欧州政府機関がデジタル主権調達要件を満たす方法
欧州の政府機関は、これまでのデジタル主権に関する理念的な目標から、実効性のある調達仕様へとシフトしています。2025年10月、欧州委員会はCloud Sovereignty Framework(バージョン1.2.1)を発表し、8つの主権目標とスコアリング手法を導入しました。これにより、あらゆるレベルの政府機関がクラウドプロバイダーを評価できるようになりました。欧州委員会はこのフレームワークを、Cloud III Dynamic Purchasing Systemの下で1億8,000万ユーロ規模の主権クラウドサービス調達に適用し、公共部門のクラウド調達におけるデータ主権の実務的な適用方法について、初めて運用上のベンチマークを確立しました。
この動きは、欧州の公共機関における調達担当者、ITディレクター、データ保護責任者が直面している構造的な現実を反映しています。欧州議会の2025年テクノロジー主権に関する報告書によれば、EUはデジタル製品、サービス、インフラ、知的財産の80%以上を非EU諸国に依存しています。欧州のクラウドプロバイダーのEU市場シェアは約15%にとどまります。市民データ、機関間のファイル共有、規制当局とのやり取りが、CLOUD法やFISA第702条の適用を受ける非欧州系プロバイダーのプラットフォームを通じて行われる場合、調達意図と運用現実の間には大きな主権ギャップが生じます。
本ガイドでは、欧州政府機関が主権要件を評価可能な技術的基準へと落とし込む調達仕様をどのように作成できるかを解説します。EU Cloud Sovereignty Frameworkを出発点とし、機密データ交換プラットフォーム選定時の実務的な意思決定にどのように適用できるかを示します。
エグゼクティブサマリー
主旨:欧州の政府機関は、クラウド主権を調達で評価するための標準化されたフレームワークを手に入れました。EU Cloud Sovereignty Frameworkの8つの主権目標とSEAL(Sovereignty Effective Assurance Level)スコアリングシステムは、戦略、法的、運用、技術の各側面を網羅した評価可能な基準を提供します。機関はこのフレームワークを活用し、真の主権とマーケティング上の主張を区別する仕様を作成し、プロバイダーに対して契約上の保証ではなく、アーキテクチャ上の証拠を求めることができます。
重要性:Cloud Sovereignty Frameworkは理論上のものではありません。欧州委員会自身が1億8,000万ユーロ規模の調達でこのフレームワークを使用しており、受注は2025年12月から2026年2月の間に予定されています。8つの目標すべてで最低保証レベルを満たさない提案は自動的に却下されます。各国政府も同様の基準を採用する見込みです。フランスのSecNumCloud認証は、すでに公共部門クラウドに主権要件を義務付けています。ドイツのCloud Platform RequirementsもDelos Cloudパートナーシップを通じて同様の期待値を設定しています。調達仕様を更新しない機関は、新たな国家・EUレベルの主権基準を満たせないプロバイダーを選定するリスクがあります。
どのデータコンプライアンス基準が重要か?
Read Now
5つの重要ポイント
- EU Cloud Sovereignty Frameworkは、調達のための8つの評価可能な目標を提供します。 SOV-1からSOV-8は、戦略、法的、データ、運用、サプライチェーン、技術、セキュリティ、環境の主権をカバーします。各目標はSEALレベル(0=主権なし~4=完全なデジタル主権)で評価されます。機関は調達の閾値として最低SEALレベルを設定できます。
- 法的・管轄主権(SOV-2)は、域外法リスクの正直な評価を要求します。 フレームワークは、非EU当局が法的・契約的・技術的手段でデータやシステムへのアクセスを強制できるかどうかを明確に評価します。CLOUD法の適用を受けるプロバイダーは、EU内データセンターであってもスコアが低くなります。
- 各国のクラウド主権戦略はEUレベルの基準へと収斂しつつあります。 フランスのSecNumCloud、ドイツのSouveräner Cloudプログラム、EU Cloud Sovereignty Frameworkはいずれも、暗号鍵管理、データレジデンシー、非EU組織からの運用独立性に関するコア要件を共有しています。
- 顧客管理型暗号化は調達基準の根幹です。 データ・AI主権(SOV-3)は、機関が暗号鍵の管理権限を保持しているか、プロバイダーが復号済みコンテンツにアクセスできるかを評価します。この1点が、真の主権とデータレジデンシーを謳うだけのマーケティングを分けます。
