クラウド主権とデータローカライゼーション――デジタル分断の経済コストと各国の戦略

はじめに

クラウドコンピューティングが現代経済インフラの中核を担う中、データの物理的所在と法的管轄をめぐる「クラウド主権」問題が国際政治・経済の新たな断層線となっている。2023年初頭時点で約100件のデータローカライゼーション措置が40カ国以上で施行されており、その過半数が直近10年間に導入されたものとされる [4]。OECDの推計によれば、ストレージ制限の単体適用でデータ管理コストが16%上昇し、ストレージ制限とデータフロー禁止の組み合わせではコスト増が55%に達する可能性があるとされる [4]。WTO・OECD共同報告書（2025年2月）は「完全な断片化」シナリオでは世界GDPが4.5%、輸出が8.5%それぞれ低下するとの試算を示した [3]。

しかし、企業や政府にとって問題は単なる経済コスト計算にとどまらない。米国CLOUD法（2018年）は米国籍クラウド事業者が世界中で保有するデータへの政府アクセスを可能にしており、米国クラウドプロバイダーを利用する外国企業・政府はデータが米当局の法的要請に晒されるリスクを抱える。EU GDPR、中国サイバーセキュリティ法、インドのDPDP法など各国の規制が重なり合う中で、グローバルに事業を展開するクラウド企業と利用企業はますます複雑な法的地形に置かれている。本稿では、この「クラウド主権」をめぐる規制の多極化とその経済的・構造的影響を分析する。

GAIA-Xの現実とEUクラウド主権の課題

欧州主権クラウドの理念と制度設計の限界

EU主導のクラウド・データインフラ構想「GAIA-X」は2020年にドイツ・フランス主導で発足し、相互運用性・データ主権・欧州発の基準設定を目標として掲げた。しかしTaylor & Francisに掲載された2025年の査読論文によれば、GAIA-Xはその設立段階からAWS、Azure、Googleが加盟メンバーとなったことで「米国ハイパースケーラーを排除したヨーロッパのクラウド基盤」という当初の方向性を喪失したとされる [8]。CISPEはAWSなど米国企業のGAIA-X参加を「トロイの木馬」と批判した。2026年時点でも欧州企業がハイパースケーラーから完全に移行するシナリオはForresterをはじめとする調査機関によって「2026年内は実現しない」と評価されている [2]。

AWS欧州ソブリンクラウド（ESC）は2026年1月に本格稼働した。ドイツ法に基づく独立した法人格を持ち、EU市民で構成されるボードと独立した第三者代表を置く設計とされる [1]。しかし、その本質的な限界を指摘する声も多い。CLOUD法の下では、米国籍の親会社であるAmazon.comは世界中でそのサービスが「保有・管理・制御」するデータへの米当局のアクセス要請を受ける法的義務を負う。2025年6月にはマイクロソフトのフランス子会社が仏上院公聴会において、フランス国内にデータを保存する「ソブリン」サービスであっても米当局へのデータ提供を拒否できないことを認めたとされ、「ソブリン主権の幻想」論争が再燃した [2]。

欧州ネイティブクラウドとデータ受託モデル

これに対し、欧州ネイティブのクラウドプロバイダーや米国ハイパースケーラーとの提携による「データ受託」（data trustee）モデルが台頭している。ドイツでは、Deutsche TelekomのITサービス子会社T-SystemsがGoogle Cloudのドイツ向け「受託者」（Treuhänder）として機能し、暗号化鍵をGoogle本体の管轄外で管理する仕組みが導入されている [1]。フランスではThalesがS3NSというフランス法人を設立し、独自のインフラ上でMicrosoftのクラウドサービスを運営するモデルを採用し、フランスの政府認定規格（SecNumCloud）の取得を目指している。こうしたモデルはCLOUD法リスクを一定程度軽減するとされるが、提供されるサービスの範囲がハイパースケーラー直接提供に比べて限定されることや、追加コストが生じることなど課題もある [2]。

欧州の主権クラウド支出は2025年から2027年にかけて3倍超に増加すると予測されている。しかし、Forresterの予測は「いかなる欧州企業も2026年に米国ハイパースケーラーから完全移行することはない」というものであり、クラウド主権の完全実現には長期的な技術・規制・経済的投資が必要とされる。デジタル貿易とデータガバナンスの国際枠組みについては別稿で詳述している。

