AWSが欧州で別会社を作る理由: デジタル主権と主権クラウド、ドイツBSIが示すその設計図

ベルリンのしがひです。ドイツ人のプライバシー意識について、的確に表したショート動画を最近見つけました。

https://www.youtube.com/watch?v=7OqRRYtcDH0

2018年のGDPRに関するブログ記事と、ヨーロッパに拠点を持たない会社向けの対応方法から7年が経過しました。当時は2018年5月25日のGDPR施行を前にして、データ保護への取り組みはAWSなどのクラウドプラットフォームを中核にして行うことで、コンプライアンスを維持した柔軟な拡張ができるようになると述べました。そしてドイツ連邦電子情報保安局 (BSI)が定めたC5認証が欧州クラウドのスタンダードになると予見しました。

あれから地政学的な環境は大きく変化し、欧州は「デジタル主権」という概念を軸に、クラウド、決済、AIインフラの独立性を確保する動きを加速させています。これらの動向を整理してみたいと思います。

CLOUD Actの影響と欧州の対応

主権クラウドの本質

2018年に米国で成立したCLOUD Act（Clarifying Lawful Overseas Use of Data Act）は、米国法執行機関が米国企業に対し、データの物理的な保存場所に関係なく、海外に保存されたデータへのアクセスを強制できる法律です。これはGDPRと根本的に対立しており、欧州企業にとって深刻なコンプライアンスリスクを生んでいます。

多くのグローバルプロバイダーが欧州にデータセンターを設置し「主権クラウド」として販売していますが、主権とは単にデータの保存場所の問題ではありません。重要なのは誰がそのインフラをコントロールしているかです。クラウドプロバイダーが米国に本社を置く場合、CLOUD Actは依然として適用されます。

欧州委員会はこの問題に対処するため、2025年10月にCloud Sovereignty Frameworkを発表しました。このフレームワークは、クラウドサービスがEUの主権基準をどの程度満たしているかを評価するための統一的な基準とスコアリング方法を定義しています。中核となるのはSovereign European Assurance Level → SEALというランキングシステムで、戦略的、法的、運用的、技術的な4つの側面からサービスをグレード付けします。

Cloud and AI Development Act

欧州委員会は2026年第1四半期（Q1）にCloud and AI Development Actの提案を予定しています。この法案は、5〜7年以内にEUのデータセンター容量を3倍に拡大し、公共部門のクラウド利用に関する共通フレームワークを構築することを目指しています。2025年12月9日には、EU理事会がEuroHPC Joint Undertakingの規則改正に合意し、欧州にAIギガファクトリーを設立するための枠組みが整いました。これはCloud and AI Development Actの一部として、AI Continent Action Planを具体化するものです。

この取り組みは、ドイツとフランスが主導するGAIA-Xイニシアチブと連動し、欧州のデジタルインフラストラクチャの自立を加速させるものです。

2025年9月に発効したEU Data Actも重要です。この法律は、2027年までにベンダーロックインを段階的に解消し、クラウドプロバイダー間の相互運用性を確保することで、企業がデータをより自由にコントロールできるようにすることを目指しています。

決済システムの独立性

デジタルユーロ

クラウドインフラだけでなく、決済システムの独立性もEUの戦略的優先事項となっています。2025年12月19日、EU理事会はデジタルユーロの創設に関する交渉ポジションに正式合意しました。デンマーク経済大臣のStephanie Lose氏は次のように述べています：

「デジタルユーロは、より堅牢で競争力のある欧州決済システムに向けた重要なステップであり、欧州の戦略的自律性と経済安全保障に貢献し、ユーロの国際的役割を強化することができます。」

同日、ECBのラガルド総裁は記者会見で「我々は仕事を終えた。技術的・準備的作業は完了した。あとは欧州理事会と欧州議会の番だ」と述べ、デジタルユーロの技術的準備が完了したことを宣言しました。

現在の見通しでは、2026年中に共同立法機関がデジタルユーロ規則を採択することを前提として、2027年半ばにパイロット演習を開始し、2029年に発行を開始する準備が進められています。現在、欧州のデジタル決済システムの中核は非EU事業者によって提供されており、危機時に迅速かつ独立して行動する能力が制約される可能性があることが、この取り組みの背景にあります。

European Payments Initiative（Wero）

European Payments Initiative (EPI)は、16の欧州銀行が支援するデジタルウォレット「Wero」を展開しています。Weroは即時口座間決済に基づいており、決済チェーンの仲介者とそれに伴うコストを排除します。2024年にドイツで開始され、フランス、ベルギー、オランダへと展開が進んでいます。

