5月27日 EUテック主権の現実：フランクフルトのGCC Highが停止

約10年にわたり、欧州のデータ主権は裁判所、会議、契約条項で議論されてきました。2026年5月27日には、EU調達法に盛り込まれる見込みです。

主なポイント

1. ブリュッセルが言葉から実行へ。2026年5月27日、欧州委員会はテック主権パッケージを発表する見込みであり、EU加盟国政府による米国クラウドプロバイダーの利用を、医療、金融、司法システムなどの機密性の高い公共部門データに対して制限する方針です。
2. CLOUD法が名指しの原因。米国の法執行機関は、2018年のCLOUD法に基づき、データの保存場所に関係なく米国本社のプロバイダーにデータ開示を強制できます。欧州のデータレジデンシーでは、この構造的な問題は解決できません。
3. 欧州組織はすでに予見していた。44%がプロバイダーの主権保証への懸念を障壁として挙げ、32%が過去12カ月間に主権インシデントを経験したと報告しています。最も多いのは無許可の越境転送です。
4. アーキテクチャが契約に勝る。シュレムスII判決は9年前、契約では外国政府のアクセス法を覆せないことを確立しました。委員会のパッケージは、この原則をEU調達レベルで初めて実務化します。
5. 「証明できる主権」が調達の最低条件に。規制当局は、アーキテクチャレベルでのレジデンシー強制、エクスポート可能な証拠アーティファクト、政府アクセス要求への対応準備の3点を求めるようになります。

CNBCの報道によると、欧州委員会は「テック主権パッケージ」を準備しており、加盟国政府による米国クラウドプロバイダーの機密性の高い公共部門データ利用を制限する方針です。これはクラウド・AI開発法やチップス法2.0と並行して進められています。これらの措置は米国プロバイダーを全面的に禁止するものではありませんが、医療、金融、司法システムでの利用を制限します。これらは2018年以来、GDPRとCLOUD法の対立の中心となってきた分野です。

欧州当局者は記者団に対し、欧州クラウド基盤上でホストすべき分野を定義するのが核心だと説明しました。パッケージが提示されると、27加盟国すべての承認が必要です。委員会が主権論争を理論的リスクから調達制限へと初めて移行させた瞬間です。

5月27日に変わるのは、根本的な法律ではありません。米国CLOUD法は引き続き有効です。GDPRも有効です。シュレムスIIも有効です。変わるのは、欧州組織が「フランクフルトで稼働する米国管理のクラウドは主権クラウドと同等」と主張できなくなる点です。委員会はこの違いを公共部門に対して拘束力のあるものにしようとしています。調達基準は市場全体に波及するため、民間部門も追随することになります。

委員会が実際に対応している背景

テック主権パッケージは突然出てきたものではありません。過去18カ月間に欧州の米国クラウドプロバイダー観を静かに変えた一連の情報開示への制度的対応です。

2025年のフランス上院公聴会では、欧州の政策関係者に大きな波紋を呼ぶ発言がありました。欧州のデータレジデンシーがあっても、米国本社のプロバイダーはEUデータが米国当局から要求されないことを保証できない、というものです。Databalanceによるマイクロソフトの2026年主権ポジション分析が示す通り、法的現実は変わっていません。米国CLOUD法の域外適用効果を覆す法律は依然として存在しません。

その後、2026年3月にProPublicaがMicrosoft GCC HighのFedRAMP認証について調査報道を行いました。この調査では、FedRAMPの審査担当者が、GCC Highの全体的なセキュリティ体制を十分に評価できないまま認証を与えたことが明らかになりました。理由は、すでに連邦機関が利用していたためです。ProPublicaの報道によれば、脆弱性の迅速な修正やスキャンなど、リスク管理の根幹に関わる問題が指摘されていました。

欧州の規制当局もこの調査を読みました。また、マイクロソフト自身が2026年4月にブリュッセルで開催したデジタル主権サミットも注視しました。同社は主権を「到達点」ではなく「継続的なリスク管理の取り組み」と再定義し、場所に基づく保証だけでは不十分であることを事実上認めました。

