衝撃的な暴露：マイクロソフトが欧州当局者を米国に引き渡す方法

危険な依存関係：米国法が欧州のデータ保護法を単純に凌駕する場合

TikTok対マイクロソフト：データ主権に関する苦い二重基準

一見技術的な手続きが、本格的な政治スキャンダルへと発展した。マイクロソフトは、欧州当局者の氏名が伏せられていない内部文書を米国議会に提出したのだ。影響を受けたのは、まさに米国の巨大テクノロジー企業に対して厳格なデジタルサービス法（DSA）を執行する責任を負う規制当局者たちである。この事件は、いわゆる欧州の「デジタル主権」という危険な幻想を容赦なく暴き出した。欧州各国政府や当局は、米国のハイパースケーラーによる「主権クラウド」ソリューションに頼り続けているが、クラウド法のような米国の法律や、議会からの召喚状といった単純な手段でさえ、欧州の安全策を容易に損なう可能性があることが、法的な現実によって明らかになった。この事件は、いざとなれば米国のテクノロジー企業がワシントンの延長として行動せざるを得ないことを鮮明に示しており、欧州は、独自の独立したインフラなしに真のデータ主権を実現することは、単なる空想に過ぎないという痛ましい現実を突きつけられている。.

ヨーロッパのデジタル主権は約束ではなく、幻想に過ぎない。

2026年5月、オランダのニュース雑誌「Vrij Nederland」は、技術的には目新しいものではないものの、政治的に非常に大きな影響を及ぼす事件を報じた。マイクロソフトは、電子メール、会議議事録、招待状などの内部文書を、言及されているオランダ当局者の名前を伏せることなく、米国下院の調査委員会に提出していたのだ。影響を受けたのは、オランダ消費者市場庁（ACM）とオランダデータ保護庁（AP）の職員であり、まさにデジタルサービス法（DSA）の執行を担当する機関である。.

過度の単純化を避けるため、ここでは正確さが重要です。当初の報道とは異なり、今回の件は、米国当局がクラウドに保存されている顧客データにアクセスする典型的なクラウド法に基づく要請ではありません。法的根拠は下院の召喚状であり、マイクロソフトは自社の内部業務文書、つまりマイクロソフトの政府渉外チームと欧州当局との間の通信を提出するよう強制されました。入手可能なすべての情報によると、これらの文書で当局者の名前が匿名化されなかったのは、召喚状の明示的な内容ではなく、マイクロソフト側の企業としての不手際でした。.

しかし、こうした技術的なニュアンスは、この事件の根本的な政治的爆発性を変えるものではなく、むしろそれを悪化させる。メッセージは明確だ。米国の政治機関が、米国にとって政治的な悩みの種となっている法案に取り組む欧州の規制当局者の身元情報を入手するのに、クラウド法を完全に適用する必要すらない。議会による簡単な召喚状で十分なのだ。.

オランダのウィレミイン・アールツ国務長官は、名前の公表を「好ましくない」と述べ、ジョー・ポポロ駐米大使との会談を求めた。エリック・ファン・デル・ブルク国務長官は、データが共有された正確な経路について調査を行うと発表した。これらの反応は組織的な不安を示しているものの、事態の深刻さに見合うだけの対応には程遠い。.

政治的動機：DSAはブリュッセルとワシントンの間の戦場である

この事件を完全に理解するには、地政学的な背景を考慮する必要がある。2023年8月から大手プラットフォームに、2024年2月からはすべてのデジタルサービスに適用されているデジタルサービス法は、Google、Meta、Microsoftなどの企業に対し、コンテンツのモデレーション、アルゴリズムの透明性、違法コンテンツからのユーザー保護に関するより厳格な要件を満たすことを義務付けている。トランプ政権と共和党が多数を占める下院の多くの議員は、この法律を、規制を通じて米国のテクノロジー企業を苦しめ、言論の自由を侵害するヨーロッパ型の検閲の試みとみなしている。.