2025年6月には、EPIとEuropean Payments Alliance (EuroPA)が協力を発表し、欧州全体での決済相互運用性を向上させるためのクロスボーダーデジタル決済ソリューションの開発を模索しています。この連携は、15の欧州諸国（人口約3億8200万人、EUとノルウェーの約84%）をカバーする可能性があります。

BSIとSTACKITの戦略的協力

プレスリリースの背景

2025年3月18日、BSIはSchwarz Digits傘下のクラウドプロバイダーSTACKITとの戦略的協力を発表しました（プレスリリース）。この協力の目的は、連邦政府でも利用可能な主権的クラウドソリューションの共同開発です。

BSIは、クラウドソリューションを詳細かつ十分な注意を払って検証するために、協力協定という手段を用いています。これらの協定は、高度に機密性の高い情報を交換し、技術的な分析と評価を深く実施するための法的枠組みを形成します。BSIはSAP、Oracle、Google Cloud、AWSと協力協定を締結しており、新たにSTACKITが加わりました。

技術的要件の核心

BSIがこれらの協力において重視しているのは、データの暗号化と鍵管理です。プレスリリースには以下のように記されています：

「暗号技術的保護メカニズム、具体的にはネットワーク上での転送時および保存時のデータ暗号化は、この文脈において不可欠な構成要素です。これは、クラウド提供においてこれらの情報の保存に第三者のリソースが使用されるため、特に重要です。」

特に注目すべきは、ポスト量子暗号への言及です。量子コンピュータの潜在的な開発により、現在の暗号化方式が将来的に破られるリスクがあります。BSIは「store now, decrypt later」攻撃（暗号化されたデータを現在取得し、将来解読する）のリスクを考慮し、量子コンピュータでも効率的に攻撃できない暗号方式の採用を求めています。

さらに重要なのは、適切なセキュリティアーキテクチャと外部鍵管理の組み合わせにより、クラウドサービスプロバイダー自身による平文アクセスを技術的に不可能にできるという点です。この場合、データはCLOUD Actに基づく要求からも保護されることになります。なぜなら、クラウドサービスプロバイダーには要求されたデータにアクセスする技術的手段が与えられていないからです。

STACKITとは

STACKITは、欧州最大の小売グループであるSchwarz Group（Lidl、Kauflandの親会社）のIT・デジタル部門であるSchwarz Digitsのクラウドプロバイダーです。2018年にSchwarz Groupのデジタル変革を推進するために開発され、現在は外部の企業や公共機関にもサービスを提供しています。

STACKITの特徴は以下の通りです：

• データ主権: すべてのデータセンターがドイツとオーストリアに所在し、GDPRに完全準拠
• 認証: BSI C5認証、ISO 27001、ISO 20000、ISAE 3000 (SOC 2)、ISAE 3402を取得
• オープンソース: OpenStackを基盤とし、ベンダーロックインを回避
• 規制業界対応: KRITIS基準、DORA準拠のICTサービスプロバイダーとして金融機関をサポート

2025年5月のTECH Conference Heilbronnでは、STACKITを「ドイツ発のハイパースケーラー」として拡大する計画が発表されました。SAP S/4HANA Cloud on STACKITの提供、Aleph AlphaとのPhariaAI連携、セキュアコミュニケーションサービスWireのSTACKIT上での提供など、エコシステムの拡充が進んでいます。

米国ハイパースケーラーの対応：AWSの先進的アプローチ

欧州のデータ主権要求に対し、米国IT大手の中でもAWSは最も積極的かつ包括的な対応を進めています。

AWS European Sovereign Cloud

AWSはドイツ・ブランデンブルク州でAWS European Sovereign Cloudを2025年末までにローンチ予定であり、€78億（約1.3兆円）の投資を計画しています。先週末にはCommvaultがAWS European Sovereign Cloudのローンチパートナーとして発表されるなど、ローンチに向けた準備が最終段階に入っています。

これは単なる欧州リージョンの追加ではなく、以下の点で根本的に異なるアプローチです：

独立した企業構造: AWS European Sovereign Cloudは、EU法に基づく新たな親会社と3つの子会社によって運営されます。ドイツを拠点とするManaging DirectorとしてKathrin Renz氏（2025年6月任命）とStéphane Israël氏（2025年10月任命、欧州テクノロジー分野で豊富な経験を持つベテラン経営者）の2名が就任し、企業ガバナンス、コンプライアンス、セキュリティに関する決定を監督します。少なくとも4名のEU市民（うち1名はAmazonと関係のない独立メンバー）で構成される独立諮問委員会も設置されます。

欧州独自の認証局（EU-TSP）: AWS European Sovereign Cloud専用の欧州Trust Service Provider（EU-TSP）を設立し、EU域内で自律的に証明書発行機能を運用します。EU域内の安全な場所で暗号鍵署名式典を完了し、外部の第三者監査人の立会いのもとでルートCAを生成しました。すべての鍵材料はEU域内に所在し、EU居住者のみがEU-TSPを運用、制御、再構成する権限を持ちます。