インド・中国のデータローカライゼーション規制

インドDPDP法の施行とクラウド事業者への影響

インドでは2023年にデジタル個人データ保護法（DPDP法）が成立し、2025年11月にDPDP規則2025がMEITYから告示された [5]。DPDP法はその設計において「一般的なデータローカライゼーション義務」を課さず、越境データ転送は原則許可としながらも、政府がホワイトリスト外の国・地域への転送を規制通知によって制限できる仕組みを採用している。インドの金融業規制当局（RBI）や証券規制当局（SEBI）はそれぞれ金融データの国内保存義務を独自に設けており、業種横断的なDPDP法と業種特化の規制が重層する複雑な状況がある。

世界法律事務所の分析によれば、DPDP規則の注目点は「同意管理者（Consent Manager）」という新しい制度的主体の導入と、同意の証明・記録義務の詳細化にある [5]。クラウド事業者にとっては、インド居住者のデータを扱う場合に同意フローの実装・記録・開示義務が課されるため、既存のグローバルシステムの改修コストが生じるとされる。インドは世界最大級のクラウド市場として急成長しており、MicrosoftはAI・クラウドインフラへの29億ドル投資、OracleはAI・クラウドへの80億ドル超投資を表明しており、規制コンプライアンスへの対応と市場機会の確保のバランスが問われている [7]。

中国の三本柱規制体制と越境データ転送

中国は2017年サイバーセキュリティ法（CSL）、2021年データセキュリティ法（DSL）、2021年個人情報保護法（PIPL）という三つの法律を基軸にデータガバナンス体制を構築している [6]。CSL第37条は重要情報インフラ運営者に対して収集した個人情報・重要データの国内保存を義務付ける。越境データ転送については、セキュリティ評価、個人情報保護認証（PIPCertification）、標準契約（SCC）締結という三経路が整備されており、2025年10月にCAC（サイバースペース管理局）とSAMRが共同で「越境個人情報転送認証措置」を公表し、2026年1月1日に発効した [6]。

執行面では2025年9月、欧州系高級ブランドの上海子会社がPIPLに違反して個人情報を海外移転したとして行政処分を受けた事例が報告されており、外資系企業への法執行が具体化しつつある [6]。PIPLに基づく最大制裁額は前年度売上高の5%または5,000万元（約690万ドル）とされ、事業停止命令も可能とされる。グローバルなサービス展開を行うクラウド事業者にとって中国市場での事業継続には、国内データ保存のための専用インフラ投資と運用が実質的に必要とされる。産業政策と国家資本主義の台頭については別稿で分析している。

日本のアプローチとデータガバナンスの国際調和

日本の主権クラウド政策と二国間協調

日本はデータガバナンスにおいて「信頼性の高いデータ流通（DFFT: Data Free Flow with Trust）」という多国間原則を主導してきた。2023年G7広島サミットでDFFT推進のための「包括的な枠組み」が合意されたことを受け、日本政府はOECDのデジタル経済委員会での規制対話を積極的に推進してきた。2025年10月のトランプ・高市首脳会談においては、クラウドセキュリティ技術基準の相互理解を深める日米二国間作業部会の設置が合意され、政府データ向けのソブリンクラウドプラットフォーム開発への日本のコミットメントが確認された [7]。

このソブリンクラウドプラットフォームは単なるデジタルポリシーの文脈を超えており、日米間の防衛情報共有・安全保障インターオペラビリティとの連動が意識されているとされる [7]。日本のデータ保護法（改正個人情報保護法）は第三国移転に関する開示義務を強化しており、GDPR等との比較法的整合性を持たせる方向が継続されている。NTTデータのような国内大手は主権クラウドの鍵管理サービスをグローバルに展開し始めており、日本独自のデータ主権ソリューションの輸出という側面も生まれつつある。

データローカライゼーションの経済コストと政策設計

WTO・OECD共同報告書（2025年2月）は、データローカライゼーションの経済コストを体系的に定量化した [3]。データフローの自由化とトラスト（信頼性確保）を両立させる「DFFT的アプローチ」は世界GDPを1.77%押し上げる可能性がある一方、完全断片化では4.5%の損失が生じるとされる。データ管理コストの増加（16〜55%）は特に中小企業や新興国の事業者に不均衡な打撃を与えるとされており、デジタル経済における南北格差拡大の懸念も表明されている [3][4]。

