公開:2025年5月4日 /更新:2025年5月4日 - 著者: Konrad Wolfenstein
サーバーの場所がデータセキュリティを保証しない理由
マイクロソフトは最近、スイスでのソースコードの保護やクラウドインフラストラクチャの拡大など、ヨーロッパへの広範な投資を発表しました。これらの措置は、ヨーロッパの顧客の政治的不確実性と懸念の高まりに対応して解釈されます。これらの努力にもかかわらず、米国の法律と欧州のデータ保護規制の間には根本的な対立があり、欧州のサーバーの場所が実際に十分な保護を提供できるかどうかという問題を提起します。このレポートは、Microsoftのヨーロッパの保証を分析し、米国クラウド法とGDPRの法的対立を説明し、データの物理的位置だけがデータセキュリティと主権の保証を提供しない理由を調べます。
に適し:
マイクロソフトのヨーロッパの新しいデジタル保証
トランプ政府の下で行われた貿易闘争と突然の政治的決定を考慮して、多くのヨーロッパの顧客は米国のデジタル製品に対する信頼を失いました。 Microsoftは、ヨーロッパへの具体的な保証と投資でこれに反応します。
大規模なインフラ投資
Microsoftは、今後2年間でヨーロッパのデータセンター能力を約40%拡大し、合計16か国に拡大すると発表しました。この拡大のために、同社は2桁の10億ドルの高さへの年間投資を計画しています。これらの措置は、クラウドサービスとAIインフラストラクチャの需要の高まりに役立つだけでなく、ヨーロッパの顧客の信頼を強化する必要があります。
マイクロソフトの正義であり社長のブラッド・スミスは、彼のブログ投稿でヨーロッパとの緊密な経済的つながりを強調し、マイクロソフトがこの地域から撤退しないことを保証します。欧州のデータセンターは独立して行動し、EU市民の指示の下にあり、欧州の法律を尊重および実施する必要があります。
スイスのソースコードセキュリティと運用継続性
特に顕著な保証は、スイスでマイクロソフトのソースコードを保護することです。同社は、スイスの安全なデータストレージにソースコードのバックアップを作成し、欧州パートナーに法的アクセス権を付与しています。この措置は、マイクロソフトがヨーロッパでのサービスを止めることを強制されるべきである「ありそうもない事件」の緊急計画として機能します。
マイクロソフトはまた、ヨーロッパのパートナーに名前を付け、運用上の継続性を保証する緊急注意事例を取ることを計画しています。これは、ブルーとデロスのデータセンターとのフランスとドイツのパートナーシップによってすでに実装されています。
EUのデータ制限:データ保護懸念に対するMicrosoftの回答
ヨーロッパにおけるMicrosoftの戦略の中心的な要素は、Microsoft Cloudのいわゆる「EUデータ制限」(EUデータ境界)の実装です。
EU内の包括的なデータレジデンス
2024年1月以来、商業および公共部門のヨーロッパの顧客は、Microsoft 365、Dynamics 365、Power Platform、Azure Servicesを含むMicrosoftを含む中央クラウドサービスのすべてのデータとユーザーの検出を保存および処理することができました。 EUのデータ制限の3番目と最後のフェーズは2025年2月に完了し、制限はテクニカルサポートのやり取りからMicrosoft Professionalサービスデータに拡大されました。
このオファーにより、Microsoftは他の多くのクラウドプロバイダーよりもさらに一歩進んでいます。同社は、顧客データのローカルストレージと処理を可能にするだけでなく、自動的に作成されたデータを含むすべての個人データからも可能です。
追加のセキュリティオプション
Microsoftは、ヨーロッパの顧客に、データを保護および暗号化するためのいくつかのオプションを提供します。これには、Azureの機密コンピューティングが含まれます。これには、Microsoft自体の顧客データを含む第三者を防止します。また、Azure、Dynamics 365、Microsoft 365の「ロックボックス」機能が含まれ、Microsoftがデータにアクセスする前に顧客をチェックおよび承認できます。
その他のセキュリティオプションには、Azure Key VaultやMicrosoft Purview Customer Keyが含まれます。これにより、顧客は自己制御された暗号化テクノロジーでデータを保護できます。
基本的な対立:クラウド法とGDPR
すべての努力と保証にもかかわらず、欧州企業のデータが米国のプロバイダーから本当に安全であるかどうかという問題を提起する根本的な法的対立があります。
クラウド法の領土範囲
2018年に施行されたクラウド法(法的な海外データ法を明確にする)により、米国の刑事訴追当局は、データが物理的に保存されている場所に関係なく、米国に拠点を置く企業にデータへのアクセスを許可させることができます。これは、EUに保存されているデータにも適用されますが、米国企業またはその子会社によって管理されています。
この法律は、米国で保管されていない場合、米国当局が保存されたデータへのアクセスにもアクセスできるようにすることを、アメリカのインターネット企業とITサービスプロバイダーに義務付けています。関係する企業は、データの所有者が米国市民ではなく、会社が他の国で法律に違反する場合、反対する権利を有する権利があります。これは、現在英国の訴訟のみであるクラウド法に基づいて合意を締結した国にのみ適用されます。
GDPRとの矛盾
欧州一般データ保護規則(GDPR)は、クラウド法と直接矛盾しています。 GDPRの第48条は、法的支援契約なしにEU内で保護されたデータの譲渡を企業に禁止しています。この規定の違反は、最大2,000万ユーロまたは世界の年間売上高の4%の罰金で処罰される可能性があります。
