米国のクラウドから抜け出す：ソブリンサースオファーの概要 +アクションに関する推奨事項

ヨーロッパ企業のデジタル主権の必要性

デジタル変換は止められないものであり、クラウドコンピューティング、特にソフトウェアとしてのサービス（SAAS）は、あらゆる規模の企業にとって不可欠なツールとなっています。柔軟性、スケーラビリティ、革新的なテクノロジーへのアクセスを可能にします。同時に、この開発は、いくつかの、主に米国のクラウドプロバイダーに大きく依存しています。

に適し：

• なぜ米国のクラウド法がヨーロッパと他の世界の問題とリスクであるのか：はるかに継続する法律が結果をもたらす

問題：米国のクラウドプロバイダーへの依存度の高まり

ヨーロッパのクラウド市場は、明らかに米国のハイパースカラーであるAmazon Web Services（AWS）、Microsoft Azure、Google Cloud Platform（GCP）によって支配されています。これらのプロバイダーは、世界の市場シェアの大部分を組み合わせています。ヨーロッパのSAPやDeutsche Telekomなどの大手ヨーロッパのプロバイダーでさえ、ヨーロッパで小規模な市場シェアを達成しています。この集中は固有の危険をもたらします。グローバル、特にヨーロッパのクラウドインフラストラクチャの大部分は、米国の法律の管轄権の対象となる可能性があります。ヨーロッパの企業であり、行政でもますます、この依存に関連するリスクの認識が高まっています。データ保護、データのセキュリティ、および重要なデータとプロセスに対する制御の喪失に関する原因が前景にあります。デジタル主権の問題は戦略的な必要性になります。

データ主権とGDPRの適合性の関連性

一般的なデータ保護規則（GDPR）は、ヨーロッパの懸念の中心にあります。 2018年以来、欧州連合における個人データの保護のための厳格な法的枠組みであり、特にEU以外の国では、その処理と送信を詳細に規制しています。 GDPRへのコンプライアンスは、欧州企業にとっての法的義務であるだけでなく、顧客とビジネスパートナーの信頼にとって重要な要素でもあります。同時に、デジタル主権の概念は重要になっています。それは、あなた自身のデータ、テクノロジー、デジタルインフラストラクチャを取り戻すか、制御するためのヨーロッパの努力について説明しています。これは、データ保護の問題であるだけでなく、グローバル化されたデジタルの世界で欧州経済と競争力を強化するための産業政策目標でもあります。企業にとって、これはクラウド戦略を再考し、法的に準拠し、信頼できるソリューションを積極的に検索する必要性を意味します。

に適し：

• AIすべての会社のための独立したクロスデータソース全体のAIプラットフォームの統合

レポートの目的と構造

このレポートは、ヨーロッパのビジネスと、将来の防止と意識のあるクラウド戦略を開発するという課題に直面しているIT意思決定者を対象としています。彼は、以下の決定のための適切な基盤を作成するという目標を追求しています。

• 特にGDPRとCloud ActやFISA 702などの米国法との対立に関して、欧州企業向けの米国ベースのSAASサービスの使用から生じる特定のリスクが分析されました。
• ヨーロッパの文脈で「ソブリンサースオファー」の下で理解されるべきものと、どの基準を満たさなければならないかを定義します。
• 主権の代替として自分自身を位置付けるヨーロッパのSaaSプロバイダーの市場の概要は、アプリケーション分野に従って分類されます。
• 機能、価格設定、そして何よりもデータ主権とGDPRの適合性の実装に関する重要なカテゴリにおける重要な代替案の比較。
• 行政、ヘルスケア、金融などのデリケートセクター向けの専門的なソリューション。
• クラウドの主権を促進する関連するEUイニシアチブ（Gaia-Xなど）および認定（EUCS、BSI C5など）を提示します。
• 企業の戦略的オリエンテーションのための行動のための結論と推奨事項が導き出されます。

リスク分析：米国のクラウドサービスと欧州企業の課題

クラウドサービス、特にSaaSの提供は、米国に拠点を置くプロバイダーからの提供であり、欧州企業にかなりの法的および運用上の課題を提供しています。これらは、主に、欧州の厳格なデータ保護規制と広範囲にわたる米国の監視およびデータアクセス法の間の根本的な対立に起因します。

コア対立：GDPR対米国の監視法

一般的なデータ保護規則（GDPR）は、ヨーロッパのデータ保護の基礎を形成しています。 EU市民からの個人データの処理のための高い基準を確立します。第44条ff。このようなデータの送信を第三国国（EU/EEA以外の国）に規制するGDPRは、雲の使用に特に関連しています。このような送信は、第三国に「合理的なレベルの保護」がある場合にのみ許可されます（EU委員会の妥当性の決定によって決定）、または「適切な保証」（標準的な契約条項や拘束力のある企業規則など）が利用可能であり、強制力のある権利と効果的な法的救済策が利用可能です。さらに、第48条GDPRは、法的支援協定などの国際契約がない場合、決定または判断により、第三国の当局へのデータの送信を明示的に禁止しています。いくつかの米国の法律は、米国外に保管されていても、データへの広範囲にわたるアクセス権を米国に付与するというこの欧州保護の主張に反対しています。

• 米国クラウド法（データの海外使用法を明確にする）：2018年に採択されたこの2018年は、米国の刑事検察当局とintelligence報機関が、このデータが世界のどこに保存されているかに関係なく、制御下にあるデータの公開を要求することを許可しています。これには、欧州連合内のデータセンターにあるデータが明示的に含まれています。したがって、クラウド法は、データ保護の領土の原則を弱体化させ、特に第48条、特に第48条の要件に直接矛盾しています。特に、アイルランドに保存されている電子メールへのアクセスや2001年9月からの近代的な古いアクセス規制について、マイクロソフトと米国政府の間の長い法的紛争に応じて作成されました。クラウドACTメカニズムは、プロバイダーが別の状態（GDPRなど）の法律に違反している場合、発行契約に異議を唱えることができますが、これらのメカニズム、特に国家安全保障の分野での実際的な有効性は非常に議論の余地があり、欧州企業に信頼できる保証を提供しません。したがって、プロバイダーは対立しています。EUの法的根拠なしにクラウドACTの取り決めに従う場合、大規模なGDPRをリスクします。 GDPRを引用して公開を拒否した場合、米国法に基づく制裁を脅かしてください。
• FISAセクション702（外国intelligence報監視法）：2008年からのFISA修正法の一部であるこの規定は、米国外にいる非米国の電子通信のターゲットモニタリングであるNSAなどの米国のintelligence報機関を許可しています。監視は、「外国の情報情報」を取得するために行われます。 FISA 702は、多くの大クラウドおよびSAASプロバイダーを含む電子通信サービス（電子通信サービスプロバイダー-ECSP）の米国プロバイダーに当局と協力することを義務付けています。潜在的に記録されているデータの範囲は非常に広く、メタデータに加えて、1人のターゲット担当者しか言及していない無効なサードパーティからでさえ、コミュニケーションコンテンツも含めることができます。 FISA 702（プリズムや上流など）に基づく監視プログラムは、ECJのSchrems II判決における批判の中心的なポイントでした（以下を参照）。影響を受けるEU市民に対する効果的な法的救済の欠如と大量監視の可能性も、米国当局がこれを否定していても批判されています。
• 大統領令12333およびその他：Cloud ActおよびFISA 702に加えて、米国のintelligence報機関に海外の監視のための広範な範囲の権限を認める大統領令12333など、他の法的基盤があります。