OECDの2025年6月報告書「非個人データの越境フローに影響する措置の予備的マッピング」は、IoTデータ・産業データ・公共データなど非個人データに対するローカライゼーション措置の増加を文書化した。個人データ規制が先行した政策論議は、非個人データのガバナンスへと拡大しつつあり、製造業・農業・スマートシティ分野のデータ活用にも影響が及びつつある。EU AI法の投資環境への影響については別稿で整理している。

大手クラウド事業者の対応戦略

ローカルゾーン・ソブリンクラウドの製品展開

AWS、Microsoft Azure、Google Cloud Platform（GCP）の三大ハイパースケーラーはいずれも「ソブリンクラウド」製品ラインを整備している。AWSは欧州ソブリンクラウドを独自法人・独自インフラとして構築し、2026年1月に本格稼働した [1]。Azureは2025年2月にEUデータバウンダリーの完全実装を宣言し、EU・EEA域内でのデータ保存・処理を原則とする体制を整えた（セキュリティ運用上の限定的例外あり）。GCPはドイツ向けにT-Systemsとのデータ受託モデルを採用し、鍵管理を欧州企業に委ねる設計を選択した [1]。

しかし前述のとおり、これらの「ソブリン」製品がCLOUD法から完全に自由かという問いに対する答えは否定的とするのが法律専門家の多数説である [2]。T-SystemsモデルやS3NS（Thales×Microsoft）モデルは法的分離度が高い設計だが、サービス提供範囲や価格面でのトレードオフがある。ソブリンクラウド市場は2025〜2027年に急成長が見込まれるが、この成長の一部は真の主権実現ではなく「コンプライアンス上の体裁整備」に対する需要であるとの批判もある。

セキュリティ保証と技術的主権への投資

データ主権の問題は、暗号化・鍵管理・アーキテクチャ設計という技術的層においても議論が深まっている。ゼロトラストアーキテクチャと機密コンピューティング（Confidential Computing）技術は、クラウドプロバイダーがデータにアクセスできない状態での処理を可能にし、CLOUD法上の「possession, custody, or control」要件を満たさない設計となり得るとする見方もある。しかしCLOUD法の「control」要件の解釈はいまだ司法判断が確定しておらず、法的不確実性は残存する。ENISAなど欧州のサイバーセキュリティ機関は、技術的な主権保証と規制上の認証取得の組み合わせを推奨しており、EU加盟国政府向けのクラウド調達においてSecNumCloud（フランス）やBSI C5（ドイツ）などの認証取得を要件化する動きが広がっている。

注意点・展望

データローカライゼーション規制は今後さらに拡大すると見通す意見が多い。OECDの調査では2023年初頭時点で100件超の措置が存在しており、AI・IoT・金融サービスのデジタル化が進むにつれ規制対象データの範囲も拡大する傾向が続いている [4]。インドのDPDP規則は2025年末に施行されたが、クロスセクター規制との整合性や重要個人データの定義など、実施細則の多くが今後の通知・ガイダンスに委ねられており、規制の予見可能性には課題がある [5]。

中国については、2026年以降の越境データ転送規制の運用実態——特に外資系企業への執行事例の蓄積——が国際ビジネス環境に与える影響が注目される。米中デジタル分断が進む中、企業はチャイナ向けとグローバルとでインフラを分けるという「テック・スタックの分離」戦略を採らざるを得ない状況も生まれている。欧州では、GAIA-X後の欧州クラウド政策の方向性とGDPR・AI法・データ法（Data Act）の相互作用が引き続き注目される。DFFTという多国間規範をWTO・OECD・G7・G20の各枠組みでどのように実装するかは、デジタル経済の断片化防止のための政策優先課題であり続ける。

まとめ

クラウド主権とデータローカライゼーションをめぐる規制の多極化は、グローバルクラウド市場に根本的な構造変化をもたらしつつある。EUのGAIA-XとAWS欧州ソブリンクラウドの経験は、「物理的所在と法的管轄を一致させる」クラウド主権の実現が技術的にも制度的にも容易でないことを示した。CLOUD法という米国の長腕的立法は依然として欧州・日本の主権クラウド政策に本質的な制約を課している。インドのDPDP法は原則的なデータローカライゼーション義務を設けなかったものの、行政裁量によるフロー制限の可能性を残した。中国の三本柱規制は外資系企業への執行が具体化しつつあり、ビジネスコストとして現実化している。データローカライゼーションの経済コスト（コスト増16〜55%、完全断片化でのGDP損失4.5%）は明確に示されており、規制設計における「主権確保」と「デジタル経済の効率性」のトレードオフは今後も重要な政策論点であり続ける。