データ主権インシデント：昨年、3社に1社が被害

本来あり得ないはずのことが起きています。組織の44%が「データ主権要件について非常によく理解している」と自認している一方で、そのうち33%が過去12カ月間に主権関連のインシデントを経験しています。

主なポイント

1. 主権意識は頭打ち、インシデントは減らず。各地域の回答者の約44%が主権要件について「非常によく理解している」と述べていますが、過去12カ月間に33%が主権関連のインシデントを報告しています。ルールを知っていることと、それを強制するシステムを構築することの間にインシデントが発生しています。
2. 中東は最も多く投資し、最も大きな打撃を受けている。中東の回答者の3分の2が主権コンプライアンスに年間100万ドル以上を投資しており、93%がPDPLおよびSDAIA規制が自社の業務に直接影響していると答えています。インシデント発生率は44%で、カナダの23%のほぼ2倍です。これは新しい規制環境では、ルールは理解されていても、それを実行するインフラがまだ整っていないため、コンプライアンスと認識のギャップが生じていることを示しています。
3. カナダの本当の主権リスクは南から来ている。カナダの回答者の40%がカナダ・米国間のデータ共有取り決めの変更を最大の規制上の懸念とし、21%が米国クラウド法（CLOUD Act）を直接的な主権リスクと見なしています。23%は米国本社のクラウドプロバイダーから積極的に移行中です。これは契約やベンダー保証では埋められない法域ギャップへの構造的な対応です。
4. 欧州の規制成熟度でもプロバイダー信頼問題は解消されていない。欧州の回答者の44%が、プロバイダーによる主権保証への懸念をクラウド導入の最大の障壁として挙げており、調査地域の中で最も高い数値です。ほぼすべてがGDPRに準拠し、認識スコアも最も高いにもかかわらず、32%が主権インシデントを経験しており、プロバイダーのアーキテクチャが復号経路を開いたままでは、規制成熟度がリスクを減らしても排除できないことが明らかになっています。
5. AIガバナンスが「備え」と「無防備」を分ける新たな分岐点に。AI監査やデータローカライゼーションに積極投資している業界は、インシデント発生率が全体平均の33%以下となっていますが、21%はAI主権ポリシーをまだ策定中です。EU AI法が施行され、サウジアラビアでもSDAIAがAIガバナンスを主導する中、この21%は計画なしに規制執行に直面しようとしています。

この2つの数字は本来、共存すべきではありません。人々が本当にルール——データの保管場所、アクセス権限、国境を越える際の対応——を理解しているなら、インシデントはまれな例外であるべきです。

しかし現実は違います。調査したすべての地域で、規制環境の成熟度に関係なく、3分の1の割合でインシデントが発生しています。これは、2026年におけるデータ主権の現状を物語っています。問題はもはや「無知」ではありません。ルールが求めることを知っていることと、それを強制するシステムを構築することの間にギャップがあるのです。

私たちは6カ月かけて、カナダ、中東、欧州のIT・セキュリティ専門家286人を対象に「2026年データセキュリティ＆コンプライアンスリスク：データ主権レポート」の調査を行いました。以下は、今後2年間、貴社が主権についてどう考えるべきかを左右する知見——そしてCISOの眠れぬ夜を増やすであろうポイントです。

認識は収束、インシデントギャップは解消せず

まずは良いニュースから。主権に関する認識は、もはや地域によって大きく異なる問題ではありません。

中東は「非常によく理解している」が45%、カナダは44%、欧州も44%。「よく理解している」層も加えると、3地域全体で約80%が自国の主権要件を自信を持って理解していると答えています。PIPEDA、PDPL、GDPRのいずれの下でも、データ保護を担う人々は自分たちの役割を概ね理解しています。

しかし悪いニュースもあります。知っていることが、実行——少なくとも十分な実行——にはつながっていません。

カナダのインシデント発生率は23%。欧州は32%。中東は44%でトップです。全地域を平均すると、過去1年で3分の1がデータ主権インシデントを経験しています。さらに5%は回答を辞退しており、これは調査上、答えたくない理由がある場合によく見られます。

