€1億、SCCsだけではデータ主権を守れない

主なポイント

1. 契約だけでは管理者を守れない。 オランダのデータ保護当局は、EU標準契約条項（SCCs）を締結していたにもかかわらず、EUの個人データをロシアに転送したとして、タクシープラットフォームに1億ユーロの罰金を科しました。SCCsだけではもはや防御策になりません。
2. 規制当局が求めるのは「保証」ではなく「アーキテクチャ」。 判断基準はシンプルです。管理者が実際に第三国による不正アクセスを防げるかどうか。書面上のセーフガードでは不十分です。暗号鍵の管理、データの所在強制、アクセス制御こそが求められます。
3. この動きは拡大中。 アイルランドのDPCは、中国へのデータ転送をめぐりSheinの調査を開始しました。異なる2つの管轄、2つの高リスク国、1つの規制論理：「管理できることを証明できなければ、罰金を支払う」。
4. 多くの組織は「処理主権」を証明できない。 ストレージ主権は解決済みですが、処理主権は未解決です。AIシステムで第三者がデータをどう扱っているか可視化できている組織は36%に過ぎず、AIワークロードはクロスボーダー管理の前提を複雑化させています。
5. CFOもデータ主権のステークホルダーに。 GDPRの最大4%グローバル売上高の罰金、評判リスク、転送再構築コストが、主権リスクをコンプライアンス部門から経営リスク管理へと押し上げています。

オランダAPが線を引いた。SCCsだけでは守られない。

2026年4月、オランダのデータ保護当局（AP）は、ロシアのテック企業Yandexの子会社であるオランダ拠点のYangoタクシーアプリ運営会社MLU B.V.に対し、フィンランドおよびノルウェーの利用者の個人データをロシアに不正転送したとしてGDPR違反で1億ユーロの罰金を科しました。決定日は2026年4月1日、APはフィンランド・ノルウェーの当局とともに2023年から調査を進め、2026年5月8日に公表しました。同社はEU標準契約条項を締結していましたが、APはロシアの監視・政府アクセスリスクを踏まえ、SCCsだけでは不十分と結論付けました。転送は違法とされました。

この結論こそが全てです。SCCsは十分性の推定ではなく、出発点に過ぎません。管理者は、第三国の法体制がEUと「本質的に同等」の保護水準を実際に担保できることを証明しなければなりません。それができなければ—ロシアの監視体制下では不可能でした—契約メカニズムは崩壊します。

これはSchrems II判決の論理が完全に実装された事例です。欧州司法裁判所は2020年、SCCsを使う場合、第三国法に体系的なアクセスリスクがあれば補完的措置が必要と判示しました。6年間、業界はこれを理論上の話と見なしてきましたが、オランダAPはそれを1億ユーロの請求書に変えました。

この教訓はタクシープラットフォームやロシアだけの話ではありません。オフショア開発、サポート、分析ベンダー、クラウドリージョンを強権国家で利用する全ての多国籍企業が同じ法的顕微鏡下に置かれます。問われるのは契約の有無ではなく、「アーキテクチャが契約を実効性あるものにしているか」です。

MLU判決が特に無視できないのはAPの論理です。APはSCCs自体を否定したのではなく、「SCCsだけでは外国政府のアクセス権限を制限できない」と指摘しました。これは文書上の問題ではなく構造上の問題です。条項をいくら修正しても構造問題は解決しません。唯一の解決策は、実際にデータが到達不能であること—EU管理の暗号鍵、所在強制、契約善意に依存しないアーキテクチャ制御—を担保することです。

「補完的措置」の実際の意味

APの決定は、欧州規制当局が長年使い続けてきた「補完的措置」というフレーズの重みを改めて示しています。GDPR第46条は適切なセーフガードに基づく転送を認めていますが、それはセーフガードが実際に機能する場合のみです。SCCsを使う場合、その有効性を担保するのが補完的措置です。

実務上は、以下3つのコントロールが該当します。

• 技術的コントロール。 第三国外で管理される暗号鍵による暗号化。復号が転送先管轄で不可能な仮名化。どの組織（政府含む）がデータにアクセスしようとしたかを示すアクセスログ。技術的な体制が、不正アクセスを契約上でなくアーキテクチャ上で困難にする必要があります。
• 組織的コントロール。 各転送先国の法制度を評価するTransfer Impact Assessmentの文書化。SOC2レポートだけでなく監視法まで調査するベンダー精査。政府によるデータアクセス要求へのインシデント対応プレイブック。
• SCCsを超える契約的コントロール。 補償条項、監査権、GDPR最低基準より厳しい違反通知期限、不当なアクセス要求への異議申立義務など。これらは技術的・組織的コントロールの代替ではなく、補完です。

