ヨーロッパ企業が主権を維持しつつ、Microsoft 365の生産性と機密データの保護を両立する方法

Microsoft 365は、欧州企業の業務に深く組み込まれています。Teamsは日々のコミュニケーションを支え、SharePointは部門やパートナーを横断するドキュメントライブラリをホストし、OneDriveはハイブリッドワークの基盤となり、Outlookは従業員と顧客や規制当局をつなぎます。

このインフラを置き換えることは現実的ではなく、そうする必要もありません。欧州のITおよびセキュリティリーダーが実際に直面している問いはより限定的です。すなわち、Microsoft 365の生産性を最大限維持しながら、GDPR、Schrems II、米国クラウド法、そして厳格化する規制環境におけるデータプライバシー義務を本当に満たすにはどうすればよいか、という点です。

本記事ではこの問いに答え、Microsoftのツールだけでは埋まらない主権ギャップと、それを従業員のワークフローを妨げずに解消する主権オーバーレイの役割を解説します。

エグゼクティブサマリー

主なポイント：Microsoft 365は、欧州企業に構造的なデータ主権リスクをもたらします。Microsoftは米国クラウド法の要求に従う義務があり、同社独自の主権クラウドツールは一部リスクを軽減しますが、完全には排除できません。主権オーバーレイ、すなわちKiteworksプライベートデータネットワークをMicrosoft 365のワークフロー全体にシングルテナントレイヤーとして導入することで、顧客管理の暗号化、非所持型アクセス制御、包括的な監査機能を提供し、これらのギャップを解消します。

注目すべき理由：欧州のデータ保護当局（DPA）は、米国クラウドサービス利用に対する監視を強化しています。クラウド法リスクを特定しつつ契約上の緩和策だけに頼るTIA（移転影響評価）は、Schrems II後の執行実績を精査した規制当局を納得させることはできません。技術的に有効な補完措置、すなわちEEA管理のハードウェアで保持される顧客管理の暗号鍵、プロバイダーによる平文アクセスの完全排除を証明できない組織は、罰金、処理禁止、評判リスクに直面します。

5つの重要ポイント

1. EUデータセンターにデータを置いても、Microsoftのクラウド法リスクは解消されない。Microsoftは米国企業であり、インフラの所在地に関わらず米国法の命令に従う義務があります。クラウド法はプロバイダーの管理権限に従い、データの地理的位置には依存しません。MicrosoftのEUデータバウンダリーはデータレジデンシーを制限しますが、米国政府による法的要求からデータを守るものではありません。
2. Microsoftの顧客管理鍵は、Microsoftの管理外には置かれない。Azure Key VaultやPurview Customer Keyは鍵のローテーション管理を顧客に委ねますが、鍵自体はMicrosoftのAzureインフラ内に残ります。クラウド法やFISAの要求がMicrosoftに向けられれば、そのインフラが対象となります。真の鍵管理には、プロバイダー環境外の顧客管理HSM統合による鍵の完全な管理が必要です。
3. Microsoft 365 Copilotは独自かつ未解決の主権リスクを生む。Copilotは平文コンテンツ（メール、ドキュメント、Teams会話）を処理して出力を生成します。AI処理のためにデータを復号する必要があるため、保存時暗号化では保護できません。組織は、保存場所だけでなくCopilotがアクセスできるデータを制御するガバナンスレイヤーが必要です。
4. マルチテナンシーは過小評価されているリスク要因。Microsoftのデフォルトのマルチテナントアーキテクチャでは、数千の組織の暗号化データと鍵が共有インフラ上に共存します。単一の脆弱性で複数の顧客が同時に侵害される可能性があります。Kiteworksが提供するシングルテナント導入は、この混在リスクを完全に排除します。
5. 主権オーバーレイはM365の生産性を損なわない。KiteworksはOutlook、Teams、SharePoint、OneDrive、Word、Excel、PowerPointとネイティブプラグインで統合。エンドユーザーは慣れ親しんだインターフェースで作業し、アクセス制御、鍵管理、監査ログ、ジオフェンシングはUXレイヤーの下でワークフローを妨げずに機能します。

