EUデータ法とGDPRが米国クラウド法のデータアクセス要求と衝突する理由—そしてそれがデータ主権に与える影響
「EU Cloud Act」で検索すると、何百もの記事やコンプライアンスガイド、ベンダーによる解説がヒットしますが、実際にはそのような法律は存在しません。欧州連合にはその名称の法令はありません。実際に存在するのは、米国CLOUD Actと真っ向から対立する法制度です。欧州で保存されるデータへのアクセス権限を巡るこの対立は、2024年1月に発効し2025年9月から適用されるEUデータ法(EU Data Act)に明記されており、違法な第三国政府による非個人データへのアクセスを明確に阻止しています。また、個人データについては2018年からGDPRが同様の規定を設けています。
この用語の混乱は、より重要な事実を覆い隠してしまいます。それは、欧州と米国のデータアクセス法制の対立が現実かつ構造的で未解決であり、米国系インフラを利用して欧州でデータを保存・処理するすべての組織に直接的な影響を及ぼしているということです。実際に関係する法制度を正しく理解することが、真のデータ主権コンプライアンスに必要な要件を理解する第一歩となります。
エグゼクティブサマリー
主なポイント:米国CLOUD Act(2018年)は、米国企業に対し、データの保存場所に関わらず、米国政府からの有効な要請があれば管理下のデータを提出することを義務付けています。一方、EUデータ法(2025年9月適用)は、EUで事業を行うクラウドプロバイダーに対し、欧州に保存された非個人データへの違法な非EU政府アクセスを防止する技術的・組織的措置を講じ、EU法と相反するアクセス要求には異議を唱えることを求めています。GDPRの第V章とSchrems II以降の要件は、個人データについて同様の論理を適用します。これらの法制度は単なるコンプライアンス上の緊張を生むだけでなく、欧州で事業を行う米国クラウドプロバイダーに対し、真逆の法的義務を課しています。解決策はアーキテクチャにあります。顧客が管理する暗号化と、米国インフラ外での鍵管理により、プロバイダーは復号要求に技術的に応じられなくなり、両法制度を同時に満たすことができます。
なぜ重要なのか:EUデータ法は、EUでクラウドやデータ処理サービスを提供するすべての事業者に適用され、本社所在地を問いません。2025年9月から適用が始まります。EU顧客を持つ米国クラウドプロバイダーは、EUに保存されたデータへの違法な米国政府アクセスを防ぐ措置を法的に講じる必要があります。米国本社のクラウドインフラに依存し、アーキテクチャ上の主権管理を行っていない場合、CLOUD Act要求を拒否すれば米国法違反、応じればEU法違反となり、同時にコンプライアンス違反となります。唯一の解決策はアーキテクチャです。
主なポイント
- 「EU Cloud Act」は存在しません。正しい法制度はEUデータ法とGDPRです。EUデータ法の第VII章は、EUに保存された非個人データへの違法な第三国政府アクセスを規定しています。GDPR第V章とSchrems II以降のガイダンスは個人データを対象とします。両者は米国CLOUD Actへの欧州の法的対抗策ですが、適用範囲やデータの種類、執行メカニズムが異なり、区別がコンプライアンス上重要です。
- 米国CLOUD ActとEUデータ法は、米国プロバイダーに真逆の義務を課します。CLOUD Actはデータの保存場所に関わらず米国政府の要請に従うことを義務付けます。EUデータ法は、同じプロバイダーに対し、EU法に違反する場合はそのようなアクセスを防ぎ、要求に異議を唱えることを求めます。米国法が開示を強制し、EU法が禁止する場合、両方を同時に満たすことはできません。
- この対立は異なる法制度下で異なるデータカテゴリに及びます。EUデータ法の第VII章は非個人データを対象とし、GDPR第V章とSchrems IIは個人データを対象とします。EUインフラに両方のデータを持つ企業(ほぼすべての組織)は、全データ資産にわたり両法制度が同時に適用されます。
- 顧客管理の暗号化が両方の対立を解決するアーキテクチャです。米国プロバイダーがEU保存データの暗号鍵にアクセスできない場合、CLOUD Act要求に対して可読データを提出できず(技術的不能基準を満たす)、同時にEUデータ法の技術的措置要件も満たします。
