ソブリンクラウドとは何か――「どこにあるか」だけでなく「誰が支配するか」
ソブリンクラウドという言葉は「データが国内にあるクラウド」という意味だけで使われることもありますが、より本質的には「特定の国・地域の法律とガバナンスの下で、データと運用の支配権を確保するクラウド」を指します。
従来のクラウドでも、EUのGDPRや日本の個人情報保護法に対応するために「データを特定リージョンに保存する」仕組みは一般化していました。しかし、クラウド事業者の多くは米国企業であり、米国のCLOUD Actのような域外適用法によって、海外当局からのデータ開示要求を受けるリスクがあるのではないか、という不安は残り続けていました。
ソブリンクラウドは、こうした懸念に対し、次のような追加的な要素を組み合わせて対応しようとします。たとえば、運用組織を欧州(あるいは特定の国)に本社を置く別会社とし、データセンターや運用要員を完全に地域内で完結させること、暗号鍵管理を現地主体のみに委ねること、運用ポリシーと監査を地域の規制当局の基準に合わせることなどです。
欧州のデジタル主権を掲げる「Gaia-X」プロジェクトは、クラウドやデータサービスを「連合的(フェデレーテッド)」に接続しつつ、利用者がデータの所在やガバナンスを選択できる枠組みを整備しようとしており、「誰がサービスを提供しようとも、最終的なコントロールは欧州側に残す」という思想を体現しています。
言い換えれば、ソブリンクラウドとは「クラウド技術の利便性を維持しながら、国家として・産業としての交渉力や安全保障リスクをコントロールするための仕組み」であり、純粋な技術トレンドであると同時に、政治・法制度・安全保障のトレンドでもあるのです。
欧州を中心に進む「主権クラウド」構築競争
ソブリンクラウドの最も活発な実験場は、今のところ欧州です。背景には、米系クラウドの圧倒的な市場支配力と、GDPRや米CLOUD Actなどをめぐる法的・政治的な緊張関係があります。
フランスでは、2021年に「cloud de confiance(信頼できるクラウド)」というドクトリンを掲げ、国家機関や戦略的産業のデータを守るための主権クラウド構想を進めてきました。2024年にはOrangeとCapgeminiが共同で設立した事業会社「Bleu」が商用活動を開始し、Microsoft AzureやMicrosoft 365の技術を用いながらも、データセンターはフランス国内、運用はフランス企業の管理下で行うという形で、ソブリンクラウドを提供し始めています。同じくフランスでは、ThalesとGoogleの合弁「S3NS」も、国家の認証スキームSecNumCloud取得を目指す“準主権”クラウドとして位置づけられています。
ドイツではSAP子会社のDelos Cloudが、Microsoftと組んで公共セクター向けの主権クラウドを展開しており、EU全体としてもGaia-Xのもとで医療・エネルギーなど各産業のデータスペース構築が進展しています。
米大手クラウド事業者も、こうした動きに合わせてソブリンクラウド向けの商品ラインを急速に拡充しています。AWSは「AWS European Sovereign Cloud」を発表し、既存リージョンとは完全に独立した欧州向けクラウドを2024年から順次提供開始しました。欧州内でデータ保存・処理・管理を完結させ、運用には欧州籍の従業員のみが関与する構成とし、2025年には欧州本社の専業子会社を立ち上げるなど、「欧州側の主権コントロール」を前面に出しています。
Microsoftは「Microsoft Cloud for Sovereignty」を通じて公共セクター向けのソブリンクラウド機能を提供し、EU Data Boundaryや各国向けローカルクラウド(Azure Local / Microsoft 365 Local)を拡張することで、2025年末までに日本を含む複数市場で「国境内処理」を可能にする計画を打ち出しました。Google CloudもEU向けの「Sovereign Controls for EU」や、欧州サービス事業者との提携により、暗号鍵管理・データアクセス制御を現地主体に委ねるソブリンクラウド・サービスを展開しています。
こうした中、2024年時点でソブリンクラウド市場の約37%を欧州が占めており、まさに欧州が主戦場となっていることが分かります。一方で、フランス紙などは「米巨大クラウドへの依存は依然として高く、国産クラウドだけで対抗するのは難しい」と批判的に報じており、主権と利便性のバランスを巡る議論は現在進行形で続いています。