この根本的な法的対立は、欧州企業向けの米国プロバイダーからのクラウドサービスの使用が固有のリスクを負う状況を生み出します。

ヨーロッパ企業の具体的なリスク

記載されている法的紛争は、米国ベースのSaaSサービスを使用するヨーロッパの企業にとって有形のリスクをもたらします。

• データ保護違反と罰金：Cloud ActまたはFISA 702に基づいた米国当局への個人データの降伏は、EU法に基づく有効な法的根拠がありません（例：法的支援契約）は、特に第48条に対するGDPRの明確な違反です。プロバイダーがGDPRに違反している間にデータを公開しないことを保証できない場合、USクラウドサービスのみの使用は、GDPRに準拠していない可能性があると評価することはできません。
• データの喪失主権と管理：EUデータセンターにデータを保存するための米国プロバイダーの契約上の保証は、クラウド法またはFISAに基づく米国のアクセスに対する効果的な保護を提供しません。米国の法律は、これらの保証と技術的な保護措置を損なう可能性があります。米国のプロバイダーが暗号化キーを制御することを強制される可能性があるため、データの暗号化でさえ万能薬ではありません。同様に、アクセス制御メカニズムは回避でき、GDPRの透明性要件に違反するデータ所有者の知識なしに監査プロトコルを表示できます。実際、ヨーロッパの企業は実際、どの状況がデータにアクセスするかを制御できません。
• 経済的スパイとビジネスの秘密の喪失：特に深刻なリスクは、デリケートな企業データの潜在的な排水です。これには、知的財産、研究開発データ、プロトタイプ、戦略計画、財務データ、または機密顧客データとコミュニケーションが含まれます。米国当局が経済目的でアクセス権を使用できるという懸念（ビジネススパイ）は、ヨーロッパ企業が代替案を検索したり、追加の保護対策を講じるための重要な要因です。そのような情報の損失は、かなりの経済的損失、評判の損害、競争上の利点の損失につながる可能性があります。
• 法的不確実性と信頼の喪失：欧州データ保護法と米国アクセス権との間の未解決の対立は、米国サービスを使用する企業にかなりの法的不確実性を生み出します。この不確実性は、長期的な計画とコンプライアンスの取り組みを複雑にします。さらに、データ保護を保証できないサービスの継続的な使用は、顧客、従業員、ビジネスパートナーの信頼を大幅に損なう可能性があります。
• 地政学的なリスク：クラウド法などの法律は、州の監視の増加とインターネットの断片化の可能性に向けたグローバルな傾向の文脈で見られます（「スプリッターネット」）。中国の国家情報法など、他の国の同様の法律との比較が導き出されます。単一の非ヨーロッパ地域のテクノロジープロバイダーへの過度の依存は、ヨーロッパのデジタル自律性と回復力に対する戦略的リスクも備えています。

したがって、米国のクラウド使用のリスクは、潜在的なGDPRペナルティをはるかに超えています。これらには、ビジネススパイのアクセス権の濫用の可能性による重要なビジネスデータの損失、評判の損害、および競争力の危険性が含まれます。これらはしばしば困難な定量化可能ですが、GDPRコンプライアンスに純粋な焦点で、潜在的に実存的な「担保」リスクがわずかに過小評価されています。

Schrems IIの決定とデータプライバシーフレームワーク（DPF）

大西洋横断データトラフィックの法的不確実性は、2020年7月に欧州司法裁判所（ECJ）のSchrems II判決によって大幅に強化されました。ECJは、当時適用されるEUプライバシーシールド契約を無効にしました。その理由：米国の監視法、特にFISA 702および関連するプログラムにより、EU市民の基本的権利（データ保護、プライバシー）の干渉が可能になります。さらに、このような監視措置に対して米国で影響を受けた人々のための効果的な法的救済策が不足しています。この判決は、データ転送の代替手段として、標準契約条項（標準契約条項-SCC）の基本的な妥当性を確認しました。ただし、ECJは、データ輸出業者がSCCに盲目的に依存することを許可されていないことを明らかにしました。個々の症例テスト（転送インパクトアセスメント-TIA）の一環として、対象国（ここで米国）の権利と実践がEUの「本質的に等しい」保護を確保するかどうかを確認する必要があります。 ECJが米国に提案した監視法のためにそうでない場合は、追加の措置（補足措置）を取得する必要があります（たとえば、受信者がキーにアクセスできない強力な暗号化）保護を確保する必要があります。これが不可能な場合は、データ転送を中断する必要があります。これに関連して、クラウド法は、保護レベルの同等性の議論をさらに損なう要因と見なされていました。 Schrems IIによって引き起こされた法的不確実性に応じて、EUと米国の間のデータの流れを強固なものにするために、EU委員会と米国政府はEU-USデータプライバシーフレームワーク（DPF）に同意しました。これは、EU委員会の新たな適切性によって2023年7月に施行されました。 DPFは、米国側に追加の保護措置を提供することにより、シュレムIIの判断で表明された懸念に対処することを目的としています。EU市民からのデータへの米国のintelligence報機関へのアクセスは、必要かつ比例的なレベルに制限されるべきであり、EU市民向けに新しい2段階の法的救済策（データ保護レビューDPRCを含む）が作成されました。米国の企業はDPFの認定を受けることができ、EUからこれらの認定企業へのデータ転送は、SCCやその他の措置などの追加の機器なしで許容されると見なされます。ただし、DPFの安定性と有効性に関しては、まだかなりの疑問とリスクがあります。

• 基本的な米国の法律は残っています。クラウド法とFISA 702はDPFによって変更されていません。データアクセスのための米国当局の基本的な権限は継続します。
• ECJの強さについての疑念：多くのデータ保護の専門家と活動家は、DPFと新しい法的救済策で提供される保護措置がECJによる新しいレビューに耐えることを疑っています。特に、DPRCの独立性と断定性が疑問視されています。
• 継続的な監視が必要：ARTによると。 45パラ。 4 GDPR、EU委員会は、米国の開発を継続的に監視し、適切性を定期的に確認する義務があります。最初のレビューは2024年の夏に行われました。FISA702の拡張や潜在的な拡大などの最近の開発は、DPFの基礎を再び危険にさらす可能性があります。
• 企業のリスク：DPFのみに依存している企業は、違いないリスクを負います。 ECJが将来DPFを無効にした場合（「Schrems III」シナリオ）、これに基づいてデータ転送はこれに基づいて再び違法になります。その後、「プランB」を持っていない企業（たとえば、EUプロバイダーへの切り替えや効果的な追加の措置の実施）は、撤退に期待できません。

広範なデータアクセスに関する米国の法律と、データ保護に対するEUの基本的な権利との間の中核的な矛盾は、DPFの下に残っています。問題を引き起こす米国の法律はまだ有効です。 DPFは、最終的な法的解決策というよりも政治的で、おそらく一時的な橋渡しです。欧州市民や企業からのデータへの米国当局による潜在的にGDPRアクセスの基本的な問題は明らかにされていません。

