EUデータ主権要件:GDPRが求めるものと主権が実際に必要とするもの
多くのコンプライアンスチームにEUのデータ主権要件について尋ねると、GDPRを指摘します。法務部門にSchrems IIの要件を尋ねると、移転影響評価(Transfer Impact Assessments)や標準契約条項(SCCs)について説明するでしょう。CISOに米国政府の召喚状がクラウドプロバイダー本社に届いた場合どうなるかを尋ねると、場が静まり返ります。 この混乱は無理もありません。「データレジデンシー」「データローカライゼーション」「データ主権」は、多くのエンタープライズの会話で同じ意味で使われていますが、法的にもアーキテクチャ的にも異なる概念です。組織はGDPRのデータレジデンシー義務をすべて満たしていても、構造的には外国政府によるアクセスのリスクにさらされている場合があります。GDPRの要件がどこまでで、本当のデータ主権がどこから始まるのかを理解することは、単なる学術的な違いではありません。これは、現在データ保護当局(DPA)が積極的に取り締まっているコンプライアンスギャップです。 エグゼクティブサマリー 主なポイント:GDPRはEU個人データのデータレジデンシーおよび移転要件を定めていますが、GDPRコンプライアンスとデータ主権は同義ではありません。データレジデンシーはデータをどこに保存すべきかを示し、データ主権は誰がどの法域でアクセスを制御するかを定めます。米国本社のクラウドインフラを利用する組織の場合、フランクフルトのデータセンターでGDPR準拠のデータレジデンシーを実現しても、CLOUD Actにより米国政府の要求でデータが法的にアクセス可能なままです。これは標準契約条項では解決できない構造的なリスクです。本当のデータ主権コンプライアンスには、顧客管理の暗号鍵、シングルテナントの欧州展開、ポリシーで強制されるジオフェンシングなど、未承認アクセスを技術的に不可能にするアーキテクチャ制御が必要です。契約上禁止するだけでは不十分です。 なぜ重要か:オーストリア、フランス、イタリアのDPAは、特定の米国クラウド利用がGDPR違反であると既に判断しています。GDPR違反の罰金は全世界年間売上高の4%に達します。NIS2指令は経営層の刑事責任も追加しています。Kiteworksの2026年データセキュリティ&コンプライアンスリスクレポートによると、過去12カ月で組織の33%が主権関連のインシデントを経験しており、44%が自分たちは十分に理解していると回答しています。レジデンシーと主権を混同する組織は、コンプライアンスを満たしているのではなく、リスクにさらされています。 主なポイント データレジデンシー、ローカライゼーション、主権は法的に異なる。レジデンシーはデータが物理的にどこに保存されるかを規定します。ローカライゼーションはデータが収集された国から出ないことを要求します。主権は誰がどの法域でアクセスを制御するかを定めます。いずれか一つを満たしても他も満たすとは限りません。 GDPRはレジデンシー要件を定めますが、完全な主権は保証しません。第44~49条は越境移転を制限しますが、米国本社のプロバイダーがEUデータセンターに保存したデータに対するCLOUD Actの要求を防ぐものではありません。場所と法域は別物です。 Schrems IIはレジデンシーだけでは不十分と再定義しました。移転影響評価を義務付け、顧客管理の暗号化を必須の補完措置としたことで、地理的な場所だけでは法的なコントロールの代わりにならないことをCJEUが明確にしました。 アーキテクチャによる主権が契約の限界を補います。標準契約条項は当事者を拘束しますが、米国政府の法的要求を覆すことはできません。プロバイダーのインフラ外で管理される顧客の暗号鍵により、プロバイダーはどんな法的要求があっても平文データを提供できなくなります。 NIS2とDORAは主権義務をGDPR以上に拡大します。NIS2指令とDORAは、サプライチェーン主権評価、インシデント報告、経営層責任など、GDPRに加えて義務を課します。規制業界の組織は3つのフレームワークすべてに同時に対応する必要があります。 用語の定義:レジデンシー、ローカライゼーション、主権の本当の意味 データレジデンシーは、データが保存・処理される物理的な地理的位置を指します。データレジデンシー要件とは、「このデータはこの法域内のサーバーに保存しなければならない」という意味です。GDPRは移転制限により事実上のレジデンシー要件を生み出しています。個人データの流れを制限することで、組織にEU内でのデータ保存を促します。しかし、レジデンシーは場所の問題であり、コントロールの問題ではありません。データはドイツに物理的に保存されていても、同時に外国政府が法的にアクセスできる場合があります。 データローカライゼーションはレジデンシーより厳格で、データを現地保存するだけでなく、収集された国から出さないことを要求します。EU域内でも、医療データや金融取引、公共部門の記録など、GDPRの基準に加えてローカライゼーション要件を課す国や業界ルールがあります。 データ主権は最も広い概念です。データが所在する法域の法律によって管理され、管理組織がアクセスに対して法的かつ技術的なコントロールを持つという原則です。主権はEUデータセンターを選ぶだけでは満たされません。米国プロバイダーがフランクフルトのデータセンターを運営していても、それは欧州インフラではなく、欧州の住所を持つ米国の法的リスクです。 実際には、組織がGDPRのデータレジデンシー要件(EUデータセンター、移転メカニズムの文書化、準拠したサブプロセッサーなど)をすべて満たしても、プロバイダーが米国本社で暗号鍵を保持していれば、データ主権を達成できません。 GDPRコンプライアンスの完全チェックリスト Read Now GDPRが実際に求めるデータレジデンシーと移転の要件 GDPRにはEU個人データをEU域内に保存する包括的な義務はありません。第V章(第44~49条)はEU/EEA外への個人データ移転を制限しており、十分性認定、標準契約条項、拘束的企業準則、その他承認されたメカニズムによる移転が認められています。実際には、第V章が強いレジデンシー圧力を生み出しており、適切な移転メカニズムがない場合はデータをEU内に留める必要があります。 多くの組織が米国クラウドプロバイダーを利用する場合、SCCsが主要な移転メカニズムとなりますが、Schrems II以降は米国法がSCCsの有効性を損なうかどうかを評価する移転影響評価(TIA)の実施が求められています。GDPR第32条の「適切な技術的および組織的措置」の要件は、Schrems II以降、DPAによってリスクに見合った技術的コントロールの実証が必要と解釈されています。EDPBの勧告01/2020では、EEA内でのみ管理される顧客の暗号鍵による暗号化が、CLOUD...