- Cloud and AI Development Actにより、調達要件が法制化されます。 欧州委員会は、公共機関向けのEU全域で統一されたクラウドポリシーを創設する法案を発表しており、主権調達基準が任意から義務へと移行する見込みです。フレームワーク準拠の仕様を早期に採用することで、機関は規制要件への先行対応が可能となります。
EU Cloud Sovereignty Framework:調達担当者のためのガイド
評価基準としての8つの主権目標
2025年10月20日に欧州委員会が発表したCloud Sovereignty Frameworkは、調達担当者が入札仕様に直接組み込める体系的な評価手法を導入しています。このフレームワークは、フランスのCloud de Confianceプログラム、ドイツのSouveräner Cloudイニシアチブ、NIS2やDORAなどの欧州規制を参考に、主権の意味を測定可能な形で定義しています。
8つの主権目標(SOV-1~SOV-8)は、包括的な評価構造を提供します。SOV-1:戦略的主権は、プロバイダーのガバナンス、所有権、資本構造がEUの管理下にあるか、非EU依存があるかを評価します。SOV-2:法的・管轄主権は、非EU法制度への曝露、非EU当局が法的・契約的・技術的手段でデータアクセスを強制できるかを評価します。この目標はCLOUD法など域外法を直接扱います。SOV-3:データ・AI主権は、データ処理、保存、暗号鍵管理の管理権限をカバーします。SOV-4:運用主権は、サービス運用、要員、サポートがEU管轄下で行われているかを確認します。
SOV-5:サプライチェーン主権は、ハードウェア構成部品、ソフトウェア依存性、下請けチェーンの出自と管理を精査します。SOV-6:技術主権は、技術的独立性の度合い、技術スタックが非EUの独自システムに依存し、停止されるリスクがあるかを評価します。SOV-7:セキュリティ・コンプライアンス主権は、ENISA、NIS2、DORAなど欧州のサイバーセキュリティ認証フレームワークとの整合性を評価します。SOV-8:環境持続可能性は、エネルギー効率、再生可能エネルギー利用、サステナビリティ報告をカバーします。
SEALレベル:主権なしから完全なデジタル主権まで
各主権目標は、SEAL(Sovereignty Effective Assurance Levels)で評価され、SEAL-0(主権なし)からSEAL-4(完全なデジタル主権)までの範囲となります。フレームワークは、EU調達の資格要件として、8つの目標すべてでプロバイダーが達成すべき最低SEALレベルを定めています。1つでも最低要件を満たさない場合、その提案は自動的に却下されます。
調達担当者にとって、SEALシステムは、入札書類の曖昧な主権要件から脱却するための言語と構造を提供します。単に「データ主権を確保すること」と記載する代わりに、各目標ごとに具体的なSEALレベルを要求できます。例えば、市民データ処理の入札では、SOV-2(法的主権)とSOV-3(データ主権)にSEAL-3以上、SOV-8(環境持続可能性)にはSEAL-2を要求することができます。
フレームワークを調達仕様に落とし込む
機密データプラットフォームのための重要基準
安全なファイル共有、機関間コミュニケーション、市民データ処理のためのプラットフォームを調達する際、政府機関は8つの主権目標のうち4つを仕様で優先すべきです。
法的・管轄主権(SOV-2)は最も重要な基準です。調達仕様では、プロバイダーに対し、企業構造、運用、要員、データ処理活動に適用されるすべての法域を開示することを求めるべきです。また、非EU政府機関が国家安全保障命令、法執行機関の召喚状、情報収集権限など、いかなる法的手段でも機関データの提出・開示・アクセスを強制できるかどうかを明示的に問う必要があります。CLOUD法の適用を受けるプロバイダーは、データの物理的な保存場所に関係なく肯定的に回答しなければなりません。
データ主権(SOV-3)の仕様では、プロバイダーに暗号化アーキテクチャの詳細な文書化を要求すべきです。主な確認事項は、機関が自ら暗号鍵を生成・保持しているか、プロバイダーがいかなる状況でも復号済みコンテンツにアクセスできるか、暗号鍵管理がデータ処理環境から技術的に分離されているか、などです。プロバイダー管理型鍵(プロバイダーが復号可能)と顧客管理型鍵(プロバイダーが復号不可)の違いが、データレジデンシーとデータ主権の実務的な分岐点です。
