EU域内にデータを保管する必要がある場合、米国拠点のクラウドプロバイダーを利用できますか?
短い答えは「条件付きで可能」です。米国に本社を置くクラウドプロバイダーがEU内のデータセンターを利用している場合でも、EU居住者データのホスティングが自動的に認められるわけではありません。フランクフルトやダブリンのサーバーリージョンを選択するだけでは、コンプライアンスは達成できません。地理的な選択でこの問題を解決したと考えている多くの組織は、データの住所を変えただけで、その法的リスクは変わっていません。
本記事では、米国プロバイダーの利用がそもそも可能か、どのデータカテゴリが最も厳しい主権制限を受けるか、そして真にコンプライアンスを達成するために必要なセーフガードは何か、という3つの問いに答えます。
要約
主なポイント:米国本社のクラウドプロバイダーがEU居住者データを合法的にホストできるのは、特定の技術的・法的セーフガードが導入されている場合のみです。これらのセーフガードは、EUサーバーの選択だけでなく、米国法がサーバーの所在地に関係なく米国企業に適用されるという構造的な問題に対応する必要があります。米国CLOUD法やFISA第702条は、EU・米国間データプライバシーフレームワークでは排除できず、標準契約条項(SCCs)だけでは対応できない政府アクセスリスクを生じさせます。必要な解決策はアーキテクチャ上のものであり、顧客がプロバイダーのインフラ外で鍵を管理する暗号化を実装し、法的強制があってもプロバイダーがEUデータを復号できない状態にすることです。
なぜ重要か:EUのデータ保護当局は、サーバーの所在地に関係なく、特定の米国クラウドプロバイダーの利用がGDPR違反であると判断しています。NIS2指令、DORA、業界別の各国法では、追加の主権義務が課され、違反時には全世界売上高の4%に及ぶ制裁金が科される場合もあります。Schrems II判決以降の基準で米国プロバイダーとの契約を見直していない組織は、現在も法的リスクを抱えています。
主なポイント
- EUサーバー所在地=EU管轄ではない。米国プロバイダーのフランクフルト・データセンターも、企業構造を通じて米国の法的要求の対象となります。地理的にデータの場所が変わっても、どの政府がアクセスを強制できるかは変わりません。
- EU・米国間データプライバシーフレームワークはCLOUD法を無効化しない。DPFはGDPR下で個人データ移転の仕組みを提供しますが、米国プロバイダーに課される米国監視法の義務を排除しません。DPF参加の有無に関わらず、CLOUD法の要求は有効です。
- 一部のデータカテゴリは、アーキテクチャ上の主権管理がなければ、実質的に米国プロバイダー利用が禁止される場合がある。各国の医療データ法下の健康データ、DORA適用下の金融データ、機密政府データ、GDPR第9条で高リスクとされる個人データなどは、一般的な米国プロバイダーのSCC契約だけでは十分に対応できません。
- 米国プロバイダーの適法利用には、法的文書だけでなく、具体的な技術的セーフガードが必須。Schrems II判決以降、EDPBは、プロバイダーのインフラ外で顧客が鍵を管理する暗号化を必須の技術的補完策としています。契約上の約束だけでは、米国法が契約内容に関係なくプロバイダーに義務を課す場合、十分ではありません。
- アーキテクチャ上の代替策は、顧客管理型暗号化による欧州単独テナント展開。これによりCLOUD法の問題を構造的に解決できます。プロバイダーが鍵を一切保持しないため、法的要求があっても復号データを提供できず、米国法とEUデータ保護要件の同時遵守が技術的に可能となります。
GDPRコンプライアンス完全チェックリスト
Read Now
根本的な問題:管轄権はサーバーではなく企業に従う
多くの「EUデータセンター」契約の前提は、物理的なデータの場所が法的管轄を決定するというものですが、これは誤りです。米国CLOUD法(2018年)は、米国企業に対し、データの保存場所に関係なく、管理下のデータを正当な政府要求に応じて提出することを義務付けています。米国プロバイダー本社に対する要求は、EUサーバー上のデータ提出も強制します。サーバーの住所は無関係で、企業の国籍こそが米国法の適用根拠です。FISA第702条は、国家安全保障権限下で通信データにもこれを拡張しています。いずれもEUに適合した司法監督や顧客への通知を要件としていません。
これは理論上のリスクではありません。オーストリア、フランス、イタリアのデータ保護当局は、CLOUD法リスクへの対応が不十分な米国クラウド利用がGDPR違反であると判断し、実際に執行決定を出しています。
