年間売上高の4%に達します。NIS2指令は経営層の刑事責任も追加しています。Kiteworksの2026年データセキュリティ&コンプライアンスリスクレポートによると、過去12カ月で組織の33%が主権関連のインシデントを経験しており、44%が自分たちは十分に理解していると回答しています。レジデンシーと主権を混同する組織は、コンプライアンスを満たしているのではなく、リスクにさらされています。
主なポイント
- データレジデンシー、ローカライゼーション、主権は法的に異なる。レジデンシーはデータが物理的にどこに保存されるかを規定します。ローカライゼーションはデータが収集された国から出ないことを要求します。主権は誰がどの法域でアクセスを制御するかを定めます。いずれか一つを満たしても他も満たすとは限りません。
- GDPRはレジデンシー要件を定めますが、完全な主権は保証しません。第44~49条は越境移転を制限しますが、米国本社のプロバイダーがEUデータセンターに保存したデータに対するCLOUD Actの要求を防ぐものではありません。場所と法域は別物です。
- Schrems IIはレジデンシーだけでは不十分と再定義しました。移転影響評価を義務付け、顧客管理の暗号化を必須の補完措置としたことで、地理的な場所だけでは法的なコントロールの代わりにならないことをCJEUが明確にしました。
- アーキテクチャによる主権が契約の限界を補います。標準契約条項は当事者を拘束しますが、米国政府の法的要求を覆すことはできません。プロバイダーのインフラ外で管理される顧客の暗号鍵により、プロバイダーはどんな法的要求があっても平文データを提供できなくなります。
- NIS2とDORAは主権義務をGDPR以上に拡大します。NIS2指令とDORAは、サプライチェーン主権評価、インシデント報告、経営層責任など、GDPRに加えて義務を課します。規制業界の組織は3つのフレームワークすべてに同時に対応する必要があります。
用語の定義:レジデンシー、ローカライゼーション、主権の本当の意味
データレジデンシーは、データが保存・処理される物理的な地理的位置を指します。データレジデンシー要件とは、「このデータはこの法域内のサーバーに保存しなければならない」という意味です。GDPRは移転制限により事実上のレジデンシー要件を生み出しています。個人データの流れを制限することで、組織にEU内でのデータ保存を促します。しかし、レジデンシーは場所の問題であり、コントロールの問題ではありません。データはドイツに物理的に保存されていても、同時に外国政府が法的にアクセスできる場合があります。
データローカライゼーションはレジデンシーより厳格で、データを現地保存するだけでなく、収集された国から出さないことを要求します。EU域内でも、医療データや金融取引、公共部門の記録など、GDPRの基準に加えてローカライゼーション要件を課す国や業界ルールがあります。
データ主権は最も広い概念です。データが所在する法域の法律によって管理され、管理組織がアクセスに対して法的かつ技術的なコントロールを持つという原則です。主権はEUデータセンターを選ぶだけでは満たされません。米国プロバイダーがフランクフルトのデータセンターを運営していても、それは欧州インフラではなく、欧州の住所を持つ米国の法的リスクです。
実際には、組織がGDPRのデータレジデンシー要件(EUデータセンター、移転メカニズムの文書化、準拠したサブプロセッサーなど)をすべて満たしても、プロバイダーが米国本社で暗号鍵を保持していれば、データ主権を達成できません。
GDPRコンプライアンスの完全チェックリスト
Read Now
GDPRが実際に求めるデータレジデンシーと移転の要件
GDPRにはEU個人データをEU域内に保存する包括的な義務はありません。第V章(第44~49条)はEU/EEA外への個人データ移転を制限しており、十分性認定、標準契約条項、拘束的企業準則、その他承認されたメカニズムによる移転が認められています。実際には、第V章が強いレジデンシー圧力を生み出しており、適切な移転メカニズムがない場合はデータをEU内に留める必要があります。