オランダAPは、MLUの補完的措置は体系的な監視リスクに対して不十分と判断しました。「適切なセーフガード」をチェックボックス扱いした代償が罰金です。

ストレージ主権と処理主権の違い

多くの大企業はストレージ主権を解決済みです。データはEUデータセンターに保存、バックアップも域内、災害復旧拠点も文書化済み。しかし次の規制の波はより難しい問いを投げかけています。「データは実際にどこで処理されているのか？データ主権はそこまで及ぶのか？」

Kiteworksデータセキュリティ＆コンプライアンスリスク：2026年予測レポートのデータはこのギャップを明示しています。29%の組織がAIベンダー経由のクロスボーダー転送をプライバシーリスクと認識、30%が第三者AIベンダーのデータ取り扱いをセキュリティ上の懸念と回答。しかし、AIシステムでパートナーがデータをどう扱っているか可視化できているのは36%のみ。残りは契約に頼っており、まさにオランダAPが問題視した依存です。

2026年予測レポートは、これを「データはどこに保存されているか」から「どこで処理され、誰がアクセスでき、それを証明できるか」へのシフトと表現しています。ストレージコントロールは前者には答えられても、後者2つには答えられません。

AIワークロードではこの問題が顕著です。クラウドAIベンダーに送ったプロンプトは、保存場所とは異なる管轄で処理される場合があります。モデルは第三国でホストされ、第四国でファインチューニングされることも。出力は複数の国境を越えて戻る場合もあります。従来の主権コントロール—データの固定的な場所を前提—では対応できません。

オランダAPの判断はこれら全てに適用されます。法的なテストは「データがEUにあったか」ではなく、「第三国の主体がアクセスを強制できたか」です。多くのAI導入で、正直な答えは「分からない」でしょう。

この「分からない」には代償があります。規制当局が「プロンプトはどこで処理されたか」「モデルはどこでホストされたか」「どの法域がアクセス要求を管轄するか」を問うとき、管理者は意図ではなく証拠を示す必要があります。契約は意図を示します。アーキテクチャが証拠を生みます。MLU判決はその橋渡し—証拠なき意図を罰するものです。

Shein事例がパターンを裏付け

オランダAPがYangoへの罰金を公表する3日前、アイルランドのデータ保護委員会（DPC）は、Infinite Styles Services Co. Ltd.（Shein Ireland）によるEU・EEAユーザーデータの中国転送について調査開始を発表しました。DPCは2026年4月30日、2018年データ保護法第110条に基づき調査を開始し、5月5日に公表。調査は合法性、透明性、SheinのダブリンEMEA本社経由の海外処理におけるセーフガードを対象としています。

同じ月に2件の執行、異なる高リスク国、同じ法的メカニズム—クロスボーダー転送のセーフガード—が争点。もはや一過性ではなく、規制パターンです。

中国もロシアと同じ法的課題を抱えます。PIPLはクロスボーダー転送を制限し、中国の国家安全・情報法は逆方向のアクセス権限を規定。つまり、欧州データを中国の処理基盤に移す多国籍企業は、オランダAPが裁いたSchrems II問題と同じリスクに直面します。

Shein事例はまだ結論が出ていませんが、DPCはGDPRに基づき最大4%グローバル売上高の罰金を科す権限を持ちます。大規模プラットフォームにとっては現実的なリスクです。

より広い意味では、強権国家に開発・分析・サポートチームを持つ全ての組織—ロシアや中国だけでなく、EUが十分性審査で問題視した他国も含む—が同様の監視を受けると想定すべきです。DPA同士の連携、法的テストの統一、そして執行予算の増加が進んでいます。

証明できる主権：欧州標準

欧州の規制当局は、長年にわたり新たな標準を示唆してきました。Kiteworks 2026年データセキュリティ＆コンプライアンスリスク：欧州におけるデータ主権のエグゼクティブサマリーは、「コンプライアンスだと信じている」から「データの所在、アクセス管理、クロスボーダー移動の防止・記録を証明できる」への転換と表現しています。

欧州主権レポートは、3つの運用的柱を挙げています。

• コントロール。 居住地強制、暗号鍵管理、アーキテクチャレベルで不正なクロスボーダー移動を防ぐアクセス方針。ポリシーレベルや契約レベルではなく、アーキテクチャレベル—つまり、誰が要求してもシステムがデータを外に出さない仕組みです。
• 証拠アーティファクト。 エクスポート可能な監査証跡、データ所在ログ、オンデマンドで規制当局や顧客に提出できるコンプライアンスレポート。四半期ごとではなく、必要な時に即提出できることが求められます。
• 対応準備性。 政府によるデータアクセス要求、第三者ベンダーの障害、Transfer Impact Assessment、Schrems II対応シナリオなどに備えたテスト済みプレイブック。インシデント発生前に準備されている必要があります。

