developersIO
AWS中東リージョンからEUリージョンへの移行時に留意すべきこと ― データ保護・契約・税務の観点から

AWS中東リージョンからEUリージョンへの移行時に留意すべきこと ― データ保護・契約・税務の観点から

ベルリンだより
GDPRcookiecookiebot
FacebookHatena blogX
2026.03.04

ベルリンのしがひです。最近日本に帰朝していまして、花粉の襲来とともにドイツに舞い戻ってきました。

2026年3月1日、中東情勢の激化に伴い、AWS Middle East (UAE) リージョン(ME-CENTRAL-1)およびMiddle East (Bahrain) リージョン(ME-SOUTH-1)のデータセンターが物理的な被害を受けました。AWSは影響を受けた顧客に対し、他リージョンへの移行を強く推奨しています。

本記事では、中東・アフリカ・トルコ向けサービスを提供する事業者が、AWSの欧州リージョン(ミラノ eu-south-1、フランクフルト eu-central-1 等)へ移行する際に見落としがちな論点を整理します。「サーバーを動かすだけ」では済まない理由を、規制・契約・税務の3つの観点から解説します。

そもそも何が起きたのか

2026年3月1日未明(PST)、中東地域での軍事衝突の影響により、UAE・バーレーンのAWSデータセンターがドローン攻撃による物理的損傷を受けました。構造的な損傷、電力供給の途絶、消火活動に伴う水損が報告されています。

AWSは公式に以下の対応を示しました。

  • 影響を受けたリージョンからのデータバックアップと移行を支援するツールの復旧を優先
  • 顧客に対し、DRプランの実行と他リージョンへのトラフィック切り替えを推奨
  • 代替リージョンとして米国、欧州、アジア太平洋を提示

クラウドインフラが物理的な地政学リスクにさらされるという、これまで理論上のリスクとされていた事象が現実化したわけです。

欧州リージョン移行時の3つの論点

トルコを含む中東・アフリカ向けサービスの移行先として、レイテンシの観点からミラノ(eu-south-1)やフランクフルト(eu-central-1)は合理的な選択肢です。とくにミラノはアフリカからの海底ケーブルのほとんどがイタリアで引き上げられることから、リージョンとしての注目度が高いです。しかし、EU域内にインフラを置くということは、単なるサーバーの引っ越しとは異なる法的・実務的な含意があります。

GDPRの射程 ― 「EU在住ユーザーがいなければ関係ない」は本当か

GDPR(General Data Protection Regulation)の適用範囲は、データの物理的な保存場所ではなく、データ主体の所在地サービスの対象で決まります(第3条)。

つまり、ミラノリージョンにデータを置いても、データ主体がEU域内に所在しなければ、GDPR第3条(2)の適用要件は満たしません。中東・アフリカの利用者のみを対象とするサービスであれば、この点は概ね正しい理解です。

ただし、ここで3つの留意点があります。

留意点 1: EU在住者の「混入」リスク

「対象ユーザーにEU在住者はいない」というのは、多くの場合サービス設計上の前提であって、技術的に保証されたものではありません。中東・北アフリカ(MENA)地域向けのサービスであっても、EU圏に留学・就労・移住している現地出身のユーザーがアクセスする可能性は十分にあります。ドイツにはトルコ系を中心に約500万人のムスリムコミュニティが、フランスには北アフリカ系を中心に約600万人が居住しており、出身国向けのオンラインサービスをEU域内から日常的に利用しているケースは珍しくありません。

ジオブロッキングを実施していない限り、EU域内からのアクセスを技術的に排除していることにはなりません。この場合、意図せずGDPR第3条(2)の適用を受ける余地が生じます。

留意点 2: イタリア当局(Garante)の厳格な執行姿勢

ミラノリージョンを選択するということは、イタリアのデータ保護当局Garante per la protezione dei dati personaliの管轄圏内でデータ処理を行うことを意味します。Garanteは2022年にGoogle Analyticsの利用に対するGDPR違反認定、2023年にChatGPTの一時利用禁止など、EU圏内でも特に積極的な執行を行ってきた当局です。

GDPRが直接適用されない場合でも、EU域内のインフラで何らかのインシデントが発生した際にGaranteからの照会が入る可能性は否定できません。その際の対応窓口と手順を事前に整備しておくことは、リスク管理上合理的です。

留意点 3: ePrivacy指令

サービスがWebベースの場合、もう一つの規制軸としてePrivacy指令があります。これはGDPRとは独立、連動した規制で、端末へのクッキー設置に関する同意要件を定めています。EU域内からアクセス可能なWebサイトであれば、ユーザーの国籍やサービスの対象地域に関わらず、クッキー同意管理が求められるケースがあります。

ここまで読むと「やはりGDPRは関係ないのでは」と思われるかもしれませんが、重要なのはリスクがゼロかどうかではなく、リスクが顕在化した際の対応コストとの比較です。予防的な措置のコストが相対的に低い場合、事前対応が合理的な経営判断となります。

EU域内における運用体制 ― インフラを置くだけで十分か

AWSの欧州リージョンを利用する場合、契約面ではAmazon Web Services EMEA SARL(ルクセンブルク法人)のGDPR準拠Data Processing Addendum(DPA)が標準で適用されるため、AWS側のデータ処理に関する契約的な保護は確保されます。

