GCC Highの制約：Kiteworks 2026年データ主権レポートの知見

ドアに鍵をかけても、その鍵を誰かに渡すことはできます。

これが、Microsoft GCC Highを主権クラウドソリューションとして扱う際の問題を一言で表しています。データは米国内に保存されます。運用アクセスは審査済みの米国人に制限されます。FedRAMP HighおよびDoD SRG IL4/IL5のベースラインを満たしています。しかし、これらすべてを満たしていても、Microsoftが暗号鍵にアクセスできる—そしてそのアクセスを強制される可能性がある—という事実は変わりません。

主なポイント

1. 認識は広がっているが、インシデントは依然として3分の1で発生。 カナダ、中東、ヨーロッパの回答者の約44%が主権要件について「非常によく理解している」と回答していますが、過去12か月間に主権関連のインシデントを経験したと報告したのは33%に上ります。知識が足りないのではなく、運用上のコントロールが課題です。
2. GCC Highは「管轄主権」だが「鍵主権」ではない。 MicrosoftのCustomer Key機能は、Microsoft 365がサービス運用のために顧客の暗号鍵を使用することを明示的に認可しており、顧客の鍵が利用できない場合にはMicrosoftが保管・管理する「アベイラビリティキー」が使用されます。FedRAMP HighやIL4/IL5は強力なプロセスコントロールを認証しますが、プロバイダーが技術的に復号できないゼロナレッジアーキテクチャを保証するものではありません。
3. 政府によるデータアクセス要求はすでにインシデントの一部。 調査回答者の10人に1人が、政府によるデータアクセス要求を主権インシデントとして挙げています。CLOUD法の基準—「保有、管理、または支配下」にあるデータを保存場所に関係なく提供しなければならない—はGCC Highテナントにも適用され、BitLocker/FBI事件は、プロバイダーが鍵を保有している場合、合法的なアクセスは暗号の問題ではなく運用上の問題になることを証明しました。
4. GCC HighはEMEAおよびカナダにとって主権戦略を逆転させる。 ヨーロッパの回答者の44%がクラウド導入の最大の障壁としてプロバイダーの主権保証を挙げ、カナダの回答者の40%がカナダ・米国間のデータ共有変更を最大の規制上の懸念としています。米国外の組織にとって、米国のみ・米国運用のエンクレーブに機密コンテンツを移行することは、主権戦略が本来減らすべき管轄リスクをむしろ高めることになります。
5. 市場はプロバイダーの約束ではなく「証明可能なコントロール」へ。 コンプライアンス自動化と高度な技術的コントロールが、調査対象の3地域すべてで2年計画の戦略をリードしています。組織はアーキテクチャレベルの強制力—暗号鍵の管理、レジデンシーコントロール、エクスポート可能な監査証跡—への投資を進めており、ポリシードキュメントやベンダーの保証だけではインシデントを防げないことを学んでいます。

私たちは6か月かけて「2026年データセキュリティ＆コンプライアンスリスク：データ主権レポート」を作成し、カナダ、中東、ヨーロッパのIT・セキュリティ専門家286名に、主権が実際にどのように運用されているかを調査しました。調査結果はGCC Highの立ち位置に疑問を投げかけるだけでなく、「管轄＝主権」という考え自体に一石を投じています。

ここで明らかになったこと、そしてCUIを扱う組織、国境を越えて事業を展開する組織、「信頼してください」という姿勢を受け入れなくなった規制当局に報告する組織にとって、なぜ重要なのかを解説します。

レポートの核心：ルールは誰もが知っている。それでも3分の1が被害に。

すべてのセキュリティリーダーが不安になるべき数字から始めましょう。

調査対象の3地域すべてで、回答者の約44%がデータ主権要件について「非常によく理解している」と回答しています。中東は45%、カナダは44%、ヨーロッパも44%。認識レベルはほぼ同じです。

それにもかかわらず、33%の回答者が過去12か月間に主権関連のインシデントを報告しています。さらに5%は「回答を控える」としており、私たちの経験上、これは「何もなかった」という意味ではほとんどありません。

インシデントの内訳も示唆的です。主権に関わるデータ侵害と第三者コンプライアンス違反がそれぞれ17%で最多。次いで規制当局による調査が15%。無許可の越境転送が12%。そして政府によるデータアクセス要求—GCC Highの価値提案に最も直接関係するシナリオ—が10.1%を占めました。