Microsoft 365の主権問題：Microsoft独自ツールの限界

Microsoftは欧州規制対応のために多くのツールを開発してきました。EUデータバウンダリーは個人データの処理をEU・EFTAインフラに制限し、Azure Key VaultやPurview Customer Keyは鍵ローテーション管理を顧客に提供、Microsoft Cloud for Sovereigntyは政府顧客向けのポリシーガードレールを追加します。これらは実際に有効な機能ですが、何ができて何ができないかを理解することが重要です。なぜなら、規制当局の注目点はまさにそのギャップだからです。

EUデータバウンダリープログラムの限界

MicrosoftのEUデータバウンダリーは、個人データの保存・処理場所を制限し、データレジデンシー要件を満たし、データ主権コンプライアンスの第一段階をサポートします。しかし、アクセス制御までは担保しません。Microsoftは米国企業であり、米国クラウド法は米国企業に対し、世界中のどこに保存されたデータでも有効な米国政府の要求に応じて提出することを義務付けています。GDPR第48条は、外国裁判所の命令だけで非EU当局への移転を禁じていますが、命令自体の発行を防ぐものではなく、Microsoftに拒否を強制するものでもありません。クラウド法義務とGDPR第48条の構造的な対立は、データレジデンシーの約束だけでは解消されません。

Azureの顧客管理鍵とEDPBが求める顧客管理暗号化の違い

Azure Key VaultやPurview Customer Keyは、鍵のローテーションや失効管理を顧客に提供しますが、Azure内で管理される鍵はMicrosoftのインフラ内に残ります。クラウド法やFISAセクション702の要求がMicrosoftに向けられれば、そのインフラが対象となります。EDPB勧告01/2020は、顧客管理暗号化とはプロバイダーが鍵や平文に一切アクセスできないことを意味すると明記しています。Azure Key Vaultに保持された鍵はこの基準を満たしません。真の鍵管理には、FIPS認証済みハードウェアで顧客が独占的に管理し、プロバイダー環境外に完全に隔離された鍵が必要です。

Microsoft 365 Copilotの課題：AI処理と主権

Microsoft 365 Copilotは、より深刻な主権リスクをもたらします。Copilotはメール、SharePointドキュメント、Teams会話履歴を処理し、要約や下書き、返信を生成しますが、このためにはコンテンツが平文で利用可能でなければなりません。保存時暗号化はAI処理時点では無効です。M365で従業員がアクセスできるデータは、CopilotおよびMicrosoftのAIインフラからもアクセス可能となります。欧州企業が商業機密データや規制対象の個人データ、法的特権通信を処理する場合、これは複合的なリスクとなります。元データがクラウド法の対象となるだけでなく、AI処理された出力も同様に対象となる可能性があるためです。

このガバナンス課題には、Copilotがアクセスできるデータをコンテンツレベルで制御するレイヤーが必要です。AIモデルへのデータフローを傍受・管理し、適切に分類されたコンテンツのみがAI処理に到達することを保証する「AIデータゲートウェイ」が、このリスクへのアーキテクチャ的な解答となります。

欧州規制下での主権要件：法的要請の実態

GDPR第V章は、第三国への移転にはEU域内と本質的に同等の保護が求められると定めています。Schrems II判決は、標準契約条項（SCCs）だけでは受領国の法律がその有効性を損なう場合、補完的な技術的措置が必要であることを確認しました。米国プロバイダーへの移転では、クラウド法リスクによりSCCsだけでは不十分です。EDPBは明確に、米国監視法によるリスクが契約で解消できない場合、唯一技術的に十分な補完措置は、プロバイダーが鍵や平文に一切アクセスできない顧客管理暗号化であると述べています。

GDPR以外の規制フレームワーク

多くの欧州企業にとって、コンプライアンスの基盤はGDPRを超えます。NIS2指令はクラウドプロバイダーとの関係を含むサプライチェーンセキュリティ要件を課し、金融サービス企業はDORAによりクラウド集中リスク管理と、米国クラウドプロバイダーのデータが外国法の対象となるシナリオでのレジリエンス証明が求められます。医療機関、防衛請負業者、法的特権通信を扱う専門サービス企業は、GDPRの基準に加え業界固有の要件があります。GDPRの補完措置基準を満たす主権アーキテクチャは、これらのフレームワークにも概ね対応しますが、文書化要件は異なり、個別の規制ごとに評価が必要です。