運用主権(SOV-4)の仕様では、サービス運用、保守、サポートがEU拠点の要員によってEU管轄下でのみ実施されているかを問うべきです。非EU拠点からのリモートアクセスや、非EU要員が機関環境にアクセスできる状況があるかどうかの開示も求めましょう。
サプライチェーン主権(SOV-5)の仕様では、下請けチェーンの透明性、特に基盤インフラが非EUクラウドプラットフォームに依存し、主権調達が排除しようとする法的リスクを再導入していないかを明らかにすることが求められます。
評価可能な仕様作成:実践的アプローチ
効果的な主権調達仕様は、ポリシー要件をイエス/ノーで答えられる技術的質問と文書による証拠要件に落とし込みます。優先する各主権目標について、必須開示要件(プロバイダーが開示すべき内容)、評価基準(回答のスコアリング方法)、証拠基準(準拠を証明する文書の内容)を含めるべきです。
暗号鍵管理については、仕様例として「プロバイダーは暗号鍵の生成、保存、ローテーション、廃棄を含む完全なライフサイクルを文書化すること。機関は自らのハードウェアセキュリティモジュール(HSM)または同等の鍵管理システムで暗号鍵を排他的に管理すること。プロバイダーは、あらゆる法域からの法的強制を含め、いかなる状況でも復号済み機関データにアクセスできないことを、アーキテクチャ文書および独立検証により証明すること。」と記載できます。
データレジデンシーについては、「すべての機関データ(一次保存、バックアップ、レプリカ、メタデータを含む)は、[指定したEU加盟国]内にのみ保存されること。プロバイダーは、指定地理的境界外へのデータ流出を防ぐ技術的制御を実装し、データの所在に関する継続的な監査ログを提供すること。機関はデータレジデンシーを独自に検証できること。」と求めることができます。
ベンダー独立性については、「プロバイダーは、機関がデータ損失やサービス中断なく契約を終了できることを証明すること。すべての機関データは標準的かつ非独自形式でエクスポート可能であること。プロバイダーは、移行計画(タイムライン、必要リソース、データ移行手順を含む)をテスト済みで文書化すること。」と記載しましょう。
機関が準拠すべき各国主権戦略
フランス:SecNumCloudとCloud de Confiance
フランスのアプローチは欧州で最も厳格です。ANSSIのSecNumCloud認証(v3.2)は、認証プロバイダーに対し、顧客データ・技術データのすべてをEU内にローカライズし、システムサポートをEU拠点の要員のみで実施し、非EU株主の持株比率を個別25%、合計39%未満に制限する所有権規制を義務付けています。SecNumCloud認証はフランス公共部門クラウド調達で必須となっており、医療・エネルギー・金融・運輸など重要インフラプロバイダーにも影響を拡大しています。MicrosoftのBleu(Orange/Capgemini合弁)やGoogleのS3NS(Thales)との提携は、これら要件の運用上の重みを示しています。
ドイツ:Cloud Platform RequirementsとDelos Cloud
ドイツのアプローチは、政府が定めたCloud Platform RequirementsをDelos Cloudパートナーシップ(SAP子会社がMicrosoft技術をドイツ管理下で運用)を通じて実装する形で進められています。ドイツのIT-Planungsratは、連邦・州政府全体の公共IT標準を調整しています。ドイツ機関向けには、BaFinのクラウドアウトソーシング監督基準やBSIの技術ガイドラインが、EUレベルのフレームワークを補完する追加要件を提供します。ドイツ連邦または州向け調達では、EU Cloud Sovereignty Frameworkの基準とドイツ独自要件の両方を組み込むべきです。
EU基準への収斂
欧州委員会はCloud and AI Development Act(CAIDA)を発表しており、公共機関向けにEU全域で統一されたクラウドポリシーと調達基準を創設する見込みです。この法案は、Cloud Sovereignty Frameworkの8つの目標とSEAL手法を大きく参照することが予想されます。今、調達仕様をフレームワークに合わせておくことで、CAIDA要件が義務化された際にも再調達や契約再交渉の必要なく対応できます。
現行調達実務における主権ギャップ
「EUデータセンター」では調達基準にならない理由