この最後の数字は再度注目に値します。10社に1社が、政府によるデータアクセス要求を主権インシデントとして報告しています。これはコンプライアンスチームが会議で議論する理論的なリスクではありません。現実に、今、起きているのです。自分たちは守られていると思っていた組織にも。

GCC Highは「管轄主権」。だが「鍵主権」ではない。

この違いがすべてを変えます。そしてMicrosoftのマーケティングが一貫して曖昧にしているのもこの点です。

GCC Highは約束通りのことを実現します。米国居住・米国運用のクラウド境界を作り、政府や防衛関連のワークロード向けに設計されています。「データは米国内に保存、米国人が運用、FedRAMP Highの境界内」という要件であれば、GCC Highはそれを満たします。それだけです。

しかし、主権の論点は地理から進化しています。ヨーロッパ、カナダ、そして中東でも規制当局は別の問いを投げかけています。プロバイダーはデータにアクセスできるのか？プロバイダーは復号を強制される可能性があるのか？アクセスが許可された範囲内にとどまっていたことを、証拠とともにオンデマンドで証明できるのか？

GCC Highはこの3つすべてに課題を抱えています。

よく「顧客が暗号化をコントロールできる証拠」として挙げられるMicrosoftの「Customer Key」機能を例にとりましょう。Microsoft自身のドキュメントにはこう明記されています。「お客様は、Microsoft 365が付加価値サービスを提供するために暗号鍵を使用することを明示的に認可します」。プラットフォームはこれらの鍵でデータを保存時に暗号化し、サービス運用時にも鍵を必要とします。

さらに重要なのは「アベイラビリティキー」です。これはMicrosoftが「保管・保護」し、顧客鍵が利用できない場合に復旧手段として機能します。アンチマルウェアスキャン、電子証拠開示、DLP、コンテンツインデックス作成などの内部処理はすべて、このアベイラビリティキーにフォールバックできます。Microsoftが維持し、管理し、使用できるのです。

これはゼロナレッジアーキテクチャではありません。継続性と復旧性を重視したプロバイダー運用の暗号化階層です。多くの環境では、このトレードオフが合理的かもしれません。しかし「プロバイダーが復号できない」ことが主権要件の出発点である組織にとっては、FedRAMP認証でも埋められない構造的なギャップとなります。

BitLocker事件がギャップを可視化

「プロバイダーが鍵を保有する」と「プロバイダーが鍵にアクセスできない」の違いが2025年以前は理論的に思えたかもしれませんが、BitLocker事件がその認識を終わらせました。

複数の報道で、Microsoftがグアムの捜査に関連した令状に応じてFBIにBitLockerの復旧鍵を提供したことが確認されています。鍵はMicrosoftの管理下にあったため、復旧アーキテクチャがそう設計されているからです。正当な法的命令が届き、Microsoftは従い、データは復号されました。

ここでの教訓はBitLockerが安全ではないということではありません。プロバイダーが復旧鍵を保有していたり、サービス運用のために鍵を行使できる場合、合法的なアクセスは法的手続きの問題になるということです。暗号化は開示を止めるのではなく、開示の経路を変えるだけなのです。

Microsoftは毎年「Government Requests for Customer Data」レポートを公開し、このプロセスを詳細に記録しています。米国CLOUD法の基準は明確です。プロバイダーは「保有、管理、または支配下」にあるデータを保存場所に関係なく提供する義務があります。GCC Highはこの法的立場を根本的に変えるものではありません。運用上の境界を変えるだけです。両者は異なります。

私たちのレポートデータは、これが仮説でなく現実であることを示しています。政府によるデータアクセス要求はすでに主権インシデントの一部となっています。10人に1人がこれを挙げており、これは例外的なケースではなく、運用環境の一部です。

Customer Lockboxは「ガバナンス」であり、「不可能化」ではない

MicrosoftのCustomer Lockbox機能は、プロバイダーアクセスへの懸念への解決策として頻繁に紹介されます。確かに、これは堅実なガバナンスコントロールです。Microsoftのエンジニアがサポート作業の一環としてデータにアクセスする必要がある場合、顧客がそのアクセス要求を承認または拒否できます。