多くの組織が米国クラウドプロバイダーを利用する場合、SCCsが主要な移転メカニズムとなりますが、Schrems II以降は米国法がSCCsの有効性を損なうかどうかを評価する移転影響評価(TIA)の実施が求められています。GDPR第32条の「適切な技術的および組織的措置」の要件は、Schrems II以降、DPAによってリスクに見合った技術的コントロールの実証が必要と解釈されています。EDPBの勧告01/2020では、EEA内でのみ管理される顧客の暗号鍵による暗号化が、CLOUD Actによるアクセスに対応できる技術的措置とされています。ここで、GDPRのレジデンシー要件と主権アーキテクチャが一致します。米国プロバイダーへの移転で本当の第32条コンプライアンスを達成するには、主権が求める顧客鍵管理アーキテクチャが必要です。
CLOUD Actギャップ:なぜレジデンシーは主権ではないのか
米国CLOUD Actは、米国企業に対し、物理的な保存場所にかかわらず、管理するデータを有効な米国政府の要求に応じて提出することを義務付けています。米国プロバイダーがフランクフルトのデータセンターを運営していても、それは欧州組織ではなく、欧州の不動産を持つ米国組織です。要求には欧州の裁判所命令は不要で、データ管理者やデータ主体への通知もなく、プロバイダーは欧州顧客との契約内容に関係なく従う義務があります。標準契約条項はプロバイダーの意図を文書化するものですが、米国法の強制力を変えることはできません。
EU・米国間データプライバシーフレームワーク(2023年)は移転メカニズムを提供しますが、CLOUD Actを廃止するものではありません。米国の情報機関による監視の監督を調整しますが、CLOUD Actによる要求がプロバイダー管理のデータに及ぶことを防ぎません。プライバシー擁護団体はすでに法的な異議申し立てを行っています。DPFに依拠した恒久的なコンプライアンスインフラを構築することは、継続的な法的不確実性を受け入れることを意味します。
このギャップを埋める唯一のコントロールはアーキテクチャです。プロバイダーのインフラ外で完全に管理される顧客の暗号鍵による暗号化です。プロバイダーが鍵にアクセスできなければ、CLOUD Actによる要求があっても暗号文しか提出できません。プロバイダーは法的強制があっても復号に応じることが技術的に不可能になります。アーキテクチャは契約で防げないリスクを排除します。これこそがEDPBが「技術的補完措置」と呼ぶものであり、現在EUのDPAが執行で適用している基準です。
より広いEU主権フレームワーク:NIS2とDORA
GDPRは基盤ですが、EUでビジネスを行う多くの組織にとって唯一の主権フレームワークではありません。さらに2つのEU規則がGDPRに加えて主権義務を課しており、場合によってはGDPRよりも厳しい内容となっています。
NIS2指令は2024年10月にEU加盟国で施行され、重要分野(エネルギー、運輸、銀行、医療、デジタルインフラ)および製造業や専門サービスなどの重要分野を対象としています。主権に関する要件は第21条のサプライチェーンセキュリティ義務であり、対象組織はICTサプライチェーン全体のサイバーセキュリティリスクを評価し、クラウドプロバイダーの主権体制も評価・対応する必要があります。米国本社のプロバイダーがCLOUD Actの強制力を受ける場合、それはNIS2が顧客に文書化と対応を求めるサプライチェーン主権リスクです。NIS2違反には最大1,000万ユーロまたは全世界売上高の2%の罰金、経営層個人への直接責任が科されます(GDPRは個人責任を課しません)。
DORAコンプライアンス要件は、2025年1月からEU金融サービス事業者に適用され、さらに厳格です。第30条はICTプロバイダーとの契約でデータ主権、暗号鍵管理、エグジット戦略を明記することを求めています。金融サービス組織にとって、GDPR、DORA、各国の銀行秘密法が三重の主権義務を課しており、GDPR中心のコンプライアンスだけでは対応できません。
本当のEUデータ主権コンプライアンスに実務上必要なもの