移転影響評価（TIA）は、引き続き文書化の基盤です。Microsoft 365導入における信頼できるTIAは、クラウド法やFISA 702リスクの特定、これらの法律がSCCsの有効性に与える影響の評価、そして導入された補完措置（Microsoftインフラ外で管理される顧客管理暗号化）が本質的に同等の保護を実現していることの証明が必要です。主権オーバーレイ導入前に完了したTIAは、新アーキテクチャを反映するよう更新が必要であり、その更新自体が規制当局が期待する説明責任の証拠となります。

主権オーバーレイアーキテクチャ：M365を妨げずに機能する仕組み

主権オーバーレイはMicrosoft 365を置き換えるものではありません。エンドユーザーとMicrosoftインフラの間にセキュリティ・ガバナンスレイヤーを設け、Microsoftが扱うデータはすでに欧州組織が管理する鍵で暗号化された状態とし、Microsoftは平文ではなく暗号文を処理します。従業員はこれまで通りのアプリケーションを利用し、主権制御はほぼ不可視です。

KiteworksがMicrosoft 365と連携しつつ置き換えない理由

Kiteworksプライベートデータネットワークは、各種Microsoft 365アプリケーションとネイティブプラグインやコネクタで統合し、アプリケーション移行を必要とせずデータ交換時点で主権制御を実施します。

Outlookでは、Kiteworksプラグインが転送権限、有効期限、アクセス制御などのロールベースポリシーをメッセージ送信前に適用。管理者はガバナンスルールを中央で設定し、エンドユーザーは通常のOutlookワークフローで作業できます。セキュアメールは従業員の設定負担なく流れ、すべての送信・受信・転送・ダウンロードが改ざん不可の監査ログに記録されます。

Teamsでは、Kiteworksプラグインにより外部とのセキュアなファイル共有が可能となり、Kiteworks管理リポジトリを通じてSharePoint、OneDrive、Windowsファイル共有のファイルアクセスをロールベースで制御、すべてのやり取りを自動で記録します。

SharePointとOneDriveでは、Kiteworks Sovereign Access SuiteがVPN不要で社内リポジトリへの統合ゲートウェイを提供。SafeEDITによる非所持型編集機能により、外部関係者が組織管理下からファイルを持ち出すことなく閲覧・編集でき、外部コラボレーション時の持ち出しリスクを排除しつつ、コラボレーション自体は制限しません。

Word、Excel、PowerPointでは、Kiteworksプラグインによりアプリケーションから直接セキュアなドキュメント共有が可能。エンタープライズリポジトリやKiteworks共有フォルダーに保存され、他の機密データフローと同じアクセス・監査制御下で管理されます。

シングルテナント導入と顧客管理鍵

アーキテクチャの基盤は、オンプレミス、顧客管理プライベートクラウド、専用ホスティングのいずれかによるシングルテナント導入と、欧州組織が独占管理するHSM統合による顧客管理暗号鍵の組み合わせです。Microsoftのデフォルトマルチテナントアーキテクチャでは、数千組織の暗号化データと鍵が共有インフラに混在しますが、Kiteworksはこの混在を完全に排除。各導入は分離され、暗号鍵は顧客管理環境から一切持ち出されません。

KiteworksはFIPS 140-3レベル1認証の暗号化（保存時はAES-256、転送時はTLS 1.3、メールはS/MIMEとOpenPGP）をサポート。鍵は欧州組織が生成・保持し、KiteworksもMicrosoftも、M365インフラ到達前に暗号化されたデータ処理時にアクセスしません。これはEDPB補完措置基準が求めるアーキテクチャであり、規制監査下でTIAの信頼性を担保します。

Kiteworksはジオフェンシングによるデータローカライゼーションも実現。IPアドレス範囲の許可・ブロックリストでデータを指定管轄内に限定保存。BDSG下のドイツ企業、ANSSI要件のフランス企業、AP重点監督下のオランダ企業、UK GDPR下の英国企業など、管轄別の鍵配置とジオフェンシングで、DPA対応に必要な技術的に検証可能な主権文書化を提供します。

