米国法が日本のデータを狙い撃ち? ハイパースケーラー依存が招くガバナンスリスク:情シスが直面する「データ主権」の限界
AWSやGoogle Cloudに置いたデータが、米国の法的命令により開示を求められる可能性がある。自社の大事なデータを海外クラウドに預けっぱなしでよいのか、ハイパースケーラーが語りたがらない「主権侵害」の核心に迫る。
ハイパースケーラーのクラウドサービスは、データ主権と相いれないものがある。米国企業であるハイパースケーラーは、国外顧客のデータを抽出するよう命じる米国の裁判所命令に従う可能性があるからだ。
ハイパースケーラーにとって逆説的なのは、規模の経済を得るために、本質的にグローバルで相互接続された存在である点だ。
この結論は、Computer Weeklyがデータ主権について行った調査から導き出されたものである。われわれは、Amazon Web Services(AWS)、Google、Microsoft、IBM、Oracleといったハイパースケーラー各社に、外国市民の通信傍受を命じる米国の裁判所命令に技術的な観点からどの程度対抗できるかを明らかにするための質問を行った。送付した質問は以下の通りだ。
- 顧客データへのアクセスを強いる米国の裁判所命令を、技術的にどう防ぐか
- 暗号化キーを保持していない場合、平文データが必要な「処理中のデータ」の機能をどう実行するか
- 裁判所が命じた「技術協力」を含むアップデートにより、データ制御や隔離環境(エアギャップ)を回避される恐れはないか
- グローバルインフラから完全に隔離され、全てのコアサービスを運用できる英国独自のリージョンを証明できるか
- 標準的な利用規約で、顧客データやメタデータを他地域へ移動させることを許可しているか
米クラウド法が突きつけるデータ強制提供の現実
「データ主権」に関連する編集部お薦め記事
この調査の背景には、現在の地政学的状況のデータ主権のリスクの高まりがある。特に、米国の裁判所が自国に本社を置く企業に、システムの所在を問わずデータの提供を命じる権限に焦点を当てた。
これには「米国クラウド法(US Cloud Act)」が含まれる。同法は、データが海外にある場合でも、自国企業が「占有、保管、管理」していれば、米国の法執行機関への提供を強いるものだ。また、裁判所は企業に、データ提供の事実を対象者に知らせることを禁じる守秘義務命令を出すことも可能だ。
さらに、「外国情報監視法(FISA)」第702条は、捜査を容易にするためサービスプロバイダーに技術的支援を求め得る。国外顧客への保護措置は米国人向けに比べ限定的だとの批判がある。
われわれの質問に対するハイパースケーラーの回答は、核心を避けているようだった。クラウドサービス全般について尋ねると、エアギャップやオンプレミスの話で返された。裁判所命令によるアップデートを通じたバックドアの可能性については、現地スタッフの存在や隔離環境の説明に終始した。データの収集については暗号化や顧客管理キーが強調されたが、データの大部分が非暗号化状態で処理されている点への言及はなかった。
これらの回答にはいくつかの問題がある。
第一に、米国の裁判所は最終的に、システム内の国外顧客データを得るために「技術協力」を強制できる点だ。これは人間には解読不能なソフトウェアアップデートを通じて行われる可能性があり、その機能の証拠を残さないことも可能だ。
第二に、リソースを大量に消費する「処理中のデータ(data-in-use)」の暗号化を導入したまれなケースであっても、メモリからデータを取得することは依然として可能だ。
さらに、ハイパースケーラーは標準的な利用規約に基づき、24時間体制のサポートを提供するため、データを他地域へ転送しているケースがある。
現実として、データ主権に近い状態を実現するには、標準的な規約を拒否するか、エアギャップサービスを利用するしかない。しかし、これらも侵入を100%防げる技術的保証はない。
英国の公共部門だけでも、米国のハイパースケーラーはほぼ全ての組織に浸透しており、IT支出の大部分を占めている。これは英国にとって重要な課題だ。
調査会社Tussellのデータによると、2023年度から2024年度で、英国の中央・地方公共団体の95%にあたる1100以上の機関が、ハイパースケーラーのクラウドサービスに予算を投じている。
例えば、Googleは2025年9月、英国国防省(MOD)と約4億ポンドの契約を締結した。これは、同社のエアギャップ製品「Google Distributed Cloud」に基づくソブリンクラウド機能を提供するものだ。しかし、こうした契約は、公共部門におけるクラウド依存の一例にすぎない。
英国の公共部門は米国のインフラと密接に接続されている。一方で、英国の科学・イノベーション・技術省(DSIT)には、データ主権についての明確な定義すら存在しないのが現状だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
企業に広がる「サイバーバルカン化」 データ主権が生む新たな分断とは
データ主権のリスクを理由に企業がAI導入を遅らせているという調査結果がある。リスクを軽減するために、オンプレミスに回帰する動きもある。データの統制と柔軟性を保持するにはどうすればいいのか。
日本のユーザーは保護対象外? ChatGPT「米国法のわな」と情シスの防衛策7選
米国防総省は、OpenAIとAI利用契約を締結した。契約で注目すべきは、「大規模監視」「完全自律型兵器の開発」の項目で保護の対象が「米国人」のみに適用される可能性だ。では、外国のユーザーはどうなるのか。
クラウドファーストの“わな” 企業がオンプレミス回帰を選ぶ8つの理由
「取りあえずクラウド」のつけが回ってきた。膨れ上がる利用料とベンダーロックインのリスクが、企業のIT予算を圧迫している。AI関連の予算を確保し、企業がインフラの主導権を取り戻すための「脱クラウド戦略」を提示する。
「オンプレミス回帰」「脱クラウド」を招いた“米国離れ”の衝撃
かつてはクラウドが企業ITの未来を変えると信じられる傾向もあったが、その潮目が変わりつつある。米国クラウドへの依存を減らし、オンプレミスや自社運用への回帰を検討する動きが広がっている。
脱クラウドの受け皿か NVIDIA×国内連合にみる「AIコスト削減」の現実味
円安や地政学リスク、経済安全保障政策を背景に、2026年はAIインフラの「国内回帰」が進む可能性がある。NVIDIAと提携する国内企業の動向から、情シスが取るべきインフラ戦略の最適解を探る。