インシデントの種類は特別なものではありません。主権に関わるデータ侵害とサードパーティのコンプライアンス違反がそれぞれ17%で最多。次いで規制当局による調査が15%、無許可の越境転送が12%、政府によるデータアクセス要求が10%です。これらは「想定外」の出来事ではなく、本来防ぐべきだったシステムの平凡な失敗です。

この結果から得られる教訓は不快ですが不可欠です。認識はもはや最低限の条件であり、保護にはなりません。インシデントを回避した組織は、ルールを最もよく理解していた組織ではなく、強制力をアーキテクチャに組み込んだ組織です。

中東は最速で進み、最も大きな打撃を受けている

野心と実行のギャップを理解したければ、中東を見てください。

中東の回答者の93%がPDPLおよびSDAIA規制が自社業務に直接影響していると答えており、これは調査中で最も高い規制影響度です。投資も積極的で、3分の2が主権コンプライアンスに年間100万ドル以上、28%が500万ドル超を投じています。今後の計画も明確で、48%が地域クラウドプロバイダーの採用、46%がコンプライアンス自動化、48%が技術的統制の強化を予定しています。

それでもインシデント発生率は44%。カナダのほぼ2倍で、調査地域中最高です。

なぜでしょうか？3つの要因が重なっています。PDPLとSDAIAの枠組みは比較的新しく、規制要件が急速に高まる中で、組織が強制インフラを構築する時間が十分にありません。中東の回答者の30%は従業員1万人～1万9999人規模の大企業で、複雑なデータアーキテクチャを持ちながらも、ガバナンス体制はまだ構築途上です。また、33%が地政学的な不安定さを主権リスクとして挙げており、安定した地域のコンプライアンスプログラムでは考慮しなくてよい変数が加わっています。

中東のデータから明らかになるのは、規制コンプライアンスの認識や多額の投資だけではインシデントは減らないということです。必要なのは運用の深さ——記録するだけでなく強制する統制、主張ではなく証明できる証拠、危機が訪れる前にテストされたインシデント対応プレイブックです。

カナダの穏やかな表面の下に潜む越境問題

カナダの数字は一見安心感があります。インシデント発生率23%は調査地域で最も低く、PIPEDA準拠率は79%、すべての職種で高い認識度を示しています。

しかし、カナダの回答者が何を懸念しているかを見ると、その穏やかさは崩れます。

40%がカナダ・米国間のデータ共有取り決めの変更を最大の規制懸念とし、21%が米国クラウド法（CLOUD Act）を直接的な主権リスクと見なしています。23%は米国本社のクラウドプロバイダーから積極的に移行中です。これらは仮想的な計画ではなく、無視できなくなった法域現実への積極的な対応です。

問題は構造的です。カナダの組織が米国本社のプロバイダーにデータを預けると、物理的な保存場所に関わらず、米国政府のアクセス要求の対象になる可能性があります。契約では外国のアクセス法を無効化できず、ベンダーの保証も令状を無力化しません。米国プロバイダーから移行する23%は過剰反応ではなく、契約文言では埋められないギャップに対応しているのです。

顧客からの圧力も緊急性を高めています。カナダの回答者の半数以上が、顧客の26%～75%から主権対応について積極的な問い合わせを受けていると報告しています。主権はもはや社内コンプライアンスの話ではなく、顧客との信頼構築の問題です。要求に応じてエビデンス（スライド資料ではなく、エクスポート可能な証拠）を提示できる組織は、審査が厳しくなるほど競争優位性を強めます。主権対応のメリットとして顧客信頼向上を挙げるカナダ回答者の51%は、すでにこのことを理解しています。残りの組織も間もなく実感するでしょう。