- EUデータ法のクラウドスイッチング規定は主権移行コストを下げます。プロバイダーに2か月前通知での顧客切り替えを義務付け、2027年1月までに切り替え手数料を廃止することで、米国系クラウドから欧州主権型への移行障壁を意図的に下げています。
米国CLOUD Actが実際に求めていること
Clarifying Lawful Overseas Use of Data Act(2018年)は、米国企業に対し、世界中どこに保存されていても有効な米国法手続きに基づく要請があればデータを保存・開示することを義務付けました。これは地理ではなく企業の支配関係に従います。米国プロバイダーの本社に要請が届けば、フランクフルトやアムステルダム、ダブリンのサーバーからもデータ提出が強制されます。保存場所は関係なく、米国法の適用を受ける米国企業であることが重要です。
CLOUD Actにはプロバイダーによる異議申立ての仕組みもあります。顧客が米国人でなく、要請に応じると外国政府の法律に違反するリスクがある場合、米国プロバイダーは要請の修正や取り消しを求めることができます。しかし実際にはこの仕組みは限定的で、適用範囲が狭く、プロバイダーによる積極的な法的対応が必要であり、異議申立て期間中も要請への対応義務は停止されません。EUデータ主権を実質的に保護するものではありません。欧州のデータセンターの住所が変わっても、法域は変わりません。
EUデータ法の要件と対立点
EUデータ法(Regulation (EU) 2023/2854)は、2024年1月に発効し2025年9月から適用される、主にデータ共有とクラウドスイッチングに関する規制ですが、第VII章が主権に最も直接関係する規定です。第VII章は、EUで事業を行うクラウドプロバイダーやデータ処理サービスプロバイダーに対し、EUまたは加盟国法で違法となる非EU政府による非個人データへのアクセスを防ぐ「技術的、法的、組織的措置」を講じることを義務付けています。
プロバイダーが第三国政府(米国CLOUD Act要求を含む)からアクセス要求を受けた場合、その要求が合理的・具体的・比例的か、EU法や国際協定と矛盾しないかを評価しなければなりません。矛盾があれば、命令への異議申立てや修正を求める必要があります。開示が避けられない場合は、必要最小限のデータのみを保護措置付きで提供しなければなりません。さらに、プロバイダーは違法な政府アクセスを防ぐための技術的措置やICTインフラの所在地を公開する義務があり、EU顧客や規制当局が主権アーキテクチャの実効性を評価できるようになっています。
CLOUD Actとの対立は直接的です。米国CLOUD ActによるEU保存の非個人データへの要求は、第VII章がプロバイダーに異議申立てを義務付けるまさにそのケースです。プロバイダーは両方を同時に満たすことができません。CLOUD Act要求に応じればEUデータ法違反、異議申立てをすれば米国法違反のリスクがあります。
GDPRの役割:個人データの側面
EUデータ法の第VII章が非個人データを対象とする一方、GDPR第V章は2018年以降、個人データについて同様の対立を規定しています。Schrems II判決(2020年)は、米国の監視法との直接対立を明確化しました。米国プロバイダーへのSCC(標準契約条項)によるデータ移転は、米国政府アクセスから実質的に保護されている場合にのみ有効とされ、CLOUD ActやFISA 702のリスクを正直に評価する移転影響評価(Transfer Impact Assessment)や、リスクが認められる場合の技術的補完措置が求められます。EDPBの勧告01/2020では、プロバイダーインフラ外での顧客管理の暗号化が主要な技術的措置とされています。オーストリア、フランス、イタリアのDPAは、特定の米国クラウド利用がGDPR違反であると判断し、CLOUD Actリスクへの十分な技術的対策がなければGDPR移転違反とみなしています。
この結果、EUインフラの個人データはGDPRとSchrems IIで、非個人データはEUデータ法第VII章で保護されます。両方を持つ企業(ほぼすべての組織)は、全データ資産にわたり両法制度が同時に適用されます。
契約だけではアーキテクチャ上の対立は解決できない理由
この対立への標準的な対応は契約ベースでした。米国プロバイダーは、法的強制がない限りEUデータを開示しないことや、過度な要求には異議を唱えること、通知手続きを約束するデータ処理契約を締結します。これらの約束は無意味ではなく、法的義務や評判リスクを生みますが、根本的な対立は解決できません。契約は当事者間の拘束力しかなく、各当事者が主権政府に負う法的義務を上書きできないからです。