委員会は今、欧州組織がすでに実務で到達していた結論を制度化しようとしています。

この瞬間を予見していたデータ

欧州組織は2年前から、契約では主権問題を解決できないと研究者に伝えてきました。Kiteworks 2026年データセキュリティ＆コンプライアンスリスク：欧州におけるデータ主権は、カナダ・中東・欧州のIT／セキュリティ専門家286人を調査し、数値でそのギャップを明らかにしました。

欧州の回答者の80%は、自身が主権要件について十分または非常によく理解していると述べています。しかし、32%が過去12カ月間に主権インシデントを経験しています。最も多いインシデントは無許可の越境転送で、次いで規制調査、主権に関わるデータ侵害、サードパーティのコンプライアンス不備が続きます。

Europe Sovereignty Reportは明確に結論付けています。規制の成熟度はインシデントを減らしますが、ゼロにはできません。残るギャップは情報ではなく運用面であり、それを埋めるには意識向上ではなくアーキテクチャが必要です。44%の回答者がプロバイダーの主権保証を最大の障壁と挙げており、調査地域で最も高い割合です。EUデータセンターだけでは問題解決にならないという前提への直接的な挑戦です。

欧州の回答者の28%は、年間主権予算が500万ユーロを超えると報告しています。従業員1万人超の組織では、70%以上が最上位の支出層に該当します。投資は、証明可能なコントロールを生み出す分野、すなわちデータレジデンシー強制、暗号鍵管理、アクセス制御自動化、エクスポート可能な監査証跡に集中しています。組織はすでに、委員会が今まさに制度化しようとしているギャップ解消に向けて支出を始めていました。

なぜ「フランクフルトのGCC High」はこの試験に常に不合格だったのか

米国プロバイダーが欧州ワークロード向けに最もよく提示する防御策は、主権エンクレーブのバリエーションです。つまり、米国クラウド製品を欧州データセンターで、欧州スタッフが運用し、欧州法人が管理するというものです。Microsoft GCC Highは米国政府ワークロードの代表例であり、その商用版であるMicrosoft Cloud for Sovereignty、AWS European Sovereign Cloud、Google Cloud Sovereign Solutionsも同様のアーキテクチャを欧州で展開しています。

テック主権パッケージは、このアーキテクチャでは構造的な問題が解決されないという認識に基づいています。地理は法域ではなく、米国管理のエンクレーブは、サーバーの所在国に関わらずCLOUD法の対象となります。

この問題の技術的側面は鍵管理です。米国本社のプロバイダーが顧客の暗号鍵を保持・管理、あるいは取得を強制される限り、データの場所は運用上意味を持ちません。MicrosoftのCustomer Key機能はこのギャップを示しています。顧客は独自の鍵を持ち込めますが、Microsoftはサービス運用のためにデータを復号する経路を保持しています。これはCLOUD法の要請には十分ですが、シュレムスIIを精査する規制当局には不十分です。

委員会は今、主権の定義を「プロバイダーからの暗号学的分離」「域外法からの法域的免疫」「レジデンシーが実際に強制されたことを示すエクスポート可能な証拠」の3つを同時に満たすものへと進化させようとしています。エンクレーブモデルではこれらを同時に実現できません。

「証明できる主権」が実際に執行されるとどうなるか

Europe Sovereignty Reportは、運用上の解決策を3つのアーキテクチャ的柱として整理しています。テック主権パッケージは、それぞれを調達要件に変えます。

コントロール。レジデンシー強制、暗号鍵管理、アーキテクチャレベルでの無許可越境移動防止のアクセス制御――契約レベルではなく、アーキテクチャレベルでの実装が必要です。組織は、データが明示的・記録済み・ポリシー評価済みのイベントなしに定められた法域を物理的に離れられないことを証明できなければなりません。

証拠アーティファクト。エクスポート可能な監査証跡、データレジデンシーログ、オンデマンドで規制当局に提出できるコンプライアンスレポート。欧州の回答者の55%が今後2年以内にコンプライアンス自動化へ、51%が技術的コントロールへ投資予定です。手作業による証拠収集は、DORA、NIS 2、Data Act、EU AI Actのすべてに対応するには拡張性がありません。

対応準備。政府によるデータアクセス要求、サードパーティベンダーの障害、移転影響評価、シュレムスII対応シナリオに備えた実践済みプレイブック。欧州回答者の36%が、特に米国の政策変化など地政学的変動を最大の懸念事項としています。これらのプレイブックを実践している組織は、委員会の執行期間を調達ポジションを維持したまま乗り切れます。そうでない組織は、監査時にギャップを痛感することになります。

