ソブリンクラウド そぶりんくらうど
簡単に言うとこんな感じ!
「自国のデータは自国で管理する!」という考え方を実現したクラウドだよ。外国の法律や政府に勝手にデータを見られないよう、データの保管場所・管理権限・運用ルールをすべて国内で完結させるクラウドサービスのことなんだ!
ソブリンクラウドとは
ソブリンクラウド(Sovereign Cloud) とは、特定の国や地域の法律・規制に完全に準拠しながら、そのデータを当該国・地域内で管理・運用するクラウドサービスのことです。「ソブリン(Sovereign)」は「主権」を意味し、データ主権(Data Sovereignty) という概念がベースになっています。
従来のグローバルなパブリッククラウド(AWSやAzure、Google Cloudなど)は、データが物理的にどの国のサーバーに保存されるか利用者がコントロールしにくく、米国の「CLOUD Act(クラウド法)」などによって外国政府がデータへのアクセスを要求できる余地がありました。ソブリンクラウドはこうした問題に対応するため、データの保管場所・アクセス権・運用担当者をすべて国内に限定する仕組みを提供します。
特に政府機関・医療・金融・防衛など、機密性の高いデータを扱う組織にとって重要な選択肢となっており、EUの GDPR(一般データ保護規則) や日本の 経済安全保障推進法 などの法的要件を満たすための手段として世界中で注目されています。
ソブリンクラウドの3つの要件
ソブリンクラウドを名乗るには、単に「国内にサーバーがある」だけでは不十分です。以下の3要素をすべて満たす必要があります。
| 要件 | 内容 | 具体例 |
|---|---|---|
| データローカライゼーション | データの保管・処理が指定国内で行われること | 国内のデータセンターのみ使用 |
| 運用主権 | 運用・管理を国内事業者または国内法人が担うこと | 外国企業の親会社がアクセス不可 |
| 法的主権 | 外国の法律による強制アクセスを受けないこと | CLOUD Actの適用外にする契約・構造 |
ポイントの覚え方:「データ・人・法」の三権分立
ソブリンクラウドの3要件は「データ(どこに置くか)・人(誰が触るか)・法(どの法律が適用されるか)」の3つと覚えると整理しやすいです。この3つがすべて国内・国内法に収まって初めてソブリンクラウドといえます。
ソブリンクラウドの実装レベル(段階別)
実装の深さにはグラデーションがあります。
| レベル | 名称 | 内容 |
|---|---|---|
| Lv.1 | データ残留 | データが物理的に国内サーバーに保存される |
| Lv.2 | 運用分離 | 国内チームのみが運用・管理し、海外からのアクセスを遮断 |
| Lv.3 | 法的分離 | 外国法律の影響を受けない法人・契約構造で運営 |
| Lv.4 | 完全ソブリン | 国産技術・国産ソフトウェアで自国完結(最も厳格) |
歴史と背景
- 2013年 — エドワード・スノーデンによるNSA(米国家安全保障局)の大規模監視プログラムの暴露。欧州を中心に「自国データを米国企業に預けて大丈夫か?」という懸念が爆発的に高まる
- 2016年 — EUが GDPR を制定(施行は2018年)。EU市民のデータを域外に持ち出す際の厳格なルールが定まり、ソブリンクラウドへの需要が急増
- 2018年 — 米国で CLOUD Act(Clarifying Lawful Overseas Use of Data Act) 施行。米国企業が海外に持つデータも米政府の令状で開示義務が生じると明確化され、欧州各国が反発
- 2019年 — フランス・ドイツ主導で GAIA-X(ガイア-X) プロジェクト発足。欧州独自のデータ基盤・クラウド標準を作る試み
- 2020年代前半 — Microsoft(Azure Government)、Google(Assured Workloads)、AWS(GovCloud)などが相次いでソブリンクラウド対応サービスを本格展開
- 2022年 — 日本でも 経済安全保障推進法 が成立。重要インフラのクラウド利用において安全保障上のリスク管理が義務付けられ、国内のソブリンクラウド議論が活発化
- 2023年〜 — 日本政府の ガバメントクラウド 整備が加速。さくらインターネットが国産クラウドとして採択され、ソブリンクラウドの観点から国産・準国産サービスへの注目が集まる
ソブリンクラウドと従来クラウドの違い
主な提供形態と代表例
| 形態 | 説明 | 代表例 |
|---|---|---|
| グローバルベンダー型 | AWS・Azure・Googleが各国向けに運用分離した専用環境を提供 | Microsoft Azure Sovereign、AWS GovCloud |
| 合弁・ライセンス型 | 外国クラウド技術を国内企業がライセンス受けて運用 | T-Systems(独)× Google Cloud |
| 国産クラウド型 | 完全に国産の技術・企業で構築 | さくらインターネット(日本)、OVHcloud(仏) |
| 政府専用型 | 政府機関専用に構築されたプライベートクラウド | 日本政府ガバメントクラウド |
発注・選定時に確認すべきチェックポイント
ビジネスパーソンがソブリンクラウドを検討・発注する際に押さえておきたいポイントをまとめます。
-
✅ データの物理的保管場所は契約で明記されているか?
「国内に置く」というSLA(サービスレベル合意)が契約書に含まれているか確認する -
✅ 運用担当者の所属国・アクセス権限は制限されているか?
海外の親会社エンジニアがアクセスできない仕組みがあるか確認する -
✅ 準拠法・紛争解決地は国内か?
契約の準拠法が日本法であるか、紛争時は国内裁判所で解決できるか確認する -
✅ 経済安全保障上のリスク評価を実施しているか?
重要インフラ・重要技術に関わる調達の場合は経済安保の観点が必要
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| ISO/IEC 27017 | クラウドサービスの情報セキュリティ管理策ガイドライン |
| ISO/IEC 27018 | クラウド上の個人情報保護に関する実施基準 |
関連用語
- ガバメントクラウド — 日本政府が推進する行政システム向けクラウド基盤
- データローカライゼーション — データを特定の国・地域内に保管することを義務付ける規制・方針
- GDPR — EUの一般データ保護規則。個人データの収集・利用・移転を厳格に規定
- クラウドコンピューティング — インターネット経由でITリソースを提供するサービスモデル
- 経済安全保障 — 経済活動を通じた国家安全保障上のリスク管理の考え方
- マルチクラウド — 複数のクラウドサービスを組み合わせて利用する戦略
- ISMAP — 日本政府が定めるクラウドサービスのセキュリティ評価制度
- ゼロトラスト — 「信頼しない、常に検証する」を原則とするセキュリティモデル