定義と基準：「ソブリンサース」とはどういう意味ですか？

記載されているリスクを考慮して、欧州企業は、より多くの制御、セキュリティ、法的適合性を提供する代替案をますます探しています。これに関連して、「主権クラウド」または「自信のあるサーズ」の概念はしばしば落ちます。しかし、その背後に正確に隠れているもの、そしてヨーロッパの文脈で主権と見なされるためには、どの基準が満たさなければならないのでしょうか？

クラウドコンテキストにおける主権のコア要素

クラウド環境におけるデジタル主権は、サービスの純粋な技術的規定を超えた複雑な概念です。いくつかのコア要素を使用して把握できます。

• データ主権（データ主権）：これが中心的な原則です。データは、それらが提起されている、または提起された管轄権の法律および規制の対象となると述べています。ヨーロッパの場合、これはとりわけ、EUデータ保護法（特にGDPR）の無制限の妥当性と、米国クラウド法などの領土外法に基づく第三国からの当局によるアクセスに対する保護を意味します。顧客は、どの条件が自分のデータにアクセスできるかを完全に制御し続けます。
• データの居住地とデータのローカリゼーション：
  • データの居住とは、顧客データ（メタデータとバックアップを含む）が、通常EUまたはEEAの定義された地理的地域内で保証されることを意味します。これは、EUの文脈におけるデータ主権に必要な前提条件ですが、プロバイダーが非ヨーロッパ法の対象である場合、それ自体は十分ではありません。
  • データのローカリゼーションは、データが特定の国の限界を離れることが許可されていないことを規定するより厳しい要件です。このような法律はEU内ではまれですが、特定の国家規制またはセクターに関連することができます。
• 運用上の主権（運用上の主権）：この要素は、クラウドインフラストラクチャの動作とそのサービスを制御することを指します。重要な側面は次のとおりです。
  • EUの職員およびEUの法人による運用：クラウド環境および顧客データへの物理的または論理的なアクセスがEUに居住しており、EU法の対象となることを確認する必要があります。 EU以外からのアクセスは、技術的および組織的または厳密に制御されることを防止する必要があります。
  • EUの企業座席と構造：クラウドプロバイダー自身または少なくともEUの当社に責任を負う法人は、本部をEU/EEA州に、したがって主に欧州法に従属する必要があります。また、第三国（特に米国）の親会社や支部に依存関係がないことも重要です。これは、法律（クラウド行為やFISAなど）に基づいて提出を施行することができます。
  • 透明性と監査可能性：顧客は、運用プロセス、使用された下請業者、および実装されたセキュリティ対策を介して透明性を必要とします。独立したレビューとアクセスとプロセスの監査の可能性は、運用上の主権の重要な特徴です。
• 技術的な主権（技術の主権）：これは、基礎となる主要な技術自体を理解、制御、検証、理想的に開発する能力を指します。この側面は次のとおりです。
  • オープン標準とオープンソースソフトウェアの使用：オープン標準とソースオープンソフトウェアは、異なるプロバイダーとソリューション間の相互運用性を促進し、透明性を高め（コードをチェックできるため）、ベンダーのロックインのリスクを減らし、セキュリティ監査を促進します。彼らはしばしば、Soveign Cloud Stack（SCS）などのヨーロッパのテクノロジースタックの基礎を形成します。
  • 相互運用性と移植性：異なるクラウドプロバイダー間または独自のインフラストラクチャ（オンプレミス）に戻るためにデータとアプリケーションを簡単に移行する能力は、独立性と柔軟性の兆候です。
  • テクノロジースタックの制御：長期的には、技術的な主権は、非ヨーロッパのソースからの独自のハードウェアとソフトウェアコンポーネントへの依存を減らし、独自のヨーロッパのスキルを構築することを目的としています。

に適し：

• ヨーロッパ企業の戦略的代替としての独立したAIプラットフォーム

差別化と誤解

「自信のあるクラウド」という用語は法的に保護されておらず、さまざまなプロバイダーがマーケティングツールとしてしばしば使用しているため、基礎となる概念と測定値は大きく異なります。したがって、企業は、プロバイダーが主権によって何を意味するか、そしてそれが提供する具体的な保証を正確に確認することが重要です。一般的な誤解は、EU内のデータセンターにあるデータの保存が主権を確保するのに十分であるということです。ただし、そうではありません。セクションIIで説明したように、米国のクラウド法は、場所に関係なく、米国企業のデータへのアクセスを可能にします。 EUのデータレジデンスは、プロバイダー自体またはその親会社が米国であるか、米国の管轄権の対象である場合、米国のアクセスを保護しません。別の偏見では、主権クラウドは、グローバルなハイパースカラーと比較して、必然的に機能的制限またはイノベーション速度が遅いことを意味すると述べています。これは場合によっては適用される場合がありますが、地元のプロバイダーには同じスケール効果や研究予算がないことが多いため、目標は主に制限ではなく、制御、セキュリティ、コンプライアンスの要件とクラウドコンピューティング（柔軟性、スケーラビリティ）の利点の組み合わせです。多くのヨーロッパのプロバイダーは、イノベーションと適応性を可能にするために、オープンテクノロジーに依存しています。

EUの観点からソブリンSaaSプロバイダーの基準

主権の中核要素に基づいて、具体的な基準を導き出すことができます。ヨーロッパの企業がSaaSプロバイダーを評価できる。

• データ保護とコンプライアンス：プロバイダーは、GDPRの要件を満たすことが示されています。これは、ARTに従って注文処理契約（AVV）によって文書化する必要があります。 28 GDPRおよび適切な技術組織測定（TOM）。さらに関連するEUおよび国家規制のコンプライアンス（特定のセクターなど）を保証する必要があります。
• データの場所と処理：メタデータ、構成データ、バックアップを含むすべての顧客データがEUまたはEEA内でのみ保存および処理されることを契約上保証する必要があります。
• 運用とアクセス制御：サービスの運用と顧客データへのアクセスは、EUに拠点を置き、EUの法的人格に属する担当者によって実行される必要があります。特にEU以外からの不正アクセスを防ぐために、厳格な技術的および組織的措置を実施する必要があります。
• 会社の構造と管轄権：プロバイダーは、EU/EEAに本社と関連する法的管理を持つ必要があります。第三国（特に米国）に社会法の干渉や支店はありません。これにより、プロバイダーは管轄下に置かれ、データに降伏を強制する可能性があります（例：Cloud ActまたはFISA）。
• 透明性：プロバイダーは、その動作プロセス、下請業者の使用、データ処理の場所、および実装されたセキュリティ対策に関する透明な情報を提供する必要があります。顧客または独立した第三者による監査の可能性を与える必要があります。
• テクノロジーと相互運用性：オープン標準（APIなど）の好ましい使用および/またはオープンソースソフトウェアは、他のプロバイダーへの統合、テスト、潜在的な変更を促進します（ベンダーのロックインの回避）。
• 認定とテスト：認識された認定とテストは、セキュリティおよびコンプライアンス基準のコンプライアンスの証明として機能し、信頼を生み出すことができます。 ISO 27001、BSI C5（ドイツ）、および将来のEUCSは特に関連しています。