有効なCLOUD Act要求が届いた場合、米国プロバイダーのEU顧客への契約上の約束は、米国政府への法的義務を変えるものではありません。プロバイダーは従わなければ米国法違反となります。EU顧客のDPAは、Schrems IIやEUデータ法の下で契約上の保護が不十分だったと判断できます。問題は契約ではなく、法域(jurisdiction)です。
EUデータ法の異議申立てメカニズムは、プロバイダーに違法な要求への積極的な異議申立てを義務付けることで現状を改善しますが、緊張を根本的に解消するものではありません。異議申立てには時間がかかり、結果も不確実で、手続き中も開示義務は停止されません。構造的な解決策はアーキテクチャです。EU顧客が自らの欧州インフラで鍵を管理し、米国プロバイダーが復号能力を持たない顧客管理の暗号化です。CLOUD Act要求には暗号化データ(暗号文)しか提出できず、実質的な開示は不可能です。EUデータ法の技術的措置要件も、GDPRのSchrems II補完措置要件も満たされ、CLOUD Act要求にも技術的に応じることができます。すべてアーキテクチャで同時に実現します。
実務におけるデータ主権の意味
EUデータ法/GDPR対CLOUD Actの対立は、データ主権を単なるコンプライアンスチェックリストから、アーキテクチャ上の特性へと再定義します。主権は「データを守る」と約束するプロバイダーを選ぶことではなく、そもそもプロバイダーが裏切りようのないアーキテクチャを導入することで実現します。つまり、プロバイダーがアクセス権限を持たない構造です。
EUデータインフラを評価する組織にとって、実務上の4つの管理策が導き出されます。欧州専用シングルテナント導入―欧州クラウドプロバイダーや顧客所有インフラによるEUデータセンターでの専用インフラは、EUデータを米国企業の支配から分離します。顧客管理の暗号化とEU顧客自身のHSMによる鍵管理でCLOUD Actリスクを解消します。ポリシー強制のジオフェンシングはデータレジデンシーを技術的に担保し、EUデータ法の透明性要件は実効性のないジオフェンシング主張を暴きます。改ざん不可能な監査証跡は、EUデータ法とGDPRの説明責任義務に必要な証拠文書を提供します。
EUデータ法のクラウドスイッチング規定は商業面でも効果を発揮します。2か月前通知による契約解除権や2027年1月までの切り替え手数料廃止により、米国系インフラから主権型への移行コストが意図的に下げられ、法的リスクが高まる中でアーキテクチャによる主権確保がより現実的な選択肢となります。
Kiteworksによるアーキテクチャ的な法的対立の解決
「EU Cloud Act」は存在しませんが、その背後にある法的対立は現実であり、すでに完全に発効しています。EUデータ法第VII章とGDPR第V章は、EU保存データ(個人・非個人)を、米国CLOUD Actの開示要求と直接対立する法制度で保護しています。米国クラウドプロバイダーは、契約では調整できず、異議申立てでも一部しか緩和できない真逆の法的義務に直面しています。
解決策はアーキテクチャによる主権確保です。欧州インフラでの顧客管理の暗号鍵、米国企業の支配外でのシングルテナントEU導入、データレジデンシーを証明可能にする技術的ジオフェンシング。Kiteworksはこのアーキテクチャを提供します―データも、法域も、鍵もすべて顧客が管理し、法的対立を技術的に無効化し、データを守る組織に真の保護をもたらします。
Kiteworksは、EUデータ法とGDPRのSchrems II要件が求めるアーキテクチャ的解決策を提供し、CLOUD Actのパラドックスに対応します。
Kiteworks Private Data Networkは、EU顧客が選択した欧州拠点に専用のシングルテナントインスタンスとして展開されます(オンプレミス、欧州クラウドプロバイダー、またはKiteworksホスト型EUインフラ)。EU顧客データの米国外処理はありません。顧客管理の暗号化(BYOK/BYOE)とFIPS 140-3レベル1認証済み暗号化、保存時AES-256により、Kiteworksは顧客の暗号鍵を保持しません。KiteworksにCLOUD Act要求が届いても、暗号文しか提出できず、可読データは一切開示されません。EUデータ法の技術的措置要件も、GDPRのSchrems II補完措置要件も満たし、CLOUD Act義務も技術的に履行します。すべてアーキテクチャで同時に実現します。