しかし、もう一度その文を読んでください。顧客がアクセス要求を承認または拒否できるのです。アクセス経路は設計上存在しています。Lockboxはそれを管理しますが、排除するわけではありません。

GDPR、PIPEDA、PDPLなどのフレームワーク下で運用する組織—そこで求められるのはワークフロー管理ではなく技術的分離—にとって、「承認・拒否して後で監査する」だけでは基準を満たさない場合があります。私たちのレポートでは、59%の回答者が技術インフラの変更を最大のリソース負担として挙げており、プロセスコントロールだけでは不十分なため、アーキテクチャ再構築にコストをかけている実態が明らかになりました。

GCC HighはEMEAおよびカナダの要件を設計上満たせない

ここでGCC Highの価値提案が完全に逆転します。

GCC Highは明確に米国ホスティング、米国運用、米国管轄です。これがDoD請負業者やCJIS準拠ワークロードに適している理由ですが、同時にEMEAやカナダの主権戦略にとっては「危険な存在」となります。

カナダの調査結果が象徴的です。カナダの回答者の40%がカナダ・米国間のデータ共有取り決めの変更を最大の規制懸念とし、21%が米国CLOUD法を直接懸念しています。この状況下で、カナダの機密コンテンツを米国のみのエンクレーブに移行することは、主権戦略ではなく主権の矛盾です。

ヨーロッパのデータも同様に明確です。ヨーロッパの回答者の44%がプロバイダーの主権保証への懸念をクラウド導入の最大障壁とし、これは調査地域で最も高い割合です。外部調査でもこれが裏付けられています。IDCは「域外データ要求からの保護」をヨーロッパの主権クラウドの主な推進要因とし、team.blueの調査ではヨーロッパの中小企業の57%が自社のクラウドプロバイダーがEU域内のみのストレージを保証しているかどうかすら把握していないことが判明しています。

さらに実務上の法的衝突もあります。カナダの裁判所がヨーロッパに保存されたデータの提出をプロバイダーに命じる例は、主権主張が外国の法的要求により崩れることを示しています。主権戦略がプロバイダーの外国法対応能力に依存している場合、それはアーキテクチャではなく弁護士に頼ることになります。Schrems II判決がこの原則を数年前に確立しました。契約は外国政府のアクセス法を上書きできません。それにもかかわらず、多くの組織がベンダー契約が構造的コントロールの代替になるかのように運用を続けています。

CMMCコンプライアンスと「高コストな部分的解決策」

多くの防衛請負業者はCMMC 2.0コンプライアンスのためにGCC Highを選択します。なぜなら、適切なベースラインに合致し、CUIを米国境界内にとどめられるからです。この論理自体は間違いではありませんが、不十分です。

CMMCと主権は同じ核心的な期待値に収束しつつあります。すなわち、「許可された者のみがCUIにアクセスでき、第三者経由の不適切な開示をコントロールが防止していることを証明する」ことです。

私たちのレポートでは、第三者コンプライアンス違反が主権インシデントの最多タイプと並んで17%を占めています。現場からは、主権の複雑さはインフラ再設計やベンダーコンプライアンスに集中しており、日々のメールやファイル共有ではないと報告されています。難しいのは自社環境のロックダウンではなく、サプライチェーンが守るべき情報を漏らさないことを証明することです。

GCC Highはコンプライアンスエンクレーブを提供します。しかし、その中のデータは特定条件下でMicrosoftによって復号可能なままです。多くのCMMCシナリオでは、「許可された組織の担当者のみがCUIにアクセスできる」という管理要件と、「Microsoftがサービス運用や電子証拠開示、法的要求のために鍵を行使できる」という運用現実の間にギャップが生じます。

独立系アナリストも、GCC HighがデフォルトのCMMCパスとして位置付けられることが多いものの、フレームワーク上必須ではなく、柔軟性やコスト効率を大きく制限する可能性があると指摘しています。GCC Highへの移行コストは中堅請負業者で30万ドルから100万ドル超にのぼることが一般的ですが、その環境でもMicrosoftが合法的アクセスの「爆心地」に残ることに変わりはありません。

防衛請負業者が問うべきは「GCC Highがコンプライアンス要件を満たしているか？」ではありません。多くの場合、満たしています。問うべきは「そのチェック項目が、主権が本来防ぐべき開示シナリオを本当に防げているか？」です。