Kiteworksのアプローチ：契約ではなくアーキテクチャで守る

今こそ、データ層ガバナンスの真価が問われるアーキテクチャの転換点です。Kiteworksは、主権をプロバイダーの契約上の約束に委ねずに守るという前提で設計されたセキュアなコントロールプレーンを提供します。オンプレミス、プライベートクラウド、ハイブリッド、シングルテナントホスティングなどの導入オプションにより、CLOUD法の影響を受ける米国本社プロバイダーとは独立して、機密性の高いコンテンツをEUインフラ内に限定できます。

プラットフォームは、委員会のパッケージが重視する3つのコントロールを実装します。暗号鍵管理は、FIPS 140-3認証済み暗号モジュールとファイルレベル・ディスクレベルで鍵を分離した二重暗号化により、顧客が法域内で保持可能です。アクセス制御はABACとRBACによりインフラ層で強制され、すべてのリクエストはデータにアクセスする前に属性ベースのルールで認証・認可されます。改ざん検知可能な監査ログは、遅延や制限なくリアルタイムでSIEMに送信され、規制当局が求めるエクスポート可能な証拠を提供します。

Secure MCP ServerとAI Data Gatewayは、同じガバナンスをAIエージェントのやりとりにも拡張します。これにより、AIワークフローが規制対象データに触れる場合でも、組織の主権体制が崩れることはありません。すべてのAIリクエストは、人間ユーザーと同じデータ層コントロールで認証・認可・暗号化・記録され、EU AI ActのGPAI義務やテック主権パッケージのレジデンシー要件も同一アーキテクチャで満たせます。

5月27日までに組織がすべきこと

第一に、機微な個人データに関わるすべてのワークロードを、データセンターの場所だけでなくクラウドプロバイダーの実際の法域支配範囲にマッピングしてください。管理主体が米国本社の場合、地理に関係なくCLOUD法の影響を受けます。Kiteworks Europe Sovereignty Reportによれば、過去1年で32%の欧州組織が主権インシデントを経験しており、これは委員会が注目する最低ラインです。

第二に、ステップ1で特定したワークロードについて、プロバイダーの管理外で暗号鍵を保持できる体制を構築してください。クラウドプロバイダーが管理する顧客鍵は「鍵管理」ではありません。本当の管理とは、暗号鍵を顧客自身または法域的に隔離された第三者が保持し、プロバイダーが運用・技術・法的手段のいずれでも取得できない状態を指します。

第三に、監査証拠の自動生成を実現してください。Kiteworks Europe Sovereignty Reportによれば、欧州回答者の55%がコンプライアンス自動化への投資を計画しています。理由は明確です。DORA、NIS 2、GDPR、EU Data Act、AI Actをまたぐ手作業の証拠突合は拡張性がなく、テック主権パッケージが加われば公共部門ベンダーはさらに6つ目の義務を負うことになります。

第四に、シュレムスIIおよび政府アクセス対応のプレイブックをリハーサルしてください。米国当局がプロバイダーにCLOUD法に基づく令状を出した場合、規制当局が越境移動の証拠を求めた場合、サプライチェーン内の第三者ベンダーが主権インシデントを起こした場合の手順を文書化しましょう。Kiteworks Europe Sovereignty Reportでは、36%の欧州回答者がすでに地政学的変動を懸念しています。プレイブックを実践している組織は、次の情報開示サイクルも混乱なく乗り切れます。

第五に、主権を調達上の資産に変えましょう。Kiteworks Europe Sovereignty Reportによれば、欧州回答者の51%が主権のメリットとして信頼性向上を、33%が競争優位性を挙げています。テック主権パッケージは、この傾向を公共調達の最低条件へと転換し、規制対象の民間調達にも広がります。レジデンシー、鍵管理、エクスポート可能な証拠をオンデマンドで提示できる組織が契約を獲得し、できない組織は失うことになります。

委員会は日程を定めました。アーキテクチャ的な解答は9年前から明らかでした。5月27日は、市場の残りの組織が本当に注目していたかどうかが問われる日です。