この敵意は既に具体的な結果をもたらしている。米国は、DSAの「父」と称される元EU委員のティエリー・ブルトン氏に米国への入国禁止措置を課した。ロイター通信は、ワシントンがDSAの執行責任者に対する制裁措置を検討していると報じた。こうした状況下で、今回特定されたオランダ当局者は、抽象的なプライバシー侵害を受けただけでなく、この未編集データに基づいて、理論的には制裁リストに掲載されたり、米国への入国禁止措置を受けたりする可能性がある。.

下院は、データセキュリティ協定（DSA）に対する批判を裏付ける証拠を得るため、グーグル、メタ、マイクロソフトといったテクノロジー企業に対し、欧州の規制プロジェクトの実施に関する社内文書の提出を具体的に要求した。マイクロソフトはこの要求に応じた。米国企業であるマイクロソフトは、自国の議会の指示に従わなければならない。欧州当局者の名前が伏せられずに残されたのは、過失によるものか、意図的な計算によるものかはともかく、結果は同じである。.

クラウド法：ヨーロッパが今日まで過小評価してきた法律の解剖

オランダでの具体的な事件はクラウド法に直接該当するものではないものの、欧州機関の構造的な脆弱性を完全に理解するには、この法律を理解することが不可欠である。米国議会は2018年3月23日に「データの海外における合法的な使用を明確化する法律」を可決した。この法律は1986年の保存通信法を拡張し、これまで論争の的となっていた点を明確にした。すなわち、FBI、司法省などの米国当局は、米国内のサーバーに保存されているか欧州内のサーバーに保存されているかに関わらず、米国のテクノロジー企業に対し、所有、保管、または管理している電子データの引き渡しを要求できるというものである。.

皮肉なことに、この法律の発端となったのは、マイクロソフト自身が起こした訴訟だった。同社は、アイルランドのサーバーに保存されていた顧客データの引き渡しを拒否し、当時の米国法には域外適用がないと主張した。最高裁判所がこの件について判決を下そうとしていた矢先、クラウド法が制定され、法の域外適用範囲が明確に定められたことで、この訴訟は事実上無効となった。マイクロソフトが法律の抜け穴を利用しようとした試みは、最終的にその抜け穴を法律で塞ぐ結果となったのだ。.

この法律には2つの重要な仕組みがある。第一に、米国のプロバイダーは、刑事犯罪の十分な根拠を示す司法捜索令状がある場合、米国当局からの要請に応じて直ちにデータを開示する義務を負う。第二に、米国は他国と二国間「行政協定」を締結し、相互に直接データアクセスを確立することを認めている。米国はこの枠組みを既に英国およびオーストラリアと実施している。EUとは現在このような協定が存在しないため、米国のクラウドサービスを利用する欧州のユーザーにとって、非対称な状況が続いている。.

特に問題となるのは、いわゆる「情報開示禁止命令」である。当局は、データ提供事業者に対し、保留中のデータ要求について影響を受ける顧客に最大180日間通知しないよう強制することができる。これは、GDPRの透明性の原則に根本的に反するものであり、欧州の顧客にサービスを提供する米国企業にとって、構造的なコンプライアンス上のジレンマを生み出す。.

クラウド法とGDPRの間の根本的な法的矛盾

クラウド法と一般データ保護規則（GDPR）の間の対立は、些細なものではなく、二つの競合する法域間の未解決の法的な紛争である。GDPR、特に第48条は、第三国へのデータ移転は、相互法的支援条約（MLAT）などの国際協定、またはその他の適切な保護措置に基づいてのみ行うことができると規定している。クラウド法はMLATを完全に回避し、欧州の裁判所やデータ保護当局の関与なしに、米国当局が一方的に直接アクセスすることを可能にしている。.

これは、影響を受ける企業にとって典型的なコンプライアンス上のジレンマを生み出します。米国政府の命令に従う企業は、GDPR違反のリスクを負い、最大2,000万ユーロまたは全世界年間売上高の4%の罰金を科される可能性があります。一方、米国の命令を拒否する企業は、米国法に基づく制裁と米国における法的影響のリスクを負います。米国のクラウドプロバイダーはこの矛盾に挟まれ、欧州の顧客は訴訟当事者ではないにもかかわらず、そのリスクを負うことになります。.