多くの現行政府調達仕様では、「EU内でのデータ保存」や「EUデータセンター立地」を主権対策として要求しています。しかし、Cloud Sovereignty Frameworkはこれが不十分である理由を明らかにしています。データセンターの所在地は物理的な地理のみをカバーし、法的管轄、暗号鍵管理、運用アクセス、サプライチェーン依存性には対応しません。米国本社のプロバイダーがEU内データセンターを運用していても、SOV-2(法的主権)ではSEAL-0またはSEAL-1となります。なぜなら、サーバーの場所にかかわらず米国法がプロバイダーの義務を規定するためです。
欧州委員会が「主権」という単一のチェックボックスではなく、8つの個別主権目標を採用したのは、この課題が多面的であることを反映しています。データセンター立地だけに依拠した調達仕様では、プロバイダーが主権準拠を主張できてしまい、実際には非EU政府のアクセス要求に完全に従わざるを得ない場合があります。
「ソブリンクラウド」パートナーシップの精査が必要な理由
米国ハイパースケーラーは、欧州の主権圧力に対応し、欧州パートナーとの提携を進めています。MicrosoftのBleu(フランス)やDelos Cloud(ドイツ)、GoogleのS3NS(フランス)、AWSのEuropean Sovereign Cloudなどが、ソブリンな選択肢として位置付けられています。しかし、これらの取り組みが実際に提供する主権の度合いは大きく異なり、調達仕様では他のプロバイダーと同じフレームワーク基準で評価する必要があります。
ソブリンクラウドパートナーシップを評価する際の主な確認事項は、欧州側パートナーが技術スタックを完全に管理しているか、米国親会社にコードやアップデート、保守を依存していないか、CLOUD法やFISA要求シナリオで検証済みか、その際の文書化された対応結果は何か、米国側が協力を停止した場合に欧州側が独立運用できるか、専用インフラか非主権ワークロードと共有のマルチテナントインフラか、などです。
実装:調達プロセスに主権を組み込む
フェーズ1:現行体制をフレームワークで評価
市民データ、機関間コミュニケーション、規制当局とのやり取り、内部方針文書を処理するすべてのクラウドおよびSaaSサービスを洗い出します。各サービスについて、現行プロバイダーを8つの主権目標で評価し、可能な限りSEALレベルを文書化します。法的主権(SOV-2)やデータ主権(SOV-3)が許容閾値を下回る体制を特定し、移行優先リストを策定します。
フェーズ2:フレームワーク準拠の入札仕様作成
8つの主権目標を評価基準として組み込んだ調達仕様を作成し、各目標ごとに最低SEALレベルを定義します。調達対象データや機能の機密性に応じて基準の重み付けを行います。暗号化アーキテクチャ、法的リスク、運用アクセス、サプライチェーン構成の必須開示要件を盛り込みます。マーケティング資料ではなくアーキテクチャ文書による証拠基準を定め、運用主権の期待に沿った契約終了要件も明記します。
フェーズ3:フレームワーク手法による回答評価
プロバイダーの回答を各主権目標ごとにSEAL手法でスコアリングします。優先目標で最低基準を満たさない回答は却下します。要件を満たす回答については、フレームワークの重み付けスコアで全体の主権体制を比較します。特に暗号鍵管理や法的独立性については、プロバイダーの主張に対する独立検証を要求しましょう。
フェーズ4:受注後の検証とモニタリング
受注後、導入アーキテクチャが入札仕様と一致しているかを独立監査で検証します。プロバイダーの所有構造、下請け関係、法的環境が変化した場合も含め、主権目標に基づく定期的な再評価を継続的モニタリングに組み込みます。主権体制が所定閾値を下回った場合の契約解除条項も盛り込みましょう。
主権調達は市民の信頼を守る
欧州市民は、個人データを政府に託しています。税務記録、健康情報、社会保障データ、身分証明書、機関間コミュニケーションは、社会で最も機密性の高い情報カテゴリです。これらのデータが外国政府のアクセス要求対象となるプラットフォームを通じて流通する場合、契約上の文言にかかわらず、市民データ保護の暗黙の約束は損なわれます。
EU Cloud Sovereignty Frameworkは、政府機関がこの信頼に応える調達判断を下すためのツールを提供します。主権原則を評価可能な技術基準へと落とし込むことで、機関は外国法域からの法的強制に耐えられない契約上の保証ではなく、真の保護を提供するプラットフォームを選定できます。
Kiteworksは欧州政府機関のデジタル主権調達要件を支援
Kiteworksプライベートデータネットワークは、EU Cloud Sovereignty Frameworkの全優先目標に準拠した主権アーキテクチャを提供します。SOV-2(法的主権)については、Kiteworksの顧客管理型暗号化モデルにより、プラットフォームが暗号鍵を保持しないため、外国政府の復号要求に応じることが技術的に不可能です。SOV-3(データ主権)では、機関が自らのHSMで鍵を生成・保持し、不正アクセスの技術的な不可能性を担保します。