SaaSの文脈におけるデジタル主権が多次元の概念であることが明らかになります。それは、データがどこに保存されるかだけでなく、誰がそれを処理するか、どの法律がプロバイダーの対象であり、どの技術的基本が使用されるかについてでもあります。したがって、プロバイダーを選択する際、企業は、主権のどの側面が優先され、プロバイダーがこれらの特定の要件をどの程度満たしているかを確認する必要があります。 EUの純粋なデータレジデンスは、特に米国の法律を通じて、リスクを効果的に緩和するのに十分ではないことがよくあります。同時に、企業はしばしば緊張の分野に直面しています。最大の主権と管理の欲求は、世界のハイパースケーラーと比較して、一部のヨーロッパまたは厳密に主権者で発生する可能性のある機能、イノベーション速度またはコストでの潜在的な欠点と比較検討する必要があります。オープンソースソフトウェアの使用は、多くのヨーロッパのプロバイダーが、最新のテクノロジー開発の最前線にいなくても、透明性、信頼、適応性を確保するための戦略的な方法と見なされています。

Xpert.Digital は、さまざまな業界について深い知識を持っています。 これにより、お客様の特定の市場セグメントの要件と課題に正確に合わせたオーダーメイドの戦略を開発することが可能になります。 継続的に市場動向を分析し、業界の発展をフォローすることで、当社は先見性を持って行動し、革新的なソリューションを提供することができます。 経験と知識を組み合わせることで付加価値を生み出し、お客様に決定的な競争上の優位性を提供します。

詳細については、こちらをご覧ください:

• Xpert.Digital の 5 倍の専門知識を 1 つのパッケージで利用可能 - 月額わずか 500 ユーロから

市場の概要：EUからの主権SAASの代替案

ヨーロッパのソフトウェアAs-a-s-as-a-s-s-s-s-s-s-s-s-s-s-s-s-s-s-service（Saas）は、支配的な米国のプレーヤーに代わるものとして自分自身を位置付けるプロバイダーの数が増えています。彼らの多くは、欧州企業や組織の特定の要件を満たすために、データ保護、GDPRの適合性、デジタル主権に特に焦点を当てています。

プロバイダーの選択の基準

次の概要は、次の基準を満たすSaaSプロバイダーに焦点を当てています。

• 起源：スイスはEU委員会の妥当な決定を下し、しばしば欧州経済圏に密接に統合されているため、同社は欧州連合（EU）、欧州経済圏（EEA）、またはスイス（CH）に本社を置いています。
• ポジショニング：プロバイダーは、明示的に主権またはデータ保護に準拠した代替として位置付けられているか、デジタル主権の重要な機能（例えば、EU/EEAの排他的ホスティング、実証可能なGDPR適合性、クラウドACT/FISAなどの米国の法律に基づく提出、オープンソースの使用）。
• 関連性：プロバイダーは、基礎となる研究源で言及されているか、そのカテゴリの関連する代替として知られています。

プロバイダーは、一般的なSaaSカテゴリに従ってより明確にグループ化されます。

欧州SaaSプロバイダーの分類された概要

次の表は、機能分野に従って、選択したヨーロッパのSaaSプロバイダーの概要を示します。より詳細な評価の出発点として機能します。

カテゴリ別の欧州SaaSプロバイダーの概要

（注：この表は選択であり、完全であると主張していません。情報は利用可能なソースに基づいており、変更する可能性があります。会社による別の試験が不可欠です。）

ヨーロッパのSaaSプロバイダーの概要は、カテゴリに従って注文されたさまざまなソリューションを示しています。コラボレーションとオフィスの分野には、ドイツのNextCloud Hubなどのプロバイダーがあり、ファイル、トーク、グループウェア、オフィス用のオープンソースプラットフォームを備えています。ドイツ出身のOpen-Xchange App Suiteは、特にプロバイダーや企業向けの電子メール、グループウェア、ドライブ、ドキュメントの完全なソリューションを提供し、ISO 27001の基準を満たしています。ラトビアのOfficeのみが、コラボレーションオプションとワークスペース（CRMと電子メールを含む）を備えたオフィススイートを提供します。これは、クラウドとオンプレミス対応であり、GDPRに準拠しています。 Libreofficeに基づいたCollabora Onlineは、多くの場合、NextCloudなどのプラットフォームと統合されています。ドイツのTeamDriveは、エンドツーエンドの暗号化とゼロ知識の原理を備えた高防止クラウドメモリに焦点を当てています。同じくドイツ出身のコンセプトボードは、EUサーバーとの視覚的なコラボレーションのためのオンラインシットボードを提供し、当社の参加なしで提供しています。フランスのCryptPadは、オープンソースとE2E暗号化されたコラボレーションを組み合わせています。ドイツのStackfieldは、チャット、タスク、ビデオ用のGDPRに準拠したプラットフォームを提供します。

CRM＆Salesの分野では、GDPRに準拠したスケジュールを備えたドイツのZeegにはスケジューリングが含まれ、CentralStationCRMは中小企業向けのシンプルなCRMを提供します。 SAP CRMは、SAPスイートの一部として、企業を対象としています。クラウドストレージソリューションでは、スイスのPCLoudなどのプロバイダーがオプションのE2E暗号化と生涯計画で際立っています。 Tresoriteは、ヨーロッパの高いセキュリティ、ゼロの知識、コンプライアンスを組み合わせています。スイス出身のプロトンドライブは、暗号化されたファイルホーストを提供しています。 Ionos HidriveなどのドイツのプロバイダーやInfomaniak Kdriveなどの国際的なオプションは、オファーを完了します。

ビデオ会議では、セキュリティとGDPRに特に焦点を当てたドイツからのOpentalk、およびJitsi Meetを強調する必要があります。オーストリアのアイソンはクラウドベースのビデオベースのビデオを提供し、スウェーデンのUnividはウェビナーに焦点を当てています。 Web分析では、MATOMOは完全なデータ制御を備えたオープンソースオプションを提供し、もっともらしい分析は簡単な使いやすさとデータ保護に焦点を当てています。

マーケティングオートメーションは、Brevo（以前のSendinBlue）などのプロバイダーがドイツ/EUのサーバーとB2BフォーカスとISO認定を備えた評価者によってカバーされています。 HRソフトウェアの場合、Personioはリーダーであり、中小企業向けの包括的なプラットフォームであり、HRWorksやREXXシステムなどのソリューションがクラウドモデルとオンプレミスモデルの両方を提供するソリューションで補足されています。 Project ManagementのOpenProjectはドイツのオープンソースソリューションであり、Zenkitは柔軟なワークスペースを備えています。 TutanotaやProton Mailなどの安全な電子メールプロバイダーは、データ保護とエンドツーエンドの暗号化のための略です。シングルサインオンは、GDPRに準拠したセキュリティを備えたドイツのbare.idによって提供されます。調査ツールの場合、LamapollとLimesurveyは、適応性とドイツのサーバー標準を納得させます。 EUバージョンのQuestionProは、広範な機能とGDPRの適合性を備えたリストを締めくくります。

この概要は、ヨーロッパのSaaS市場における顕著な多様性と専門化を示しています。特に、データ保護とセキュリティが伝統的にコラボレーション、安全な通信、クラウドストレージ、Web分析などの主要な役割を果たしている分野では、幅広い選択肢があります。これらのプロバイダーの多くは、中小企業（中小企業）またはさまざまなヨーロッパ諸国の専門的なニッチプレーヤーです。彼らはしばしば、GDPRへのコンプライアンスと、EUホスティング、ドイツ語のサポート、特定のコンプライアンス認証などの特性で表される欧州市場の特定のニーズに焦点を当てています。