欧州データ保護委員会（EDPB）と欧州データ保護監督機関（EDPS）は、2019年の共同声明で、クラウド法はEUデータ保護法の下で米国当局へのデータ移転を合法化するための選択肢が非常に限られていることを明確にした。欧州司法裁判所の2020年のシュレムスII判決は、プライバシーシールドの枠組みを無効とし、契約上の保護措置だけでは外国のアクセス権を覆すことはできないことを明確にすることで、この評価を裏付けた。.

マイクロソフトの公約と、組織的な強制の現実

マイクロソフトは長年にわたり一貫したコミュニケーション戦略を貫いてきた。それは、不当な米国政府の要請に対して法的措置を取るというものであり、過去にも成功例があり、あらゆる手段を用いて顧客データを保護するというものだ。マイクロソフトの副会長であるブラッド・スミス氏は、オランダの公共放送NOSに対し、「米国の裁判所命令は米国外に保存されている情報にも適用される可能性があるが、我々はこれを法廷で争うだろう」と語った。

この保証は安心感を与えるように聞こえるが、この立場の構造的な限界を覆い隠している。今回の事件は、マイクロソフトが異議を唱えることができた、あるいは異議を唱えるつもりもなかった要求だった。同社は、第三者の匿名化に特別な注意を払うことなく、議会の召喚状に単に従っただけである。さらに、マイクロソフトは様々な国際的な場で、最終的には欧州ユーザーのデータ主権を絶対的に保証することはできないと認めている。2025年6月、フランス上院において、マイクロソフトの法律顧問であるアントン・カルニオー氏は宣誓証言を行い、フランス当局の許可なしにフランス国民のデータが米国の企業に転送されることは決してないとは保証できないと述べた。マイクロソフトはスコットランド警察当局への書簡で、「M365のデータ主権を保証することはできない」と述べている。.

これらの認識は単なる法的保護措置ではない。これらは、米国のテクノロジー企業が置かれている構造的な現実を物語っている。つまり、サーバーの設置場所や、欧州の顧客との契約内容に関わらず、米国法の適用を受けるということだ。.

広範囲に影響を及ぼす前例：国際刑事裁判所事件

オランダの事例は孤立した事件ではなく、むしろ憂慮すべき一連の出来事の一部である。2025年にも、トランプ政権の指示を受けたマイクロソフトは、トランプ大統領が制裁を課した国際刑事裁判所（ICC）の主任検察官、カリム・カーン氏の公式メールアカウントをブロックした。ICCは皮肉にもオランダのハーグに拠点を置いている。マイクロソフトは米国政府の命令を実行し、国際法機関の最高責任者からデジタルアクセスを奪ったのである。.

その後、カーン氏はスイスの通信事業者プロトンメールのサービスに切り替えざるを得なくなった。欧州の政治家や国際法専門家はこれに憤慨したが、そのパターンは明らかだ。米国政府の命令があれば、米国のテクノロジー企業はたちまち米国の外交政策の延長線上にある存在となる。サービス契約、データ保護に関する約束、そして組織の中立性は、このシステムにおいては二の次なのだ。.

マイクロソフトは、今回のサービス停止は国際刑事裁判所（ICC）との協議の上で実施され、制裁対象はカーン個人のみであり、組織全体には適用されないと述べている。しかし、この区別は現実を無視している。国際機関の業務インフラが米国のクラウドサービスに依存している場合、その機関は構造的に米国の制裁命令に対して脆弱となる。.

業界重点分野：B2B、デジタル化（AIからXRまで）、機械工学、物流、再生可能エネルギー、産業

詳細はこちら:

• エキスパートビジネスハブ

洞察と専門知識を提供するテーマ別ハブ:

• 世界および地域の経済、イノベーション、業界特有のトレンドを網羅した知識プラットフォーム
• 当社の主要重点分野に関する分析、洞察、背景情報のコレクションです。
• ビジネスとテクノロジーの最新動向に関する専門知識と情報を提供する場所
• 市場、デジタル化、業界のイノベーションに関する情報を探している企業のためのハブ。

二重基準論：アメリカのTikTokとヨーロッパのマイクロソフトの比較

ここで、公の議論ではほとんど明示されないものの、考慮すべき点が一つある。米国は、中国の親会社が理論的にはユーザーデータを中国政府に渡したり、コンテンツを検閲したりする可能性があるという理由で、TikTokを禁止、あるいは売却を強制した。この措置は、証明された事件に基づくものではなく、リスクシナリオに基づいた国家安全保障上の理由によって正当化された。.