ポリシー強制のジオフェンシングで、インフラレベルでEU域内にデータを閉じ込めます。ゼロトラスト・セキュリティ管理により、すべてのアクセスを統制し、CISOダッシュボードで全操作を改ざん不可能な監査証跡として記録します。GDPR、NIS 2、DORA、ISO 27001の事前設定済みコンプライアンスレポートにより、DPAや顧客からCLOUD Act対立の解決方法を問われた際の証拠パッケージを提供します。すべてのチャネル(メール、ファイル共有、MFT、Webフォーム、API)を単一プラットフォームで一貫した主権管理下に置きます。
KiteworksがEUデータ法とGDPRのCLOUD Act要求との対立をどのように解決するか、カスタムデモを今すぐご予約ください。
よくあるご質問
「Cloud Act」という名称のEU法令は存在しません。この用語は広く非公式に使われていますが、実際には2つの異なる法制度を指します。1つはEUデータ法(2025年9月適用)で、第VII章がEU内クラウドプロバイダーに非個人データへの違法な非EU政府アクセス防止とEU法と矛盾するアクセス要求への異議申立てを義務付けています。もう1つはGDPR第V章とSchrems II以降の移転影響評価フレームワークで、個人データについて同様の規定を設けています。両者は米国CLOUD ActへのEUの法的対抗策ですが、それぞれ適用範囲や執行メカニズム、データカテゴリが異なり、コンプライアンス上の区別が重要です。
米国CLOUD Actは、米国企業に対し、保存場所に関わらず管理下のデータを有効な米国政府要請に応じて提出することを義務付けています。EUデータ法第VII章は、EU内クラウドプロバイダーに対し、EU保存の非個人データへの非EU政府アクセスを違法な場合は防止し、要求には従わず異議申立てを行うことを求めます。米国CLOUD ActによるEU非個人データへの有効な要求は、第VII章がまさに異議申立てを義務付けるケースです。プロバイダーは両方を同時に満たせません。CLOUD Actに従えばEUデータ法違反、異議申立てをすれば米国法違反のリスクがあります。
いいえ―第VII章は明確に非個人データのみを対象としています。個人データはGDPRで規定されており、Schrems IIの影響も実質的に同等です。第V章の移転制限、移転影響評価、EDPB勧告01/2020は、米国系インフラへの個人データ移転にすべて適用され、顧客管理の暗号化が主要な技術的措置とされています。EUインフラに個人・非個人データの両方を持つ組織(ほぼすべての企業)は、EUデータ法とGDPRが同時に適用され、全データ資産をカバーします。
第VII章の下では、プロバイダーは要求が合理的・具体的・比例的か、EU法や相互法的支援条約などの国際協定と矛盾しないかを評価する必要があります。矛盾があれば、命令への異議申立てや修正を求める必要があります。最終的に開示が避けられない場合は、必要最小限のデータのみを保護措置付きで提供し、法的に禁止されていなければ影響を受ける顧客に通知します。プロバイダーは、暗号化やアクセス制御などの技術的措置を実装し、これらの措置やICTインフラの所在地を公開する義務もあります。
EU顧客が自らの欧州インフラで暗号鍵を管理し、米国プロバイダーが一切鍵を保持しない場合、法的対立は技術的に無効化されます。米国CLOUD Act要求が届いても、プロバイダーが提出できるのは暗号文のみであり(プロバイダーが保有するものを開示するという技術的要件は満たす)、EUデータ法の技術的措置要件(プロバイダーが鍵を持たないためデータは不可読)やGDPRのSchrems II補完措置基準も同時に満たします。Kiteworksの顧客管理暗号化(FIPS 140-3レベル1認証済み)は、すべての機密コンテンツ通信チャネルでこのアーキテクチャを実現し、契約では解決できない法的対立を技術的に解決します。
追加リソース
ブログ記事
- eBook
データ主権とGDPR - ブログ記事
データ主権の落とし穴に注意 - ブログ記事
データ主権ベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】