多くのヨーロッパのプロバイダー向けのオープンソースソフトウェアの戦略的重要性も印象的です。特に、コラボレーション（NextCloud、CryptPad）、Office（Office、Collabora）、Project Management（OpenProject）、Web Analysis（Matomo）、およびビデオ会議（Jitsi、Opentalk）、Source -Openテクノロジーの分野では、しばしば基礎を形成します。これは単なる技術的な詳細ではありません。 （目に見えるコードを介して）透明性、適応性、監査可能性、依存関係の回避（ベンダーロックイン）を促進することは意識的な決定です。これらの側面は、デジタル主権の中心的なビルディングブロックであり、ヨーロッパのプロバイダーは、必ずしもグローバルなハイパースケールの膨大な開発予算を持たなくても信頼できる柔軟なソリューションを提供できるようにします。これにより、顧客は使用されるテクノロジーに対するより多くの制御と洞察を得ることができます。

選択されたEUの代替案の比較

一般市場の概要によると、重要なカテゴリにおける選択された代表的なヨーロッパのSaaSの代替案のより詳細な比較が現在あります。焦点は、コア機能、価格モデル、ユニークなセールスポイント、特にデータ主権とGDPRの適合性の実装にあります。

比較の方法論

詳細な比較のためのプロバイダーの選択は、基礎となる情報源での言及の関連性と頻度、および既知の米国サービスの直接的なヨーロッパの代替品としてのポジショニングに基づいています。この比較は、特定のプロバイダースニペットからの情報と、一般的なスニペットからのその他の関連データポイントに基づいています。基準は次のとおりです。

• コア関数：ソフトウェアはコアで何をしますか？
• 価格モデル：価格構造（サブスクリプション、フリーミアム、生涯、オンプレミス）とは何ですか？
• データの場所/ホスティング：データはどこにありますか（EU/DE保証）？自己ホスティングオプションはありますか？
• 暗号化：どの暗号化方法が使用されますか（特にエンドツーエンド、ゼロ知識）？
• 認定/コンプライアンス：関連する証明書（ISO 27001、BSI C5など）とコンプライアンスコミットメント（GDPR）は何ですか？
• 主権に関する長所/弱点：データ制御、透明性、独立性に関する特別な機能または制限。

カテゴリによる詳細の比較

重要なEU-SAAS代替案の詳細な比較

重要なEU SAASの代替案の詳細な比較は、モジュラープラットフォームとしてのNextCloud Hubがファイルの同期とリリース、ビデオ会議、グループウェア、オフィスの統合などの機能を提供し、Open-Change App Suiteは電子メール、カレンダー、連絡先、メモリに焦点を当てていることを示しています。 NextCloud Hubは、自己ホスティングを通じて完全な制御を可能にし、オプションのエンドツーエンド暗号化を提供しますが、独自のホスティングのためのIT要件が高くなります。 Open-Xchangeは、ISO認証とデータ保護を通じてEUの観点から際立っていますが、プロバイダーからクラウドに依存しています。 CRMエリアでは、Zeegはドイツでの明確なGDPRの適合性とホスティングでスコアを獲得し、CentralStationCRMはシンプルさとSMEフォーカスを納得させます。どちらのプロバイダーもフリーミアムモデルと保証されたGDPRに準拠したデータの場所を提供しています。クラウドメモリを使用すると、生涯計画とEUメモリオプションを備えたPCLoudは柔軟性の点で利点を示しますが、E2E暗号化はオプションで有料であり、トレソライトは一貫したゼロ知識暗号化と高いコンプライアンスで得点していますが、より高価です。 OfficeとCollabora Onlineは、強力なEUオリエンテーションとオープンソースオプションを備えた広範なオフィスの代替品を提供します。 Collabora Onlineは、NextCloudなどのプラットフォームに密接に統合されているため、スタンドアロンの焦点が少なくなります。ビデオ会議の分野では、ウェビナー、調査、明確なGDPRフォーカスなどの機能を備えたOpentalkスコアがあり、Jitsi Meetは無料のオープンソースソリューションとして最大の自制心とシンプルさを提供します。どちらのソリューションも、オンプレミスオプションと強力なデータ保護機能を提供します。これにより、OpentalkはBSI ITセキュリティナンバープレートによって際立っています。

詳細な比較は、ヨーロッパの代替品が1つだけあることはめったにないことを強調しています。選択は、会社の特定の要件と優先順位に大きく依存します。たとえば、最大のセキュリティと価格（Pcloud vs. Safe）、または自己ホスティングによる包括的なコントロールとマネージドSaaSソリューションの快適さ（NextCloud vs. App Suite Cloud）の間に明確なトレードオフがあります。企業は、どの側面、機能の範囲、ユーザーフレンドリー、コスト、または主権とセキュリティの程度を比較検討する必要があります。

多くのヨーロッパのプロバイダーの決定的な機能は、運用モデルの柔軟性です。 NextCloud、OnlyTalk、またはJitsiなどのソリューションは、クラウドベース（SAAS）とオンプレミスまたは自己ホストの両方のバリアントの両方を提供します。これにより、企業は制御と主権自体を決定する機会を与えます。信頼できるヨーロッパのプロバイダー向けのSaaSソリューションの快適さを選択したり、独自のデータセンターで操作してデータとインフラストラクチャを最大限に制御することもできます。この選択は、コントロール後のコアニーズに対処し、ソブリンの議論を促進します。

Ki-Gamechanger：コストを削減し、意思決定を改善し、効率を向上させる最も柔軟なAIプラットフォームテイラーメイドのソリューション

独立したAIプラットフォーム：関連するすべての企業データソースを統合します

• このAIプラットフォームは、すべての特定のデータソースと対話します
  • SAP、Microsoft、Jira、Confluence、Salesforce、Zoom、Dropbox、その他多くのデータ管理システムから
• 高速AI統合：数ヶ月ではなく数時間または数日で企業向けのテーラーメイドのAIソリューション
• 柔軟なインフラストラクチャ：クラウドベースまたは独自のデータセンター（ドイツ、ヨーロッパ、場所の自由な選択）でのホスティング）

• 最高のデータセキュリティ：法律事務所での使用は安全な証拠です
• さまざまな企業データソースにわたって使用します
• 独自またはさまざまなAIモデルの選択（DE、EU、米国、CN）

AIプラットフォームが解決する課題

• 従来のAIソリューションの精度の欠如
• 機密データのデータ保護と安全な管理
• 個々のAI開発の高コストと複雑さ
• 資格のあるAIの欠如
• 既存のITシステムへのAIの統合

詳細については、こちらをご覧ください:

• AIすべての会社のための独立したクロスデータソース全体のAIプラットフォームの統合

専門的なソリューション：デリケートセクター向けのソブリンサース

これまでに検討されているSaaSソリューションは、多くの場合、業界全体で使用できますが、セキュリティ、コンプライアンス、デジタル主権に特に需要が高いセクターがあります。これには、特に行政、ヘルスケア、金融セクターが含まれます。 Sovereign Cloud Solutionsの使用を促進または規定する専門的なオファーと規制の枠組みがここで開発されています。

行政

ドイツとヨーロッパの公共部門は、市民データと重要な州プロセスを制御するためのデジタル主権に固有の関心を持っています。多くの場合、要件は標準のGDPRの適合性を超えており、BSI IT Basic ProtectionやBSI C5基準カタログなどの特定のセキュリティ基準が含まれています。異なる当局とレベル間の相互運用性、および依存関係を回避するためのオープンソースソフトウェアの好みも重要な側面です。