同時に、ヨーロッパは、米国がTikTokを「主権クラウドの画期的な進歩」として目指している構造的に同じモデル、つまり外国企業が現地インフラを運用しながらも、本国の管轄下に留まるモデルを称賛している。唯一の違いは、ヨーロッパの場合、「外国」とは米国であり、ヨーロッパにはこの依存関係を特定し、解消するための戦略的な決意が欠けているということだ。.

米国ではクラウド法は正当な法執行手段とみなされている。一方、ファーウェイやバイトダンスといった企業を通じて中国が持つ同様の能力は、国家安全保障上のリスクとみなされている。いずれの場合も、欧州は競争力のある独立したデジタルインフラを構築していないため、交渉の場で優位に立つことができない。.

ヨーロッパの反応：政治的洞察力と構造的慣性の間で

欧州の諸機関は、少なくとも建前上は、事態の深刻さを認識している。2025年3月には早くも、オランダ議会の過半数が政府に対し、機密性の高い政府データの米国クラウドサービスへの移行を中止し、独自の欧州ソリューションを開発するよう求めた。オランダ会計検査院の調査によると、1,588の政府クラウドサービスのうち、700が米国のオープンプラットフォームに基づいていた。.

2026年4月、DSA事件が公になる以前に、オランダ政府はドイツのプロバイダーであるSTACKIT（リドル・グループのデジタル部門であるシュワルツ・ディジッツ）と基本合意を締結した。この合意は、EU域内でのみ法的に準拠したデータ保存を保証するとともに、政府による監査権も盛り込んでいた。また、サービスの管理権が欧州経済領域外に移管された場合は契約を解除できる条項も含まれていた。これは、短期的な運用上の解決策というよりは政治的な声明に近いものであったとしても、重要な意味を持つ。なぜなら、オランダ当局の既存のITインフラは、当面の間、大部分が米国の管理下にあるからである。.

EUレベルでは、欧州委員会は2026年4月に、主権クラウドサービスに関する最大1億8000万ユーロ相当の契約を、欧州のプロバイダー4社に授与した。これらのプロバイダーは、Post Telecom、OVHcloud、CleverCloudからなるルクセンブルク・フランス合弁企業、STACKIT、Scaleway、そしてProximus（S3NS、Clarence、Mistralを含む）である。入札プロセスは、データ所在地、第三国からの法的免除、技術的開放性など8つの目標を掲げた、特別に開発されたクラウド主権フレームワークに従って行われた。.

同時に、欧州委員会は包括的な技術主権パッケージを準備しており、米国のクラウドプロバイダーが医療、司法、金融などの分野における機密性の高い公共部門データに自社のサービスを利用することを禁止すると見込まれている。ハンデルスブラット紙は2026年5月、公共調達において欧州のAIおよびクラウドプロバイダーを優先すべきとする草案について独占的に報じた。米国のプロバイダーは全面的に排除されるわけではないが、クラウド法によって絶対的な主権認証が構造的に不可能となるため、最高レベルのセキュリティの検討対象からは外されることになる。.

「主権クラウド」の幻想：契約が法律に取って代わることができないとき

近年の欧州のデジタル政策において最も重大な誤解の一つは、米国プロバイダーの欧州データセンターにデータを物理的に保存すれば、米国政府によるアクセスから十分に保護されるという考えだった。マイクロソフト、アマゾン、グーグルは、「EUデータ境界」「欧州主権クラウド」「主権制御」といった、印象的な名前の製品名で、この誤解を巧みに利用したが、根本的な設計上の欠陥があった。.

根本的な問題は、主権はサーバーの所在地ではなく、所有権に帰属するという点です。米国のクラウドプロバイダーを利用する者は、データがフランクフルト、アムステルダム、シアトルのどこにあっても、米国の管轄権の対象となります。マイクロソフトの副社長であるブラッド・スミス氏は、「米国の裁判所命令は、米国外に保管されている情報にも適用される可能性がある」と明言しています。欧州司法裁判所の2020年のシュレムスII判決では、ホスト国の法律が同等のレベルの保護を保証していない場合、標準契約条項だけでは十分な保護にはならないことが既に明確にされています。.