米国のクラウド法とEUの一般的なデータ保護規制のこの非互換性は、クラウドサービスを使用していない企業を解決できないジレンマにもたらします。彼らは、クラウド法に違反するか、GDPRに反対するかのいずれかの選択に直面していますが、どちらも重要な制裁につながる可能性があります。
に適し:
サーバーの場所がデータセキュリティを保証しない理由
広範な仮定に反して、データがドイツまたはEU内のサーバーに保存されているという単なる事実は、外国のアクセスに対する十分な保護を提供していません。
場所の選択によるデータセキュリティのエラー
ドイツのサーバーのデータが外国のアクセスに対して自動的に保護されているという信念は、「危険なエラー」と呼ばれます。欧州連合のデータセンターに個人データが保存されていても、アメリカのクラウドプロバイダーは、犯罪捜査の文脈でこのデータを米国当局に渡すことを法的に義務付けることができます。
特に、クラウドプロバイダーが米国に本社を置いているか、そこで機能している場合、米国のインフラストラクチャまたは米国企業を介したデータ処理がデータに直接アクセスできるか間接的なアクセスを介して処理している場合、特定のリスクがあります。そのような場合、ヨーロッパに関係する人々の知識や同意がなくても、米国当局が個人データへのアクセスを受け取る可能性があります。
知的財産とビジネスの秘密に対する脅威
この問題は、個人データの保護をはるかに超えています。クラウド法には、知的財産、F&Eプロトタイプ、顧客データ、プライベートコミュニケーションなど、あらゆる種類の機密データのセキュリティと機密性を危険にさらす真のリスクがあります。
データがEUデータセンターに保存されている場合でも、Cloud Act US Companyはこのデータをこのデータの公開に強制することができます。これは、GDPRの保護とEUのデータ主権を損なうだけでなく、プロトタイプや戦略計画などの重要なビジネス情報、不正アクセスのリスクも公開します。
米国当局の潜在的なアクセスオプションのため、「企業は実際、彼らの情報、したがって知的財産について主権を失います」。
より多くのデータ主権のためのソリューションがアプローチします
説明されている問題を考慮して、データの主権を保護するために企業がどのような対策を講じることができるかについて疑問が生じます。
代替クラウドプロバイダーと技術的手段
クラウド法に基づくアクセスに対する効果的な保護は、すべてのプロバイダーと従業プロバイダーが米国の法律以外で行われ、ヨーロッパのみのインフラストラクチャが使用され、ユーザーキーコントロールのみでエンドツーエンドの暗号化が実装されている場合にのみ保証されます。
したがって、専門家は、クラウドストレージまたはバックアッププロバイダーを選択する際に、次の予防策を講じることをお勧めします。
- クラウド法の対象ではないEUベースのプロバイダーの選挙
- データと暗号化キーの両方がEU内に完全に残るデータ主権の保証
- GDPRとデータ保護を専門とする法律およびコンプライアンスの専門家の追加
代替アプローチ:戦略としてのオープンソース
スイスは興味深い代替方法に進んでいます。2023年4月、電子リソースの使用に関する連邦法は、政府のソフトウェアがオープンソースであり、ソースコードを開示する必要があることを規定する当局(Embag)を満たすことを決定しました。
この法律のために戦ったバーン応用科学大学のマティアス・スチュルマー教授は、それを「国家、IT産業、社会にとって大きな機会」と表現しています。このアプローチは、企業がデジタルビジネスソリューションを拡大できるようにするために、公共部門のプロバイダーのコミットメントを削減し、納税者のITコストとより良いサービスに潜在的につながる可能性があることを目的としています。
本当のデジタル主権への道
Microsoftのヨーロッパへの投資とEUのデータ制限の実施は、欧州企業や公的機関のより多くのデータ主権に向けた重要なステップです。しかし、彼らは、米国のクラウド法と欧州GDPRの間の根本的な法的対立に完全に対処していません。
クラウドプロバイダーが米国の法律の対象である場合、欧州サーバー上のデータの単なる保存は、米国当局による潜在的なアクセスに対する十分な保護を提供しません。これは、データ保護に疑問を呈するだけでなく、欧州企業の知的財産とビジネスの秘密を脅かしています。
したがって、実際のデジタル主権のために、法的側面と技術的側面の両方を考慮に入れるより広範なアプローチが必要です。これには、米国の法律の範囲外で完全に動作するクラウドサービスの使用、ユーザー側のキーコントロールを備えた一貫したエンドツーエンドの暗号化、およびおそらくオープンソースソリューションへの投資の増加も含まれます。
最終的に、ヨーロッパは、技術的にだけでなく、法的自信もある独自の独立したクラウドインフラストラクチャを必要としています。それまでは、企業や公的機関は、どこでどのように保存するか、どのプロバイダーが信頼できるかを慎重に検討する必要があります。
に適し:
あなたのグローバルマーケティングおよびビジネス開発パートナー
☑️ 私たちのビジネス言語は英語またはドイツ語です
☑️ NEW: 母国語での通信!
喜んで個人アドバイザーとしてあなたと私のチームにお役に立ちたいと思っています。
お問い合わせフォームにご記入 +49 89 89 674 804 (ミュンヘン)までお電話ください。私のメールアドレスは: wolfenstein ∂ xpert.digital
私たちの共同プロジェクトを楽しみにしています。