いくつかのイニシアチブは、管理のためのソブリンクラウドインフラストラクチャを作成することを目的としています。

• ドイツの管理クラウド戦略（DVS）：IT計画評議会とFitkoによって推進されたこの戦略は、連邦、州、および自治体のために連邦、安全、相互運用、主権のクラウドエコシステムを確立するという目標を追求しています。オープンスタンダード、マルチクラウドアプローチ、および中心的な役割を果たし、高度な信頼を享受するパブリックITサービスプロバイダー（DataPort、AKDB、IT.NRWなど）の統合に依存しています。外部のDVC準拠プロバイダーも視点に統合する必要があります。中央要素は、標準化およびテストされたクラウドサービスの市場としてのクラウドサービスポータル（CSP）です。
• Bundescloud / IT運用プラットフォームバンド：Itzbundは、2025年に統合され、安全性とデータ保護のための高い要件を満たす連邦当局向けに、クラウドプラットフォーム（SaaS、PAAS）をすでに運営しています。
• Center for Digital Sovereignty（Zendis）：この施設は、管理でのオープンソースソフトウェアの使用を具体的に促進し、公共部門向けに特別に開発されたMicrosoft 365のオープンソースの代替品であるOpenskなどのプロジェクトをサポートしています。
• Gaia-XおよびSoveign Cloud Stack（SCS）：これらのヨーロッパのイニシアチブは、DVSで使用されるソブリンクラウドインフラストラクチャの構造の重要な技術的基盤と基準を提供します。 OpenStackとKubernetesに基づいたオープンソーススタックであるSCSは、いくつかのドイツのプロバイダー（プラスサーバーなど）ですでに使用されています。

管理者向けのコンクリートソブリンSaaSは、公開されているITサービスプロバイダー（例：IT.NRWのコンセプトボード、DATAPRATによるDDDATABOX）およびBSI C5テストを頻繁に受け、Govdigital（例えばServer、Ions、Ovhcloudなど）などのマーケットプレイスを介して利用できる専門の商業プロバイダーから提供されます。 NextCloudやOpendendkなどのオープンソースソリューションも重要な役割を果たします。

に適し：

• 米国のクラウドによって異なりますか？クラウドのためのドイツの闘争：AWS（Amazon）およびAzure（Microsoft）と競争する方法

健康管理

ヘルスケアシステムは、特別な保護の対象となる非常に敏感な個人データ（ART。9GDPRに従って健康データ）を処理します。 GDPRと医療機密性に加えて、患者データ保護法（PDSG）や最近のデジタル法（DIGIG）などの特定の国内法が適用されます。ここでは、セキュリティ、可用性、機密性が最も重要です。

ドイツのヘルスケアシステムでソブリンクラウドソリューションを使用するための重要なドライバーは、2024年3月に施行されたデジタル法（DIDIG）です。新しい§393SGB Vは、クラウドコンピューティングを使用してソーシャルデータとヘルスデータの処理を明示的に許可しますが、これは非常に厳格な条件に基づいています。

• データ処理EU/EEA/CHまたは適切性解決策国：データの処理は、ドイツ、EU/EEA州、スイス、またはEU委員会の妥当性決定を伴う第三国でのみ実施できます。
• BSI C5テストは必須です。2024年7月1日から、サービスプロバイダー（医師、病院、健康保険会社など）に代わってソーシャルまたはヘルスデータを処理する必要があるクラウドサービスプロバイダーは、有効なBSI C5テストを表示できなければなりません。タイプ1テスト（コントロールの適切性）は、2025年6月30日、2025年7月1日からタイプ2テストが必須です（期間にわたる有効性の証明）。
• また、SAASプロバイダーにも適用されます。この義務は、インフラストラクチャ（IAAS）またはプラットフォームプロバイダー（PAA）に影響するだけでなく、アプリケーションがクラウドベースの（例えば病院情報システム（KIS）、実践管理システム（PVS）、予約システム、DIGAS）を使用するサービスとしてのソフトウェア（SAAS）プロバイダーにも明示的に影響します。
• 顧客制御の実装：ユーザー機関（クリニック、練習など）は、クラウドプロバイダーのテストレポートで言及されたエンドユーザーコントロールを実装する必要があります。

この規制は、ヘルスケアシステムのクラウドサービスの要件を大幅に強化し、事実上、BSI C5のバランスをこの市場のプロバイダーのエントリチケットにバランスさせます。 Open Telekom Cloud、AWS（Frankfurt Region）、Azure、GCP、またはPlus Server、Stackit、Ionosなどのドイツプロバイダーなどのクラウドプロバイダーは、すでにインフラストラクチャのC5テストを行っています。現在、これに基づいてヘルスケアのSaaSソリューション（KIS、PVS、EPAコンポーネントなど）もこの証拠を提供する必要があります。ヘルスクラウド環境で活動している企業や関連する認定を求めている企業の例は、Gini、Doctolib、またはKite Consultです。電子患者ファイル（EPA）自体は、ドイツのサーバーとEU GDPR準拠のサーバーでホストされています。

ファイナンス

金融セクター（銀行、保険会社、金融サービスプロバイダー）も高度に規制されており、非常に敏感なデータをプロセスしています。ドイツの連邦金融監督局（BAFIN）の厳格な規制要件（例：Bait、Kait、Vait、Zait）およびますます調和しているヨーロッパのガイドラインがここに適用されます。 ITセキュリティ、リスク管理、信頼性、監査セキュリティに対する高い要求が標準です。

安全で主権のクラウドソリューションを使用するための重要な規制ドライバーは次のとおりです。

• NIS2指令：銀行と金融市場のインフラストラクチャは、通常、NIS2に従って「必須」または「重要な」施設のカテゴリに該当します。したがって、リスク管理、サプライチェーンの安全性（クラウドプロバイダーを含む）、インシデントレポート、および管理責任に関するより厳しい要件を満たす必要があります。
• DORA（デジタル運用レジリエンス法）：このEU規制は、金融セクターのデジタル運用レジリエンスを強化することを特に目的としています。 ICTリスクの管理、深刻なICT関連のインシデントの報告、デジタル回復力のテスト、特にクラウドプロバイダーを含むICTサードパーティサービスプロバイダーによるリスクの管理に詳細な要件を掲載しています。とりわけ、ドラはクラウドプロバイダーと監査権を備えた明確な契約上の規制を要求しています。

金融機関にサービスを提供したいクラウドプロバイダーは、これらの規制要件を満たすことができることを証明する必要があります。これは、多くの場合、BSI C5やISO 27001などの認定の検出、特定の契約上の保証とセキュリティアーキテクチャとプロセスの透明な調査によって行われます。 Plus Server、T-Systems、Microsoftなどのプロバイダーは、EUのデータ境界を備えたMicrosoft、または欧州の主権クラウドを使用したAWSが、この規制された市場に特別に配置されています。

さらに、金融セクターにコンプライアンスソリューションを提供する専門のSaaSプロバイダー、たとえばマネーロンダリング予防（AML）、顧客の知識（KYC）、制裁リストテスト、詐欺検出、市場乱用の監視など。ヨーロッパの関係または存在感を持つプロバイダーの例は、Actico（DE）、Pelican AI（UK？）、Sopra Financial Technology（DE/FR）、Otris（DE）またはViclarity（IE/US？）です。