米国のハイパースケーラーが提供する「ソブリンクラウド」ソリューションは、国家レベルのデータローカライゼーションやコンプライアンス報告といった正当なニーズには対応できるものの、米国の法管轄権という構造的な問題を解消することはできません。外部鍵管理、データ所在地のポリシー、EUの運用モデルは、アクセスリスクを軽減する技術的な対策ではありますが、マイクロソフト自身の法廷証言や議会証言でも確認されているように、リスクを完全に排除することはできません。.

経済的側面：デジタル依存のコスト

データ保護や政治的側面以外にも、欧州が米国のクラウドプロバイダーに構造的に依存していることには、明確に数値化されることが少ない重要な経済的側面がある。欧州委員会の推計によると、アマゾンとマイクロソフトを筆頭に、米国のプロバイダーが欧州のクラウド市場の約70％を支配している。この市場支配は、外国法の適用を受ける企業への依存を意味するだけでなく、欧州から米国への巨額の資本流出、そして欧州のテクノロジーエコシステムの構造的な未発達をも招いている。.

データを米国企業に委託することは、その企業の研究開発予算を潤沢にし、AIシステムのトレーニングデータを提供し、米国の外交政策において影響力を行使できる企業の市場支配力を強化することにつながります。Microsoft 365、Azure、AWS、Google Cloudに割り当てられた欧州予算の数十億ユーロは、いざとなれば欧州の利益を他国の利益よりも優先する経済システムに流れ込みます。さらに、欧州企業の44%が、プロバイダーからの主権保証の欠如をクラウド導入の主要な障害として挙げており、32%が昨年「主権侵害事件」を報告しています。そのほとんどは、許可されていない国境を越えたデータ転送です。.

欧州のデジタル経済は構造的なジレンマに直面している。短期的には、米国のハイパースケーラーは欧州の代替企業よりも優れた技術性能、より深い統合、そして低コストを提供している。しかし長期的には、EUと米国間の地政学的緊張の高まりに伴い、公共機関にとって存亡に関わるガバナンスリスクとなる依存関係を固定化してしまう。欧州の代替企業への移行は政治的な贅沢ではなく、制度の健全性に関わる問題なのである。.

欧州機関向けの技術的および法的選択肢

データ主権を単に模倣するのではなく、真に追求する公共機関や企業にとって、分析結果は明確な要件を示しています。まず、米国に親会社を持たない欧州のプロバイダーのクラウドサービスを利用することが、クラウド法の管轄権を構造的に排除する唯一の方法です。STACKIT、OVHcloud、Scaleway、Hetzner、IONOS（1&1）などのプロバイダーは、米国法の適用を受けない、GDPRに準拠したサービスを様々な程度で提供しています。.

第二に、欧州が管理する鍵を使用したクライアント側暗号化は、追加の保護層を提供し、理論的には米国のプロバイダーにも適用可能です。データがクラウドに転送される前に暗号化され、プロバイダーが鍵にアクセスできない場合、プロバイダーが暗号化されたファイルを引き渡す義務があったとしても、生データは米国の当局には読み取れません。第三に、すべての調達決定には、クラウド法のリスクを明確に評価し文書化した完全なデータ保護影響評価（DPIA）を含める必要があります。.

技術の発展により、主権の実現は孤立ではなく、アーキテクチャを通じて可能になりつつある。連邦型システム、オープンソースプラットフォーム、ゼロトラストアーキテクチャといった技術は、契約によって約束するのではなく、技術的に制御メカニズムを強制する。.

冷静な評価：この事件が意味することと意味しないこと

オランダの事例は重要な事件ではあるが、その具体的な仕組みはしばしば誤解されている。これは、顧客データがクラウドから流出するという典型的なクラウド法違反の事例ではない。米国企業が議会で義務付けられた情報提供義務は果たしたものの、第三者の匿名化を怠った事例である。当初はそれほど劇的な出来事ではないように思えるかもしれないが、クラウド法だけでなく、米国の様々な法的メカニズムが欧州政府のデータを危険にさらす可能性があることを示しているため、次第に劇的な展開を見せる。.