AIガバナンス：Copilotリスクとその対策

Microsoft 365 Copilotは標準的なエンタープライズ生産性機能となりつつあり、欧州組織も導入圧力に直面しています。ガバナンス課題は、Copilotの価値を活かしつつ、MicrosoftのAIインフラに流してはならないコンテンツの処理を防ぐことです。これは一律の無効化ではなく、コンテンツガバナンスレイヤーが必要です。

Kiteworks AI Data Gatewayは、コンテンツリポジトリとAI処理の間に介在し、AIデータガバナンスポリシーを適用してAIモデルに提供可能なコンテンツカテゴリを制御します。DLPスキャン、データガバナンス分類、アクセス制御ポリシーがCopilot到達前に適用され、規制対象の個人データや商業機密、特権通信も、どのAI機能から処理要求が発生しても一貫して管理されます。ガバナンスレイヤーなしでCopilotを導入すると、従業員が見えるすべてのデータがMicrosoftのAIインフラにアクセス可能となり、DPAが特定・対応しやすいコンプライアンスリスクとなります。

コンプライアンス文書化：TIA、監査ログ、DPA対応力

技術的な主権アーキテクチャだけでは不十分であり、規制当局は文書による証拠を求めます。すなわち、移転影響評価（TIA）、処理記録、リスクの高い処理に対するDPIA、継続的コンプライアンスを示す監査ログです。Kiteworks CISOダッシュボードは、すべての機密データ交換を一元的に可視化し、「誰が・いつ・どのアプリケーションから・誰に」送信したかを記録し、GDPR第5条第2項の説明責任原則が求める改ざん不可の監査証跡を作成します。

NIS2インシデント報告やDORA運用レジリエンス文書化要件のある組織には、Kiteworksの包括的なログ・レポート機能が証拠パッケージを提供します。Microsoft 365の取り扱いに関するDPA照会に直面した場合も、シングルテナント導入文書、HSM鍵管理記録、ジオフェンシング証拠、アプリ別監査ログの組み合わせにより、単なる主張ではなく信頼できる対応が可能です。

KiteworksがMicrosoft 365の主権と生産性を両立する方法

欧州企業は、Microsoft 365の生産性とデータ主権のどちらかを選ぶ必要はありません。真の選択肢は、主権オーバーレイを導入してクラウド法・マルチテナンシー・AIリスクを解消するか、DPA監査に耐えうるコンプライアンス体制を放棄するかです。顧客管理暗号鍵、シングルテナント導入、非所持型アクセス制御、AIコンテンツガバナンスに基づく主権オーバーレイこそが、実務上の基準であり、従業員の業務を変えずにMicrosoft 365とアプリケーションレベルで統合できます。

Kiteworksは、GDPR、Schrems II、NIS2、DORAに準拠してMicrosoft 365を運用するために必要な主権オーバーレイを欧州企業に提供します。プライベートデータネットワークは、オンプレミス、プライベートクラウド、Kiteworksホスティングのいずれでもシングルテナントで導入可能。暗号鍵は管轄管理HSMで顧客管理され、Kiteworksは一切アクセスしません。Outlook、Teams、SharePoint、OneDrive、Officeアプリ用のネイティブプラグインが既存ワークフローに直接統合。Sovereign Access Suiteは、内部リポジトリへの非所持型アクセスやSafeEDITによる外部コラボレーションを、データを管理環境外に出さずに実現します。包括的な改ざん不可の監査ログと一元CISOダッシュボードが、DPA照会に必要な文書証拠を提供。ドイツ、フランス、オランダ、英国など管轄別の導入に対応し、NIS2・DORAコンプライアンス文書も標準装備。自社環境でのアーキテクチャ動作を確認したい場合は、カスタムデモを今すぐご予約ください。

追加リソース 

• ブログ記事  
  データ主権：ベストプラクティスか規制要件か？
• eBook  
  データ主権とGDPR
• ブログ記事  
  データ主権で陥りがちな落とし穴
• ブログ記事  
  データ主権のベストプラクティス
• ブログ記事  
  データ主権とGDPR【データセキュリティの理解】