欧州：最も規制が進んだ市場でも3分の1がインシデントを報告

欧州は本来、成功事例となるはずです。GDPRは2018年から施行され、NIS2やDORAが運用レジリエンスを強化しています。データ法は2025年9月に施行、EU AI法のGPAI要件も2025年8月に始まりました。欧州組織は調査地域で最も高い理解度と、ほぼ全てがGDPR準拠を報告しています。

それでも過去1年で32%が主権インシデントを経験しています。

欧州のデータは「規制成熟度が主権リスクを最終的に排除する」という都合の良い前提に疑問を投げかけます。実際にはリスクを減らすだけで、コンプライアンスフレームワークと運用上の強制力の間のギャップは、世界で最も規制が進んだ環境でも残り続けます。

欧州の最大の課題はプロバイダーへの信頼です。回答者の44%が、プロバイダーによる主権保証への懸念をクラウド導入の障壁としています。米国本社の大手プロバイダーによるデータアクセス制限に関する最近の発表は、この懸念を現実的なものにしました。シュレムスII判決で、契約では外国政府のアクセス法を無効化できないことが数年前から明らかになっています。それでも多くの欧州組織は、ベンダー契約がアーキテクチャ上の統制の代替になると考えています。

その対応は計画データにも現れています。46%がEU拠点プロバイダーの利用拡大を予定し、55%がコンプライアンス自動化、45%がデータローカライゼーションを進めています。欧州組織は次の規制波を待つのではなく、インフラから主権体制を再構築しています。8年間のGDPR執行と累計数十億ユーロの罰金を通じて、規制成熟度だけで運用強制力が伴わなければ、コスト高でリスクにさらされ続けることを学んだからです。

コストは現実的——しかも多くの組織が想定するより急速に拡大

主権対応は安価ではなく、調査データはその現実を示しています。

技術インフラの変更がリソース消費のトップ（59%）、次いで法務・コンプライアンス専門知識（53%）。文書化・監査、越境転送評価、スタッフ教育が上位5項目を占めます。これらは一度きりのプロジェクト費用ではなく、新たな規制や法域、ベンダー関係が増えるたびに拡大する継続的な運用コストです。

年間支出も同様です。ほとんどの組織が年間100万ドル超を投資しています。従業員1万人超の大企業では支出が上位層に集中し、中東の28%が年間500万ドル超を投じているのは、主権インフラ構築と新規制対応を同時に進めた場合の典型例です。

しかし多くの予算議論が見落とすのは、「投資しないコスト」の方が高いという点です。調査で挙がったインシデント——侵害、規制調査、無許可転送、政府アクセス要求——はそれぞれ罰金、是正費用、顧客離れ、評判毀損という代償を伴います。GDPRだけでも累計数十億ユーロの罰金が科され、カナダのPIPEDA罰金も増加傾向、サウジアラビアのPDPL執行も本格化しつつあり、罰則リスクは安定せず拡大しています。

一方で、投資のメリットも重要です。回答者は無計画に支出しているわけではありません。全地域でセキュリティ体制の強化が最大のメリットとなり、中東では56%が顧客信頼向上を挙げています。データガバナンスの改善、法的リスクの低減、競争優位性も上位5項目です。これらは「定性的」な指標ではなく、取締役会が主権予算を承認し、調達部門が契約前にデータレジデンシーを確認する理由です。

主権をコストセンターと捉える組織は、問いの立て方を誤っています。本質的な問いは、「インシデントを防ぐ統制を構築するために支払うか、統制で防げなかったインシデントの後始末に支払うか」です。調査データは、どちらが高くつくか、どちらが信頼・市場アクセス・規制対応で複利的なリターンをもたらすかを明確に示しています。

AIガバナンスは次の主権バトルフィールド

本調査では、多くのデータ主権研究が見落としてきた「AIデータガバナンスへの対応」についても質問しました。

回答は3つのグループに分かれます。約3分の1はAI学習データをすべて自国地域内に保管、もう3分の1はデータの機微性に応じて混合対応、そして21%はAI主権ポリシーをまだ策定中です。