しかし、この事例が紛れもなく証明しているのは、マイクロソフトは米国企業として米国法の下で事業を運営しており、必要に応じて同法を適用するということである。いかなる契約上の取り決め、サーバーの設置場所、あるいは主権を謳うクラウドマーケティングキャンペーンも、この事実を変えることはできない。政府データ、機密性の高い企業秘密、あるいは個人データの完全性を真に保護したいと考える者は、米国インフラ上で絶対的な確実性をもってそれを実現できるとは限らない。.

デジタル・フリーダム・バイエルン・イニシアチブ、Xpert.Digital、そして長年にわたりこうした構造的な問題点を指摘してきた他の団体の分析は、構造的に正しかったことが証明された。議論はあまりにも長い間、宥和策や契約上の約束という安易な領域に留まってきた。今回の事例は、構造的なジレンマを浮き彫りにし、真のデジタル主権が必然的にもたらす政治的な影響を不可避なものにした。.

マイクロソフトのソフトウェアが「スパイウェア」に該当するかどうかという問いに対する答えは、より複雑です。同社は、欧州当局を積極的に監視する活動的なスパイではありません。しかし、米国政府の指示に対して欧州のデータ主権を完全に守る構造的な能力、あるいは意思がない企業であることは確かです。このため、米国のクラウドサービスは、法的あるいは倫理的に「スパイ行為」をどのように定義するかにかかわらず、機密性の高い公共データや政府データを扱うには構造的に不向きなのです。.

展望：欧州のデジタル主権は重要な戦略的課題である

欧州のデジタル依存は、20年にわたる政治的な近視眼、自国の技術エコシステムへの投資不足、そして主権リスクよりも効率性の向上を優先する経済論理の結果である。欧州委員会による主権クラウドサービスへの1億8000万ユーロの割り当て、オランダのSTACKITフレームワーク協定、そして発表された技術主権パッケージは、正しい方向への第一歩ではあるが、問題の規模と地政学的緊張の高まりの速さを考えると、依然として控えめなものだ。.

デジタル主権とは、デジタルナショナリズムやグローバルなテクノロジー市場の孤立化を求めるものではありません。それは、民主主義的な機関が自らの活動の基盤となるシステムを実際に管理下に置くこと、そしてその管理が第三国の域外法によって損なわれてはならないという根本的な要件です。ヨーロッパが十分な規模の競争力のある代替手段を構築しておらず、公共機関が依然として数千もの米国製クラウド依存システム上で運用されている限り、データ主権の保証は、サーバー設置​​場所をマーケティング用語で巧みにパッケージ化した政治的な虚構に過ぎません。.

オランダでの事件は警鐘だ。ヨーロッパが本当に目を覚ますかどうかが、依然として重要な問題である。.

Xpert.Digitalは、 Konrad Wolfenstein が率いるデータ駆動型のB2B業界ハブです。同社は、業界パートナーにとって外部の準社内ソリューションとして機能し、クライアント側に追加のリソースを必要とせずに、マーケティング、コンテンツ、販売における運用上のギャップを埋めます。.

詳細はこちら:

• 準社内ソリューション：Xpert.DigitalがB2Bマーケティングとセールスの運用上のギャップをどのように埋めるか – Smart Content-Driven Business

☑️ 当社のビジネス言語は英語またはドイツ語です。

☑️ 新機能: 母国語での対応!

 

私と私のチームは、あなたの個人アドバイザーとして喜んでお手伝いさせていただきます。.

こちらの問い合わせフォームにご記入いただくかwolfenstein@xpert.digital。、 +49 7348 4088 965までお電話ください。メールアドレスはです

私たちの共同プロジェクトを楽しみにしています。.

 

 

☑️ 戦略、コンサルティング、計画、実装における中小企業のサポート

☑️ デジタル戦略とデジタル化の策定または再調整

☑️ 国際販売プロセスの拡大と最適化

☑️ グローバル＆デジタルB2B取引プラットフォーム

☑️ パイオニア事業開発 / マーケティング / PR / 見本市