概要
欧州委員会は2026年5月27日、「Tech Sovereignty Package」を発表した。この法案パッケージはCloud and AI Development Act(CADA)とChips Act 2.0を柱とし、EU加盟国政府・公共機関が保健、金融、司法といった分野の機密データを処理する際に、米国系クラウドプロバイダーの利用を制限することを目的としている。背景にあるのは、2018年に米国で成立したCLOUD Actの問題だ。同法はAWSやMicrosoft Azure、Google Cloudといった米国本社を持つ事業者に対し、データの物理的な保管場所を問わず、米国当局の要請に基づいてデータ開示を強制できる権限を与えている。Kiteworksが2026年に欧州・カナダ・中東のIT・セキュリティ専門家286人を対象に実施した調査では、欧州企業の32%が過去1年間に「データ主権インシデント」を経験しており、無断の越境転送が最も多く報告されたとされる。
「地理は管轄ではない」——既存の回避策が機能しない理由
これまで欧州企業や公共機関が採用してきた代表的な対策が、「GCC High in Frankfurt」モデルだ。米国系クラウドサービスをフランクフルトなどの欧州データセンターで稼働させ、欧州人スタッフが運営するという手法だが、Tech Sovereignty Packageの策定に関与した専門家はこれを明確に否定している。「地理は管轄ではない。米国企業が制御するエンクレーブである限り、CLOUD Actの到達範囲から逃れることはできない」という指摘が示すように、物理的なロケーションの分離だけではデータ主権の確保には不十分だ。新たなパッケージが求めるのは、アーキテクチャレベルでのデータ居住強制、監査証跡のエクスポートによるコンプライアンス証明、そして政府アクセス要請に対応する手順のテスト実施という3つの構造的管理策である。
調達基準の枠組み:SEALレベルによる主権認証
欧州委員会はすでに2025年10月にCloud Sovereignty Frameworkを立ち上げており、2026年4月には同框組みに準拠した4つのクラウドプロバイダー連合に契約を付与した。このフレームワークは「Sovereignty Effectiveness Assurance Levels(SEAL)」という8分野にわたる測定基準を設けており、法的コンプライアンス、運用の透明性、サプライチェーン、セキュリティ、EU規制への準拠などを評価する。レベルはSEAL-0からSEAL-4まで段階的に設定されており、SEAL-2はEUの法律に基づいてサービスが提供されること、SEAL-4は半導体からアプリケーションまでEU完結のサプライチェーンを意味する。今回の調達では最低SEAL-2が要件とされた。契約を獲得した4連合はいずれも欧州企業で構成されており、Post Telecom・OVHCloud・CleverCloud連合(ルクセンブルク・フランス、SEAL-3)、Schwarz Group傘下のStackIT(ドイツ、SEAL-3)、Iliad Group傘下のScaleway(フランス、SEAL-3)、Proximus・S3NS・Clarence・Mistral連合(ベルギー・フランス・ルクセンブルク、SEAL-2)が選ばれた。ベンダーロックイン防止のため、意図的に複数サプライヤーへ分散発注されている点も注目される。
法制化の難航と今後の課題
CADAはすでに複数回の延期を経ており、その要因として、EU内部での調整の複雑さ、米国ハイパースケーラーへの配慮を求めるトランスアトランティック交渉、そしてEU各機関間の方針対立の3点が挙げられる。欧州委員会は訴訟リスクを避けるべく、公共調達法・競争法・単一市場規制・国際協定との整合性確保に慎重に取り組んでいるとされる。欧州全体ではAWS・Azure・Google Cloudが約70%の市場シェアを占め、欧州系プロバイダーは15%にとどまる。Tech Sovereignty Packageの施行は、欧州クラウドプロバイダーの競争力回復を後押しするとともに、民間セクターの調達基準にも波及し、主権統制の実証が企業の競争優位になる時代の到来を告げている。一般市民の日常サービスへの即時影響は限定的だが、中長期的にはデータ安全性の向上とEU・米国・中国のデジタル交渉構図の変化が予測される。