欧州の回答者の44%が、プロバイダーの主権保証への懸念を欧州クラウド導入の障壁と回答—調査地域で最も高い割合です。市場はベンダーに必要なものを伝えてきました。規制当局も、1億ユーロの執行で同じメッセージを突き付けました。

Kiteworksのアプローチ：理想でなくアーキテクチャ

Kiteworksは、ポリシーレベルではなくインフラレベルでデータ主権を実現します。セキュアなデータ交換は、オンプレミス、プライベートクラウド、ハイブリッド、FedRAMPなど柔軟な導入オプションをサポートし、EU、カナダ、中東、米国など各国管轄内で機密コンテンツを保存できます。

暗号鍵の管理は各管轄内で維持。ジオフェンシングはIP制御で強制。メール、ファイル共有、マネージドファイル転送、SFTP、データフォームを単一のゼロトラストプラットフォームに統合し、すべてのファイルをライフサイクル全体で管理・追跡・保護します。アーキテクチャが所在強制を担保し、これこそオランダAPが求める姿勢です。

監査面も同様に重要です。中央集約型で改ざん不可能な監査ログと自動コンプライアンスレポート—GDPR、DORA、NIS2、PIPEDA、PDPLなどのテンプレートも事前搭載—により、欧州主権レポートが差別化要素とするエクスポート可能な証拠を提供します。DPAが「どこでデータが処理されたか」の証明を求めた際、答えは改ざん不可能なログのクエリであり、事後のフォレンジック再構築ではありません。

MLU判決後にデータ転送体制を見直す組織にとって、Kiteworks 2026年予測レポートの知見は問いの本質を示します。目指すべきは「より良い契約」ではなく、「監査対応可能なドキュメントを生み出す統合ガバナンスフレームワーク」です。これが今、規制当局・監査人・エンタープライズ顧客から求められています。

CISO・法務責任者が今すべきこと

1. 地理的監査を実施。 欧州個人データを国境越えで移動させる全てのシステム、ベンダー、ワークフローを棚卸し。Kiteworks 2026年予測レポートによれば、AIシステムでパートナーのデータ取り扱いを可視化できている組織は36%のみ—次のDPC調査には耐えられません。まずAIベンダー、次にオフショア開発チーム、分析処理ベンダーを確認しましょう。
2. SCCsの防御力を再評価。 Kiteworks 2026年予測レポートによれば、契約上のセーフガードだけでは強権国家のリスクに対し不十分。SCCsは多層防御の一層と位置付け、主軸にしないこと。暗号化、鍵の分離、所在強制など技術的コントロールを追加し、Transfer Impact Assessmentで文書化しましょう。
3. ストレージ主権だけでなく処理主権を証明。 Kiteworks 2026年予測レポートでは、29%の組織がAIのクロスボーダー転送をリスクと認識していますが、認識だけでは管理になりません。処理場所を制約する技術的体制を構築しましょう。AIワークロードでは特に困難かつ緊急性の高い課題です。
4. 監査証跡を整備。 DPAに転送経路を問われた際、答えは改ざん検知可能なログから出す必要があります。Kiteworks 2026年予測レポートでは、33%の組織が証拠水準の監査証跡を欠いています。欧州主権レポートは、エクスポート可能な監査証跡こそが主権インシデントを防ぐ組織と被害を受ける組織の差別化要素と指摘しています。
5. インシデント前にプレイブックを実行。 政府によるデータアクセス要求、ハイリスク国でのベンダー障害への対応を事前にテストしましょう。オランダAPの判断は、規制当局が「善意」ではなく「準備の文書化」を評価基準にすることを示しています。法務・セキュリティ・プライバシー・経営層を含めた机上演習は、規制調査リスクに対する最も安価な保険です。

MLUへの罰金は1億ユーロ。これを防ぐアーキテクチャのコストはそれ以下です。経営判断の基準が変わりました。かつてはプライバシー部門のコストだったものが、今やエンタープライズリスク管理の主要項目—サイバーセキュリティ、財務統制、業務レジリエンスと並ぶ経営課題です。データ主権をアーキテクチャとして捉える組織は、書類作業として扱う組織より長期的にコストを抑えられます。オランダAPは、この命題に本気で向き合うだけのコストを突き付けました。