EU・米国間データプライバシーフレームワークが解決すること・しないこと
多くの組織は、2023年に採択されたEU・米国間データプライバシーフレームワーク(DPF)がSchrems II問題を解決したと考えていますが、実際はそうではありません。DPFはGDPR第45条に基づく十分性認定の仕組みであり、EU個人データを認定済み米国企業に移転する法的根拠を提供します。しかし、米国CLOUD法を無効化するものではありません。DPF認定を受けた米国プロバイダーも、正当なCLOUD法要求への対応義務を負い続けます。DPFは移転の合法性を担保しますが、米国政府の要求でプロバイダーがEUデータを提出し得るかどうかは担保しません。
DPFはまた、2020年にPrivacy Shieldを無効化したNOYBによる法的異議申し立ても受けています。DPF認証だけに依拠する組織は、Privacy Shieldと同様の無効化リスクを抱えています。顧客管理型暗号化は、どの移転メカニズムの法的地位にも左右されず、プロバイダーがデータに実質的にアクセスできないため、より堅牢な保護を実現します。
最も厳しい主権制限を受けるデータタイプ
すべてのデータが同じ主権リスクを持つわけではありません。EUおよび各国法で最も厳しい要件が課されるのは、次の5カテゴリです。
GDPR第9条の特別カテゴリ個人データ。健康、バイオメトリクス、遺伝情報などの機微情報は、通常のGDPR根拠に加え、特別な法的根拠が必要です。移転時には第5章と第9条の双方の要件を同時に満たす必要があり、一般的なSCC契約では対応しきれない場合があります。
健康・患者データ。各国の医療データ法はGDPR以上の制限を課します。フランスでは健康データのフランス主権インフラでの処理が義務付けられ、ドイツでも同等の患者データ保護が求められます。多くの国で、インフラレベルの主権管理がなければ、米国本社プロバイダーによる健康データ処理は実質的に禁止されています。
金融サービスデータ。DORA(2025年1月施行)は、金融機関とそのICTプロバイダーに対し、データローカライゼーション、鍵管理、エグジット戦略を契約条項に含めることを義務付けています。EBAアウトソーシングガイドラインでは、主権評価の文書化が必要です。十分な鍵管理体制のない米国クラウド利用は、現時点でEU金融機関のコンプライアンス違反となります。
政府・防衛関連データ。機密データ、防衛請負業者データ、各国の公共クラウド政策対象データは、いかなる移転メカニズムでも米国本社インフラでの処理が認められない場合が多く、ほとんどのEU加盟国で非欧州プロバイダーによる政府データ処理に明確な制限があります。
重要インフラ運用データ。NIS2第21条は、重要サービス運営者(エネルギー、交通、医療、水道、金融、デジタルインフラ等)に対し、クラウドプロバイダーの主権体制をサプライチェーンセキュリティ義務の一環として評価することを求めています。これらの分野では、CLOUD法リスクの許容閾値は一般商用データよりもはるかに厳格です。
必要な技術的・法的セーフガード
米国プロバイダーとの契約がコンプライアンス可能と判断した場合、次の4つのセーフガードが必須です。
CLOUD法リスクを正直に評価した移転影響評価(TIA)。契約上の約束ではなく、技術的コントロールに基づく結論を持つTIAが必要です。CLOUD法リスクを認めつつ、通知手続きで緩和するだけのTIAはSchrems II基準を満たしません。正当な要求があっても復号可能なEUデータが提供されない、という結論がアーキテクチャ上で担保されている必要があります。
プロバイダーのインフラ外で管理される顧客管理型暗号化。EDPBの勧告01/2020では、顧客が生成した鍵をEU顧客が独占管理するHSM等で保持し、米国プロバイダーが一切保持しないことが必須の技術的補完策とされています。これがなければ、CLOUD法リスクを認めたTIAで十分な保護を結論付けることはできません。
インフラレベルでのデータレジデンシー強制。契約上のデータローカライゼーション条項は契約補完策ですが、指定EUリージョン外へのデータ流出を技術的に防ぐポリシー強制型ジオフェンシングは技術的補完策です。Schrems II以降、この区別はDPAの執行判断で重要です。
改ざん不可の監査証跡と継続的なアカウンタビリティ文書化。GDPRのアカウンタビリティ原則では、継続的なコンプライアンス証明が求められます。改ざん不可の監査ログ、鍵管理記録、定期的なTIAレビューが最低基準です。DORAやNIS2では、これらの文書を当局の要請時に提出できる体制が必要です。
KiteworksによるEUデータ主権コンプライアンスの実現