アジア太平洋と日本――ソブリンAI、規制、地政学が押し上げる新潮流
ソブリンクラウドの成長は欧州だけの現象ではありません。IDCの分析によれば、日本を除くアジア太平洋地域のソブリンクラウド市場は、2027年までに3,670億ドル規模に達し、2022〜2027年の年平均成長率は31%超と予測されています。中国やインド、東南アジア諸国では、データローカライゼーション法やサイバーセキュリティ法制の強化により、自国のクラウド、あるいは自国企業が運営に深く関与する形のハイブリッド・ソブリンクラウドへの需要が急拡大しています。
日本でも、これまでは「ガバメントクラウド」やISMAP(政府情報システムのためのセキュリティ評価制度)といった枠組みを通じて、政府情報システム向けのクラウド利用が段階的に整備されてきました。近年はさらに「ソブリンAI」というキーワードのもと、AI基盤とクラウドインフラをセットで自前化・多元化しようとする動きが加速しています。
経済産業省は2024年から本格化した「GENIAC」事業を通じて、東京大学や富士通などによる国産基盤モデル開発や、その実行基盤となるクラウド・計算資源の整備を支援しています。また、産業技術総合研究所は次世代AIスーパーコンピューター「ABCI 3.0」を、日本のAIソブリンインフラの中核として位置づけています。さらに、さくらインターネットやソフトバンクといった国内事業者への大規模支援により、「国内データセンター+AI特化クラウド」を組み合わせたソブリンクラウド的なエコシステムを構築しようとする流れも見られます。
こうした動きの背景には、生成AIを活用するうえで、医療・金融・防衛などの機微データをどこまで国外クラウドに預けてよいのかという懸念があります。単に「物理的に日本国内にサーバーがあるかどうか」だけではなく、「運用権限を持つのはどの法人か」「暗号鍵やログの管理を誰が握っているか」「外国の法執行機関からの要請にどう対応するか」といった、より踏み込んだ主権設計が求められています。
企業側から見れば、こうしたソブリンクラウドやソブリンAIの動きは、単なる“お上の話”ではありません。世界的に、金融・公共・インフラなど規制産業に対しては、DORA(EUの金融セクター向けレジリエンス規制)のように「クラウドを含む外部ITサービスの集中リスク」を監督当局が直接モニタリングする枠組みも整いつつあり、主要クラウド事業者が“クリティカルな第三者”として名指しされる時代になっています。つまり、「どのクラウドをどう組み合わせて使うか」は、技術選定であると同時に、ガバナンス上の経営判断になってきているのです。
「どのクラウドを選ぶか」から「主権アーキテクチャをどう設計するか」へ
最近のソブリンクラウドの動向を俯瞰すると、三つの大きな潮流が浮かび上がります。第一に、欧州を中心に「主権」を掲げたクラウド市場が急成長し、AWSやMicrosoft、Googleといったハイパースケーラーも本格的にソブリンクラウドラインを展開し始めたこと。第二に、アジア太平洋でもデータローカライゼーションや地政学リスクへの備えから、各国が独自のクラウド戦略を打ち出し、市場が高い成長率で拡大していること。第三に、日本においてもガバメントクラウドやソブリンAIを軸に、国内クラウド事業者やAIインフラへの投資が強化されていることです。
日本企業にとって重要なのは、「ソブリンクラウドだから安全」「海外クラウドだから危険」といった単純な二分法ではなく、自社の事業と規制環境、扱うデータの機微度、サプライチェーン上のリスクを踏まえた“主権アーキテクチャ”を設計することです。具体的には、基幹システムや機微データはソブリンクラウド(あるいは国内クラウド+自社データセンター)に寄せつつ、グローバルな拡張性や最新AIサービスが必要な領域では大手ハイパースケーラーを活用するなど、マルチクラウド/ハイブリッド構成の中で「どこまで主権を確保したいか」をレイヤーごとに描き分ける発想が求められます。
ソブリンクラウドの市場は、今後も技術だけでなく政治・規制・安全保障の変化に大きく揺さぶられることが予想されます。その中で日本企業が取りうる選択肢を広げるためには、国内外のクラウド事業者・パートナーとの関係性を戦略的に設計し、「主権」と「イノベーション」の両立を図る視点が欠かせません。
Read More from This Article: ソブリンクラウド最前線――国家とクラウドが「主権」を取り戻そうとしている
Source: News