「証明可能なコントロール」とは何か

私たちのレポートは「主権の演出」を推奨しているのではありません。運用成熟度を求めています。

回答者は、データ主権コンプライアンスが実際のビジネス価値—セキュリティ態勢の向上や顧客信頼の強化—をもたらすと答えています。しかし同時に、実際にコストもかかると認識しています。技術インフラの変更（59%）と法的専門知識（53%）が最大のリソース負担です。年間支出も大きく、多くの組織が年間100万ドル以上を投資しています。

今後の方向性は明確です。コンプライアンス自動化と高度な技術的コントロールが、3地域すべてで2年計画の戦略をリードしています。市場が求めているのは、バラバラなツールの削減、統合された強制力、そしてオンデマンドの証拠です。

このギャップを埋めるためにKiteworksは設計されています。プライベートデータネットワークは、主権が最も破られやすいチャネル—セキュアメール、セキュアなファイル共有、セキュアMFT、Kiteworks SFTP、Kiteworksセキュアデータフォーム—を、単一プラットフォームに統合。唯一の暗号鍵所有、改ざん不可能な監査ログ、自動コンプライアンスレポート機能を備えています。プロバイダーはデータを復号できません。プロバイダーが鍵を法執行機関に渡すこともできません。監査人に証拠を求められたときも、6つのシステムをつなぎ合わせる必要はなく、1つのシステムから提出できます。

実践的な次の一手：リスクの高い経路から置き換える

レポートの知見を、Microsoft環境全体を入れ替えることなく実践に移したい場合は、まず「交換レイヤー」から着手してください。インシデントが発生するのはここです。

まず、外部とのやり取りを統合。 ベンダーファイル転送、パートナーとのセキュアなファイル共有、顧客向けデータ収集—これらが第三者の失敗や無許可の越境転送の発生源です。これらのフローを、レジデンシーとアクセス制御を設計段階から強制するプラットフォームに移行しましょう。

次に、証拠を標準化。 改ざん不可能な監査証跡、一貫したアクセス方針、エクスポート可能なレポート。規制当局や顧客から問い合わせがあった際、3週間かけてフォレンジック調査をしなくても答えられる状態にしておくべきです。

三つ目に、鍵と管轄リスクを厳格に管理。 「アクセス要求を承認し、事後に記録を残す」から、「プラットフォームが明示的なコントロールなしにアクセスを提供できない」状態へ。これがワークフロー主権とアーキテクチャ主権の違いです。

四つ目に、インシデント前に対応プレイブックをテスト。 レポートはインシデントが多様かつ頻発していることを示しています—侵害、無許可転送、規制調査、政府要求など。初めてプレイブックを動かすのが本番の時では遅いのです。

このアプローチは取締役会への説明も容易です。Microsoftを置き換えるのではなく、主権クリティカルな交換レイヤーを「証明可能なコントロール」設計のシステムでラップし、幅広い生産性ツールはそのまま活用できます。

現代の主権の定義

GCC Highは、米国政府・防衛要件に特化した強力なエンクレーブです。しかし、プロバイダーがアクセス・復号・提出を強制されるリスクを排除し、「証明できる」ことが求められる組織にとっては、主権ソリューションではありません。

2026年データ主権レポートは、リスクの現実を明確に示しています。過去1年で3分の1の組織が主権インシデントを経験。その内訳はGCC Highのアーキテクチャが開放しているシナリオ—第三者の失敗、無許可転送、規制調査、政府アクセス要求—と一致しています。そして市場は、ポリシードキュメントやプロバイダーの約束ではなく、自動化・技術的コントロール・証拠へと大きく舵を切っています。

主権はかつて「地理」を意味していましたが、今や「鍵の管理」「管轄の及ぶ範囲」「証拠」が要件です。アーキテクチャがこの3つを満たしていなければ、それは主権ではなく、「コンプライアンスラベル付きの高価なデータセンター」に過ぎません。

もし主権戦略がいまだに「プロバイダーが自分の代わりに拒否してくれること」を信頼する前提なら、信頼が本当に正しい土台なのか、それともアーキテクチャこそが解決すべきなのか、今こそ問い直す時です。

2026年データセキュリティ＆コンプライアンスリスク：データ主権レポート全文をダウンロード