Kiteworksのプライベートデータネットワークは、この構造的な問題に直接対応します。EU顧客が選択した場所(オンプレミス、欧州プライベートクラウド、またはKiteworksホストのEUインフラ)での単独テナント展開により、データを米国企業支配下ではなく欧州の法的管轄下に置きます。顧客管理型暗号化(BYOK/BYOE)とFIPS 140-3レベル1認証暗号化により、Kiteworksは顧客の鍵を一切保持せず、CLOUD法要求があっても暗号化データしか提供できません。TIAの結論もアーキテクチャ上で担保されており、Kiteworksは技術的に復号データを提供できないため、単なる契約上の約束ではありません。ポリシー強制型ジオフェンシングにより、メール、ファイル共有、MFT、Webフォーム、APIなど全チャネルでインフラレベルのデータレジデンシーを実現します。CISOダッシュボードは全データ移動の改ざん不可な監査証跡を提供。GDPR、NIS2、DORA、ISO 27001に対応したコンプライアンスレポートもプリセットされ、最も厳しい主権要件を持つデータカテゴリでの継続的なアカウンタビリティや規制対応をサポートします。
貴社の具体的なデータ主権要件やKiteworksの対応策についてご相談希望の場合は、カスタムデモをご予約ください。
よくあるご質問
いいえ。EUデータセンターリージョンの選択は、データの物理的な保存場所を変えるだけで、どの政府が法的にアクセスを要求できるかは変わりません。米国CLOUD法は、サーバーの所在地に関係なく米国本社プロバイダーに適用されます。正当な要求があれば、企業構造を通じてEUサーバーからのデータ提出が強制されます。米国プロバイダー利用でEUデータ主権コンプライアンスを満たすには、EUリージョン選択ではなく、プロバイダーのインフラ外で鍵を管理する顧客管理型暗号化が必要です。
いいえ。DPFはGDPR第45条に基づく十分性認定の仕組みであり、認定済み米国企業へのEU個人データ移転の法的根拠を提供しますが、米国CLOUD法を無効化・制限するものではありません。DPF認定を受けた米国プロバイダーも、正当なCLOUD法要求への対応義務を負い続けます。DPFは移転メカニズムの問題を解決しますが、米国政府の要求でプロバイダーがEUデータを提出し得るかどうかは解決しません。さらにDPF自体も法的異議申し立てを受けており、2020年のPrivacy Shieldのように無効化される可能性もあります。そのため、DPF依存よりもアーキテクチャ上の主権管理のほうが持続的な保護となります。
最も厳しい要件が課されるのは、GDPR第9条の特別カテゴリ個人データ、各国法(フランス、ドイツ等)下の患者・健康データ、DORAおよびEBAアウトソーシングガイドライン下の金融サービスデータ、各国公共クラウド政策下の政府・防衛関連データ、NIS2サプライチェーンセキュリティ要件下の重要インフラ運用データの5カテゴリです。特に政府データや健康データは、移転メカニズムや契約内容に関係なく、インフラレベルの主権管理がなければ米国プロバイダー利用が実質的に禁止される場合があります。
Schrems II判決以降、最低限必要なセーフガードは、CLOUD法およびFISA 702リスクを正直に評価し、技術的コントロールに基づく結論を持つ移転影響評価(TIA)、プロバイダーのインフラ外で独占管理される顧客管理型暗号化(EDPBが必須とする技術的補完策)、契約上のデータローカライゼーションではなくインフラレベルでのデータレジデンシー強制、そしてGDPRのアカウンタビリティ義務を支える改ざん不可な監査証跡です。標準契約条項やDPA、通知約束など契約上のセーフガードだけでは、Schrems II基準を満たしません。
特定のデータカテゴリや組織プロファイルでは、はい。各国主権政策の対象となる政府データ、厳格な各国法下の健康データ、セキュリティ法で機密指定されたデータなどは、米国プロバイダーがどんな技術的セーフガードを提供しても、欧州管理インフラが実質的に必須となる場合があります。こうした組織には、欧州クラウドプロバイダーやオンプレミス、またはKiteworksのような欧州管理インフラ上での単独テナント展開が最適解です。Kiteworksのアーキテクチャ(顧客管理型暗号化、単独テナント展開、ポリシー強制型ジオフェンシング)は、米国企業管理を完全に排除した純欧州展開でも利用可能です。
追加リソース
- ブログ記事
データ主権:ベストプラクティスか規制要件か? - eBook
データ主権とGDPR - ブログ記事
データ主権の落とし穴を回避するには - ブログ記事
データ主権ベストプラクティス - ブログ記事
データ主権とGDPR【データセキュリティの理解】