この最後のグループは注意が必要です。EU AI法はすでに施行され、サウジアラビアでもSDAIAがAIガバナンスを主導。カナダでも連邦・州レベルでAI対応のプライバシー改革が進行中です。文書化され、防御可能なAIデータ保護戦略がない組織は、計画なしに規制執行サイクルに突入することになります。

すでにAIデータのローカライゼーションや定期監査を実施している組織は一歩先を行っています。混合対応グループには、規制当局が「機微性分類が不十分」と判断する前に、分類基準を正式化する猶予があります。まだ方針を模索中の21%は、迅速な対応が必要です。「対応中です」では監査人もAI法執行も納得しません。

実際に機能するのは何か：データから見える3つのパターン

地域差や業界特有の要素を取り除くと、調査からはインシデントを防ぐ組織と経験する組織を分ける3つのパターンが浮かび上がります。

コンプライアンス成熟度が認識度を上回る。カナダはPIPEDA準拠率が最も高く（79%）、インシデント発生率が最も低い（23%）。中東は規制影響度が最も高い（93%）一方、インシデント発生率も最高（44%）。違いは知識量ではなく、知識をインフラに落とし込むまでの期間です。新しい規制環境では、ルールは理解されていても、それを裏付ける強制メカニズムの構築が追いついていません。時間は助けになりますが、時間に任せるだけでは戦略にはなりません。

法域の複雑さがリスクを増幅する。複数法域で事業展開する組織（業種や従業員規模で代理）は、インシデント発生率が高くなります。サプライチェーンが越境する製造業は52%がインシデントを報告。従業員2万人超の組織は、500～999人規模より明らかに高い発生率です。主権対応は一律のコストではなく、法域リスクに応じて拡大し、固定費と見なす組織はリスクを過小評価しています。

AIガバナンス投資はインシデント減と相関。AI監査やローカライゼーションに最も積極的な業界（金融サービスではAI監査導入率59%）は、インシデント発生率が全体平均33%以下です。政府機関ではローカライゼーション率が高く、発生率は27%。この傾向は因果関係ではなく相関ですが、AIデータを適切に管理するための規律が、主権全体の成果にも波及することを示唆しています。

今後の展望

本レポートの計画データは一方向を示しています。コンプライアンス自動化が全地域で2年後の戦略の中心となり、技術的統制の強化がそれに続きます。地域プロバイダーの採用、データローカライゼーション、法務チームの拡充が主な投資先です。

これらを総合すると、主権をポリシー運用の問題として扱う時代は終わり、アーキテクチャ——居住地の強制、アクセス制御、証拠の自動生成——に移行していることが分かります。技術インフラを最大の負担とする59%は、コストを嘆いているのではなく、投資先を明確に示しています。

この変化は、主権そのものに対する組織の考え方の成熟も反映しています。3年前は「データ主権が重要かどうか」、2年前は「どの規制が適用されるか」が議論の中心でした。今は「運用上の証明」が問われています。データが適切な場所に保管され、アクセスが正当に認可され、越境移動がインフラレベルで統制されていたことを、プレッシャー下で証明できるかどうかです。

これは多くの組織が従来求められてきた基準より厳しいものです。鍵管理は法域内で保持し、外部プロバイダーに委託しないこと、監査証跡は不変かつエクスポート可能で、複数プラットフォームに分散しないこと、インシデント対応プレイブックは、実際に調査で明らかになったシナリオ（侵害、サードパーティの失敗、規制調査、政府アクセス要求、無許可転送）に基づき事前にテストされていることが求められます。

次の規制サイクルを無事に乗り切る組織は、アーキテクチャレベルで強制力を持つ統制、オンデマンドで規制当局や顧客を納得させる証拠、そしてインシデント前に準備された対応力を備えた「証明できる主権」を構築した組織です。

それ以外の組織もルールは知っています。しかし、そのうち3分の1は結局インシデントに見舞われるでしょう。

2026年データセキュリティ＆コンプライアンスリスク：データ主権レポート全文をダウンロード