Kiteworksは、専用の欧州インフラ上でシングルテナントインスタンスとして展開され、SOV-4(運用主権)についても他テナントや他法域と共有しない分離環境を実現します。組み込みのジオフェンシングにより、プラットフォームレベルでデータレジデンシーを強制し、フレームワーク準拠の調達仕様が求める継続的な監査証跡を提供します。Kiteworksは、GDPR準拠、NIS2整合、DORA運用レジリエンスにも対応し、あらゆる機密性の高いコンテンツ通信チャネルをカバーします。
本プラットフォームは、安全なファイル共有、メール保護、マネージドファイル転送、ウェブフォームを単一のガバナンスフレームワークで統合し、機関がすべてのデータ交換チャネルにおいて、1つのアーキテクチャ、1つの評価、1つの証拠パッケージで主権調達要件に対応できるようにします。
デジタル主権調達要件への対応について詳しく知りたい方は、ぜひカスタムデモをご予約ください。
よくあるご質問
EU Cloud Sovereignty Frameworkは、2025年10月に欧州委員会が発表した体系的な評価手法であり、クラウドプロバイダーを評価するための8つの主権目標を定義しています。各目標はSEALレベル(0~4)でスコアリングされます。欧州委員会は、Cloud III Dynamic Purchasing Systemの下で1億8,000万ユーロ規模のクラウド調達にこのフレームワークを活用しています。現時点ではすべての加盟国機関に法的義務はありませんが、各国調達当局や今後制定されるCloud and AI Development Actが採用する基準となる見込みです。機関は、評価基準やSEALスコアリングを入札仕様に今すぐ組み込むことができます。
調達仕様では、プロバイダーに自社の運用に適用されるすべての法域の開示と、非EU当局がデータアクセスを強制できるかどうかの確認を求めるべきです。EU Cloud Sovereignty FrameworkのSOV-2(法的・管轄主権)は、域外法執行リスクを明確に評価します。仕様では、契約上の保証ではなくアーキテクチャ上の証拠によって、プロバイダーが外国法的強制下でも復号済み機関データを提出できないことを証明するよう要求しましょう。プロバイダーが鍵を一切保持しない顧客管理型暗号化が、このアーキテクチャ証拠となります。
米国ハイパースケーラーと欧州企業によるソブリンクラウドパートナーシップは、実際に提供される主権の度合いが大きく異なるため、他のプロバイダーと同じフレームワーク基準で評価する必要があります。主な評価ポイントは、欧州側企業が米国親会社から完全に技術的独立を果たしているか、CLOUD法要求シナリオで体制が維持されるか、専用インフラか分割インフラか、などです。機関はSOV-1~SOV-6の主権目標でこれらの提供を評価し、マーケティング資料や提携発表ではなく、各項目ごとに文書化された証拠を要求すべきです。
仕様では、機関が自らHSMで鍵を生成・保存・管理し、プロバイダーが復号済みデータに一切アクセスできない顧客管理型暗号化を要求すべきです。これにより、SOV-3(データ主権)のSEAL-3またはSEAL-4レベルに対応できます。仕様には、鍵ライフサイクル全体の文書化、プロバイダーが復号できないことの独立検証、すべての暗号化操作の監査証跡を求めましょう。BYOK(Bring Your Own Key)方式のプロバイダー管理型暗号化は、データ処理時にプロバイダーが鍵にアクセスできる場合が多いため、慎重に評価する必要があります。
Cloud and AI Development Act(CAIDA)は、Cloud Sovereignty Frameworkに基づく調達基準を義務化した、EU全域の公共機関向けクラウドポリシーを創設する見込みです。この法案は、EUのデータセンター容量を3倍に拡大し、公共部門向けクラウドプロバイダーに対する必須資格要件を定めることを目指しています。現時点でフレームワークの8つの目標とSEAL手法に沿った調達仕様を策定しておけば、CAIDA要件施行時にもスムーズにコンプライアンス対応が可能です。規制の方向性は明確であり、主権調達は任意から義務へと移行します。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権で陥りがちな落とし穴 - ブログ記事
データ主権のベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】