顧客管理の暗号鍵。EDPBはこれを米国プロバイダーへの移転における主要な技術的補完措置としています。顧客自身のHSMで管理され、プロバイダーのインフラ外にある鍵により、CLOUD Actによる開示要求があっても暗号文しか提出されません。このアーキテクチャ制御一つで、GDPR第32条、DORA第30条の鍵管理要件、NIS2のサプライチェーン主権評価を同時に満たせます。
シングルテナントの欧州展開。指定されたEUデータセンターにおける専用インフラで、顧客が運用コントロールを持つことで、GDPR第V章やDPAによる移転影響評価の証拠基準を満たすデータレジデンシーが実現します。法域は座標ではなく、コントロールに従います。
ポリシーで強制されるジオフェンシング。インフラレベルでデータが指定地域外に出ることを技術的に防ぐジオフェンシング制御は、EDPBが「技術的補完措置」と分類するものであり、「契約的補完措置」ではありません。CLOUD Actリスクのある移転で十分と見なされるのは前者のみです。
改ざん防止の監査証跡。GDPR第30条、NIS2のインシデント報告、DORAのICTリスク文書化はいずれも、すべてのデータアクセス・移転・処理の活動を地理的範囲とともに記録した改ざん防止の証跡を要求します。サードパーティリスク管理評価では、ベンダーがこの証拠を要求時に提出できることが検証されなければなりません。単に「保持している」と主張するだけでは不十分です。
KiteworksがEUコンプライアンスのためのアーキテクチャ主権を実現する方法
GDPRのデータレジデンシー要件と本当のEUデータ主権の違いは、データが「どこにあるか」と「誰が実際にアクセスを制御しているか」の違いです。組織はフランクフルトにデータを保存し、標準契約条項に署名し、移転影響評価を実施していても、CLOUD Actの召喚状一つでEU顧客のデータが通知なしに米国当局に提出されるリスクがあります。これが、欧州データに米国管理インフラを使う構造的な現実であり、欧州のDPAが現在取り締まっているポイントです。
本当のEUデータ主権には、契約で補えない部分をアーキテクチャで補うことが必要です。プロバイダーが平文データを技術的に提供できなくする顧客管理の暗号鍵、データを欧州法域下に置くシングルテナントの欧州展開、レジデンシーを契約上の主張ではなく技術的現実にするポリシー強制ジオフェンシング。Kiteworksはこのアーキテクチャを提供します。あなたのデータ、あなたの法域、あなたのコントロールです。
Kiteworksは「あなたのデータはあなたのコントロール下にあるべき」という唯一の原則を軸に設計されています。あなたの法域で、あなたの鍵で暗号化され、Kiteworksを含む未承認者にはアクセスできません。これがアーキテクチャ主権の実務的な意味です。
Kiteworksプライベートデータネットワークは、すべての機密性の高いコンテンツ通信チャネル(メール、ファイル共有、MFT、Webフォーム、API)を統合し、統一された主権コントロールで管理します。顧客管理の暗号化(BYOK/BYOE)、FIPS 140-3レベル1認証暗号および保存時AES-256暗号化により、Kiteworksは顧客データを復号できません。約束ではなくアーキテクチャで実現しています。私たちは決して鍵を保持しません。政府からの要求がKiteworksに届いても、暗号文しか提出されません。これがEDPBが求める補完措置であり、インフラレベルで実装しています。
欧州展開オプション(オンプレミス、欧州プロバイダーによるプライベートクラウド、KiteworksホストのEUインフラ)は、データレジデンシーを技術的に担保します。ポリシー強制ジオフェンシングでコンテンツを指定地域内にロック。ゼロトラスト・セキュリティ制御でアクセスを管理し、全操作をCISOダッシュボードで可視化できる統一された改ざん防止監査証跡に記録します。GDPR、NIS2、DORA、ISO 27001の事前構成済みコンプライアンスレポートで、移転影響評価の証拠、第30条記録、鍵管理文書を提供。顧客への主張だけでなく、規制当局に証明できる主権を実現します。