しかし、AWSが守ってくれるのはあくまでインフラ層(Processor)としての責任範囲です。サービス提供者自身の責任、すなわちController側のAccountability ― たとえばインシデント発生時の当局への通知判断、データ主体からの問い合わせ対応、DPIAの実施判断など ― は、自社で果たす必要があります。

ここで実務上の課題になるのが、EU域内にオペレーション上の接点を持たない事業者が、EU域内の規制当局や利用者と適時に対話できるかという点です。

タイムゾーンと言語の壁

EU域内のデータ保護当局は、通知期限(GDPR第33条:72時間以内の当局通知)を厳格に運用しています。インシデントが欧州の営業時間中に発生した場合、アジアや中東のオフィスが翌営業日に気づいてから対応を開始するのでは、72時間の大半を浪費することになります。EU域内のタイムゾーンで初動対応を行える体制があるかどうかは、コンプライアンス上の実質的な差を生みます。

GDPR第27条 ― EU代理人の指定義務

GDPR第3条(2)の適用を受ける場合(前述の「混入」リスクが顕在化した場合)、EU域内に拠点を持たない事業者はGDPR第27条に基づきEU域内の代理人(Representative)を指定する義務があります。EU代理人の未指定はそれ自体が独立した違反事由となるため、「GDPR適用の可能性がゼロでない」と判断した時点で、予防的に代理人を設置しておくことはコスト対効果の高い措置です。

将来の規制強化への備え

EUではData Act(Regulation 2023/2854)の施行により、クラウドサービスの切替自由やデータアクセス権が強化されています。European Cybersecurity Certification Scheme(EUCS)の議論も進行中で、EU域内のクラウドサービスに対する認証要件が厳格化する方向にあります。これはクラウドサービスの利用者を利すると同時に、こうした規制動向をリアルタイムで追跡し、自社への影響を評価できるEU域内の知見を確保しておくことは、中長期的なリスク管理として有効です。

VATと税務処理

EU域内のAWSリージョンを利用する場合、付加価値税(VAT)の処理が発生します。

EU域外の事業者がAWS EMEA SARLと直接契約する場合、B2B取引としてReverse Charge Mechanismが適用される想定ですが、利用形態によってはEU VAT登録義務が発生する可能性があります。特に、EU域内のエンドユーザーにサービスを提供する場合(B2C)は、VAT One Stop Shop(OSS)制度への対応が必要になるケースもあります。

AWSの利用料そのものについては、AWS側のインボイスでVAT処理が完結するケースが多いものの、自社サービスのEU域内での課税関係は別途検討が必要です。EU域内の税務に明るいパートナーに事前確認しておくことで、後から想定外の税務リスクが発覚するのを防げます。

第三国移転の「逆適用」にも注意

見落としがちな論点として、EU域内に保存されたデータへのEU域外からのアクセスがあります。

たとえば、ミラノリージョンに配置したデータベースに対し、EU域外のオフィスから管理・分析目的でリモートアクセスする場合、これはGDPR上「EU域内から第三国へのデータ移転」に該当し得ます。

日本は欧州委員会から十分性認定を受けているため移転自体は合法ですが、十分性認定は補完的ルールの遵守を前提としており、自動的にすべてが許容されるわけではありません。トルコやエジプトなど十分性認定を受けていない国からのアクセスであれば、Standard Contractual Clauses(SCC)の締結が別途必要になります。いずれの場合も、移転の記録と適切なセーフガードの文書化は求められます。

まとめ:移行は「インフラの引っ越し」では終わらない

今回のAWS中東リージョンの事象は、クラウドインフラの地政学リスクが現実化した初めてのケースです。緊急性が高い状況だからこそ、移行先の選定に際しては技術的なレイテンシだけでなく、規制・契約・税務の観点を含めた総合的な判断が求められます。

まとめると、EU域内リージョンへの移行時に検討すべき事項は以下の通りです。

  • GDPRの射程確認: EU在住ユーザーの混入リスクの評価、ジオブロッキングの実施有無
  • ePrivacy対応: WebサービスのEU域内からのアクセスに対するクッキー同意管理
  • EU域内の運用体制: インシデント時の初動対応、当局通知、EU代理人(Art. 27)の要否検討
  • 第三国移転: EU域外からのリモートアクセスに対する移転記録と文書化(十分性認定の有無、SCCの要否)
  • VAT処理: EU VAT登録義務の有無、リセラー経由による簡素化の検討

Classmethod Europe GmbH(CME)はドイツ・ベルリンを拠点に、AWS環境の構築・運用支援と、GDPR・ePrivacy等の欧州規制対応を提供しています。EU代理人サービス、クッキー同意管理(Cookiebot)の導入支援、EU域内タイムゾーンでのインシデント初動対応など、EU域内にインフラを置く事業者に必要な実務をカバーしています。ご相談はお気軽にどうぞ。

この記事をシェアする

FacebookHatena blogX

関連記事

[廃止] AWS台北ローカルゾーン (ap-northeast-1-tpe-1a) が2027年3月2日に廃止予定です + 新規受付を停止したと思しきローカルゾーンについて
Takuya Shibata
2026.02.16
AWS 上で稼働するワークロードを GDPR に準拠させるために AWS インフラ側対応に必要な情報をまとめてみた
いわさ
2025.01.02
[新サービス] AWS Data Transfer Terminal が一般提供されました #AWSreInvent
Takuya Shibata
2024.12.02
AWSが欧州で別会社を作る理由: デジタル主権と主権クラウド、ドイツBSIが示すその設計図
しがひ
2025.12.22