欧州専用Security Operations Center: グローバルなセキュリティプラクティスを反映した欧州専用のSecurity Operations Center (SOC)を設置し、EU市民が責任者として運営します。

BSIとの協力協定: AWSはBSIと協力協定を締結しており、運用分離とデータフロー管理に関するガバナンスおよび技術基準の策定を進めています。

技術的保護: AWS Nitro Systemにより、AWS従業員を含む誰もがAmazon EC2上で稼働する顧客のワークロードやデータにアクセスできない強力な物理的・論理的セキュリティ境界を提供します。また、世界の他の地域との接続が中断した場合でも継続的に運用できる設計になっています。

米国IT大手としての差別化

AWSのアプローチが他の米国ハイパースケーラーと異なるのは、「主権クラウド」を単なるマーケティング用語としてではなく、法的構造、企業ガバナンス、技術アーキテクチャの全てにおいて実装している点です。

AWS European Sovereign Cloudは独立したパーティションとして構築されます。これはAWS ChinaやAWS GovCloud (US)と同様のアプローチで、独自のIAMスタック、課金・使用量計測システムを持ちます。アクセスや財務に関するメタデータでさえ独立性を維持する必要があるため、このレベルの分離が求められます。

BSI C5認証、NIS2指令、そして今後のEU Data Actへの対応を視野に入れた設計であり、欧州の公共調達や規制業界において、米国ハイパースケーラーを選択しつつも主権要件を満たすための現実的な選択肢となることを目指しています。

BSI長官の見解

BSI長官Claudia Plattner氏はプレスリリースで次のように述べています：

「私たちの時代の課題を克服するためには、技術革新のペースについていかなければなりません。ドイツと欧州における重要システムの効果的な保護を可能にするには、国内および欧州のアクターによるコントロールが決定的に重要です。デジタル製品とサービスを外部の影響、政治的利害、地政学的シナリオから独立して安全に利用可能にするためには、あらゆる状況下で安全かつ管理された使用が保証されるよう、技術的に強化することが重要です。」

日本企業への示唆

変化する欧州市場へのアクセス

GDPRから始まった欧州のデータ保護への取り組みは、今やクラウドインフラ、決済システム、AIを含む包括的な「デジタル主権」戦略へと発展しています。日本企業が欧州市場で事業を展開するにあたっては、以下の点を考慮する必要があります：

1. クラウドプロバイダーの法的管轄権の確認: データの保存場所だけでなく、プロバイダーの本社所在地と適用される法律（特にCLOUD Act）を確認すること。ただし、AWS European Sovereign Cloudのように、技術的・法的・組織的な対策によってこのリスクを軽減するアプローチも登場しています。

2. SEAL評価への備え: Cloud Sovereignty Frameworkに基づく評価は、公共調達だけでなく民間企業の調達決定にも影響を与える可能性があります。

3. 暗号化と鍵管理の見直し: BSIが要求するように、外部鍵管理による技術的なアクセス制限は、法的リスクを軽減する有効な手段です。

4. 選択肢の多様化: AWS European Sovereign CloudとSTACKITのような欧州発プロバイダーの両方を理解し、ワークロードの性質に応じて適切な選択ができるよう準備すること。

クラスメソッドの展望

クラスメソッドヨーロッパは、2018年以来、ベルリンを拠点として欧州のデータ保護規制への対応を実践してきました。AWSのC5認証第一号取得時から、欧州のクラウドコンプライアンス動向を注視しています。

今回のBSI-STACKIT協力の発表、そしてAWS European Sovereign Cloudのローンチは、欧州のクラウド市場が新たな局面を迎えていることを示しています。BSIがAWS、Google Cloud、SAP、Oracleといった既存のハイパースケーラーとの協力を進める一方で、STACKITのような欧州発の主権クラウドプロバイダーとも協力体制を構築していることは注目に値します。

クラスメソッドは引き続きAWSを中心とした支援を提供します。特にAWS European Sovereign Cloudは、これまでAWSを利用してきた顧客が主権要件を満たしながらAWSのフルパワーを活用できる重要な選択肢となります。同時に、将来的にSTACKITのような欧州主権クラウドへの取り組みも視野に入れています。特に、日本企業が欧州の公共調達や規制業界（金融、医療、公共サービス）に参入する際には、ワークロードの性質に応じた適切なプラットフォーム選択が競争優位性をもたらす可能性があります。

欧州のデジタル主権への動きは、規制対応のコストではなく、新たなビジネス機会として捉えるべきです。GDPR施行時と同様に、変革に主体的に正しく適応できた企業に最終的な利益がもたらされるでしょう。