EUで事業を展開する組織のデータ主権コンプライアンスをKiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください。
よくある質問
データレジデンシーはデータが物理的にどこに保存されているかを指し、GDPR第V章の移転制限はEU個人データの流れを制限することで事実上のレジデンシー要件を生み出しています。データ主権はより広い概念で、どの法域がそのデータへのアクセスを制御し、誰が開示を強制できるかを指します。米国プロバイダーがEUデータセンターを運営している場合、レジデンシー要件は満たしますが、主権ギャップが生じます。データは地理的には欧州にあっても、CLOUD Actの下で米国政府の要求に法的にアクセス可能です。このギャップを埋めるには、EUサーバーアドレスだけでなく顧客管理の暗号化アーキテクチャが必要です。
GDPRにはEU内保存の包括的な義務はありませんが、第V章の移転制限により、個人データの合法的な流れを制限することで実質的にEU内保存を強く促しています。Schrems II以降、米国への移転で標準契約条項を利用する場合、米国の監視法がSCCsの有効性を損なうかどうかを文書化する移転影響評価(TIA)が必要です。多くの米国プロバイダーへの移転では、CLOUD ActやFISA 702のリスクが技術的補完措置を必要とするリスクとして特定され、EDPBはEEA内で保持される顧客管理の暗号鍵をその措置としています。実質的に、米国プロバイダーへのGDPR準拠移転には、EUサーバーアドレスだけでなく顧客管理の暗号化が必要となっています。
米国CLOUD Act(Clarifying Lawful Overseas Use of Data Act、2018年)は、米国企業に対し、管理するデータを有効な米国政府の要求に応じて提出することを義務付けており、データの保存場所は問いません。EU組織にとって、米国プロバイダーのフランクフルトデータセンターは欧州法域の保護を生むのではなく、欧州の地理的な場所に米国の法的リスクが加わることになります。標準契約条項ではこれを覆せません。このリスクを排除できる唯一の技術的コントロールは、プロバイダーのインフラ外で管理される顧客管理の暗号鍵による暗号化であり、プロバイダーはどんな法的要求があっても平文データを提供できなくなります。
GDPRは個人データ保護を規定しています。NIS2指令とDORAは運用上のレジリエンスやICTリスク管理を規定し、GDPRの範囲を超えた主権義務を課しています。NIS2は対象組織にICTサプライチェーンのサイバーセキュリティリスク(クラウドプロバイダーのCLOUD Actリスクを含む)を評価することを要求し、最大1,000万ユーロまたは全世界売上高2%の罰金、経営層個人への直接責任を課します。DORAは金融機関に対し、ICTプロバイダーとの契約でデータ主権や暗号鍵管理を明記することを求め、EBAのアウトソーシングガイドラインやECBの監督基準で執行されます。規制業界の組織は3つのフレームワークすべてに同時に対応する必要があり、GDPRコンプライアンスだけでは義務を満たせません。
DPAは4つのカテゴリの証拠を求めます:アーキテクチャ文書(展開場所、インフラ分離、顧客管理の鍵がプロバイダーインフラ外にあることを示す鍵管理記録)、移転文書(CLOUD Actリスクに対する技術的補完措置を示す移転影響評価)、改ざん防止の監査ログ(すべてのデータアクセス・移転・処理活動と地理的範囲の記録)、ポリシー執行記録(ジオフェンシング設定で地理的境界の技術的執行を示す)。KiteworksはGDPR、NIS2、DORA、各国DPA要件に対応した事前構成済みコンプライアンス文書パッケージを提供しており、TIAレビューや監査調査で規制当局が求める証拠基盤を備えています。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権の落とし穴を回避するには - ブログ記事
データ主権のベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】