これらの非常にデリケートなセクターでは、ソブリンクラウドソリューションの決定はもはやリスク最小化の問題ではなく、法的要件と厳格なコンプライアンス要件によってますます推進されていることが明らかになります。 BSI C5などの認定を示す必要性は、意思決定の根拠を自発的なリスク評価から市場への参加の必須の前提条件にシフトします。

これは、特にSaaSプロバイダーに新しい課題を提示します。これまでのところ、インフラストラクチャプロバイダー（IAAS/PAAS）は関連する認定を受けていることがよくありましたが、§393SGB Vなどの規制は現在、BSI C5テストなどのSAASプロバイダーの証拠を明示的に要求しています。このようなテストの取得と維持のためのコストと努力は重要であり、特に小規模で革新的なSaaS企業にとってはハードルになる可能性があり、これらの規制された分野での市場の統合につながる可能性があります。

に適し：

• 米国のポリシーはEUハイテク企業を刺激しますか？米国の支配のデータ主権：ヨーロッパのクラウドの未来

主権の促進：EUのイニシアチブと認定

ヨーロッパのデジタル主権を強化し、クラウドコンピューティングのための信頼できるフレームワークを作成するために、ヨーロッパおよび全国レベルでさまざまなイニシアチブと認証基準が開始されました。これらは、相互運用性を促進し、セキュリティ基準を調和させ、クラウドサービスへの信頼を高めることを目的としています。

GAIA-X：フェデレーションヨーロッパのデータインフラストラクチャのビジョン

Gaia-Xは、デジタル主権を強化するための最も著名なヨーロッパのイニシアチブの1つです。 2019年にドイツとフランスによって開始され、多くのヨーロッパ諸国のビジネス、科学、政治の多くのパートナーが現在参加しています。

• 目標：GAIA-Xの中心的な目的地は、データ保護（GDPR）、透明性、信頼、自己決定などのヨーロッパの価値に基づいた安全でFEDおよび相互運用可能なデータインフラストラクチャの作成です。ヨーロッパ以外のプロバイダーからヨーロッパのデジタル独立性を高め、安全なデータ交換を通じて革新を可能にし、欧州企業の競争力を強化することを目的としています。
• アーキテクチャとアプローチ：Gaia-X自体はクラウドプロバイダーではなく、独自の「ヨーロッパのスーパークラウド」を構築していないことを理解することが重要です。代わりに、GAIA-Xは、ネットワーク化された相互運用可能なデータルームとクラウドインフラストラクチャサービスの分散型エコシステムの一連のルール、共通の標準、および建築要素を定義しています。これは、オープン性、透明性、モジュール性、オープン標準の使用やオープンソースソフトウェアの使用などの原則に基づいています。 GAIA-X Data and Cloud Association（AISBL）は、いわゆるGaia-Xデジタルクリアリングハウス（GXDCH）によって実装される適合性（GAIA-Xコンプライアンス）をチェックするための仕様、ルール、ポリシー、およびフレームワークを開発しています。
• コンポーネントとプロジェクト：コンクリートのビルディングブロックとプロジェクトは、Gaia Xフレーム内で作成されます。 Soegeignクラウドスタック（SCS）は、Gaia-X準拠のソブリンクラウドインフラストラクチャ（IAAS/PAAS）を確立するための標準化されたオープンソースベースのテクノロジースタック（OpenStack、Kubernetesなどに基づく）です。これは、ドイツの管理クラウドのために、相互運用可能で自信のあるクラウドオファーの技術的根拠として機能することを目的としています。
• アプリケーションケース（ユースケース）：GAIA-Xの利点を実証するために、具体的なデータルームとアプリケーションがさまざまなドメインで開発されています。例は、Industry 4.0（たとえば、自動車産業のCatena-Xなど）、モビリティ、エネルギー、財務、行政、特に医療にあります。 Team-X、Health-X Dataloft、Gaia-Medなどのプロジェクトは、ケアと研究の改善のために安全で主権の健康データの交換を可能にすることを目的としています。
• 課題：野心的な目標にもかかわらず、ガイア-Xは課題と批判にも直面しています。これには、プロジェクトの複雑さ、実用的な実装のゆっくりとした進歩、時には不明確な定義、およびイニシアチブが確立されたグローバルなハイパースケーラーによって支配される可能性があるという恐怖が含まれます。また、インフラストラクチャレベル（IAAS/PAAS）で焦点が強すぎ、アプリケーションレベル（SAAS）が無視されたと批判されました。

EUCS：クラウドサービスの欧州サイバーセキュリティ認証スキーム

Cloud Services（EUCS）の欧州サイバーセキュリティ認証スキーム（EUCS）は、欧州サイバーセキュリティ（ENISA）によってEUサイバーセキュリティ法（CSA）の下で開発された認証フレームワークです。

• 目的：主な目標は、EU全体のクラウドサービス（IAAS、PAAS、SAAS）のサイバーセキュリティ要件と認定の調和です。均一な基準は、さまざまな国家認証スキーム（フランスのSecnumcloudやドイツのC5など）を介して断片化を克服し、デジタル内部市場を強化するために作成されます。クラウドユーザーの場合、EUCSは、認定されたサービスが特定の安全基準を満たしていることを証明することにより、より透明性と信頼を生み出す必要があります。
• 保証レベル：スキームは、3つの（または以前の設計4）安全レベル（「基本」、「実質的」、「高」、および「高+」）を定義します。レベルの増加に伴い、実装されたセキュリティ対策（ネットワーク、メモリ、暗号化セキュリティ、浸透テストなど）の要件と、認定された適合性評価機関（適合性評価団体）による評価の厳格性。
• 自発性対強制性：EUCSによる認証は一般に自発的です。ただし、サイバーセキュリティ法またはNIS2指令により、特定の分野、特に「必須」または「重要な」機関（批判）のEU加盟国は、認定ICTサービスの使用を指定することができます。したがって、少なくとも規制されたセクターでは、EUCSが事実上の要件または入札の重要な基準になる可能性があります。
• 主権の議論：EUCの発展における中心的かつ物議を醸すポイントは、特に最高のセキュリティレベル（「高」または「高+」）について、特定の主権要件の問題でした。以前の設計では、EU内のデータローカリゼーションがこのレベルに絶対に必要であり、プロバイダーは、非ヨーロッパ法（クラウド法など）に対する保護を確保するために、EU加盟国に本社とグローバル本社を持たなければならないことを規定していました。ただし、これらの要件は、後の設計（2024年現在）で明らかに削除または弱体化したようです。これは、ヨーロッパのクラウドプロバイダー（特に中小企業）、産業協会、これがヨーロッパのデジタル主権を弱めることを恐れるデータ保護主義者からの暴力的な批判と出会った。これらの要件の最終設計に関する議論は継続しています。

BSI C5：クラウドセキュリティのドイツ標準

ドイツ連邦情報技術局（BSI）のクラウドコンピューティングコンプライアンス基準カタログ（C5）は、クラウドサービスの情報セキュリティに関する特定の最小要件を定義する確立された基準カタログです。

• 目的とコンテンツ：C5は、安全なプロバイダーを選択する際にクラウド顧客のオリエンテーションを提供し、リスク管理の基礎を作成する必要があります。これは、ISO/IEC 27001などの国際的に認識されている基準に基づいていますが、クラウド固有の要件を補完し、いわゆる環境パラメーターを介して透明性に特に重要になります。これらのパラメーターは、顧客を支援することを目的とした（経済スパイやデータ保護違反を通じて）、データの場所、管轄区域、認証、州の団体への開示などの側面に関する情報を提供します。カタログは、情報セキュリティ、人事セキュリティ、資産管理、暗号化、アイデンティティおよびアクセス管理、インシデント管理、物理的セキュリティなど、17の主題分野で構成されています。
• Testat（タイプ1およびタイプ2）：C5基準のコンプライアンスは、独立した資格のある監査人によって発行されるTestatによって実証されています。テストには2つのタイプがあります。タイプ1は、設計の適切性と、特定のキー日付へのセキュリティチェックの実装を証明します。また、タイプ2は、定義された試験期間（通常6〜12か月）を介してこれらのコントロールの運用上の有効性を確認します。タイプ2のテストはより意味があると見なされ、2025年7月からフォローアップ試験およびヘルスケアシステムで必要です。
• 関連性：C5は、ドイツの安全なクラウドコンピューティング、特に行政および医療システムや金融セクターなどの厳しく規制された産業の事実上の基準に発展しています。すでに述べたように、C5テストは、2024/2025年7月からヘルスケアシステムのクラウドサービスのDIGIGによって法的に義務付けられています。ドイツとヨーロッパの多くだけでなく、国際的なクラウドプロバイダー（EU地域のために）もサービスのC5テストを行っています。

その他の関連する基準

言及されたイニシアチブと認定に加えて、確立された国際基準も重要な役割を果たします。

• ISO/IEC 27001：情報セキュリティ管理システム（ISM）のグローバルに認識されている基準。機密性、整合性、可用性を確保するために、機密性の高い企業情報の管理に対する体系的なアプローチを定義します。 ISO 27001認証は、多くの場合、クラウドプロバイダーの基本要件であり、C5などのより具体的な標準の基礎として機能します。
• ISO/IEC 27017：この標準は、ISO/IEC 27002に加えて、クラウド環境での情報セキュリティのための特定の制御測定を備えたガイド（実践コード）を提供します。
• ISO/IEC 27018：プロセッサとして機能するパブリッククラウドの個人データ（個人識別可能な情報-PII）の保護に焦点を当てています。これには、欧州のデータ保護原則に密接に基づいたガイドラインが含まれており、主にデータ保護をカバーしていないC5のサプリメントとして機能します。

これらのさまざまなイニシアチブと基準は、必ずしも競合他社と見なされるわけではありませんが、お互いを補完することができます。 Gaia-Xは、ソブリンエコシステムのビジョンとルールを提供し、EUCSはEU全体の認証を調和させることになっており、BSI C5などの国家基準はすでに具体的、確立された要件、テストメカニズムを提供しています。課題は、これらのアプローチを賢明に統合し、ヨーロッパの主権の主張を満たし、プロバイダーとユーザーにとっても実用的な一貫したフレームワークを作成することです。しかし、EUCSの主権要件に関する現在の議論は、ここで政治的および技術的な詳細がまだ必要であることを示しています。

企業にとって、BSI C5やISO 27001などの認定は貴重な信頼アンカーであり、透明性を生み出し、セキュリティの取り組みを簡単に証明できることを理解することが重要です。ただし、それらは万能薬ではなく、顧客によるあなた自身のリスク評価とデューデリジェンステストに代わるものではありません。たとえば、米国のプロバイダーのC5テストは、クラウド法の間でその亜種を変更しません。共有責任（「共有責任」）は、クラウド使用の安全性のためにプロバイダーと顧客の間に残っており、企業はプロバイダーの測定が特定の要件とリスクに十分であるかどうかを常に確認する必要があります。

に適し：

• 変更中のデータ管理システム：AIの時代における会社の成功のための戦略

EU SaaSプロバイダーへの切り替えの戦略的利点

米国ベースのクラウドサービスの使用におけるリスクの分析と主権ヨーロッパのSaaSの代替品の成長市場の調査により、明確な結論が可能になります。ヨーロッパの企業にとって、クラウド戦略を扱うことは、デジタル主権の観点からだけでなく、ますます戦略的な必要性であることがあります。

結果の概要

このレポートの中心的な調査結果は、次のように要約できます。

• 米国のプロバイダー間の持続的なリスク：米国の管轄権の対象となる企業のSaaSサービスの使用は、欧州企業にとって重要かつ継続的なリスクを抱えています。 EU GDPRとCloud ActやFISA 702などの米国法との間の根本的な対立は、潜在的なデータ保護の負傷、罰金、データ管理の損失、ビジネススパイのリスクにつながります。現在のEU-USデータプライバシーフレームワーク（DPF）でさえ、この基本的な競合を解消せず、その長期的な安定性は不確実です（セクションIIを参照）。
• 多次元の概念としての主権：ヨーロッパの文脈における「主権Saas」は、EUコンピューティングセンターにデータを保存するだけではありません。これには、欧州法（特にGDPR）への準拠、非ヨーロッパのアクセスに対する保護、EUエンティティと人員による運用、依存関係を回避するための技術の開放性と相互運用性が含まれます（セクションIIIを参照）。
• EUの代替市場の成長：SAASプロバイダーには、EU/EEA/CHで営業しているSaaSプロバイダーには多様で成長している市場があります。これらは、多くのカテゴリでソリューションを提供し、多くの場合、データ保護、セキュリティ、ローカルニーズに重点を置いています。多くは、透明性と制御を最大化するために、オープンソースに戦略的に依存しています（セクションIVとVを参照）。
• デリケートセクターの規制上の圧力：行政、医療制度、金融セクターなどの分野では、明らかに安全でソブリンのクラウドソリューション（多くの場合、BSI C5テストまたは同等の証拠を使用）の使用（DIGIG、NIS2など）および戦略的仕様（セクションVIを参照）になりつつあります。
• イニシアチブと基準によるフレームワーク条件：GAIA-Xなどのヨーロッパのイニシアチブや計画されたEUCSなどの認定やBSI C5などの確立された国家基準は、重要なフレームワーク条件を作成し、相互運用性を促進し、ソブリンクラウドオファーへの信頼を強化することを目的としています（セクションVIIを参照）。

EU-SAASの代替案の戦略的利点

主権の基準を満たすヨーロッパのSaaSプロバイダーへの変更または主要な選択は、純粋なリスクの最小化を超えて企業を提供します。

• コンプライアンスと法的確実性の改善：対象となり、EUのデータを保証するプロバイダーの使用は、GDPR違反のリスクと非ヨーロッパ法との対立のリスクを大幅に減らします。これにより、データ処理のより安定した予測可能な法的基盤が作成されます。
• データ制御とセキュリティの向上：主権に焦点を当てた欧州プロバイダーは、多くの場合、独自のデータに対してより高いレベルの制御を提供します。これは、自己ホスティングオプション、一貫したエンドツーエンド暗号化（ゼロ知識）、透明な動作プロセス、および第三国当局によるアクセスの除外を通じて実現できます。
• 厳しいデジタル主権：欧州プロバイダーの決定は、非ヨーロッパの技術グループへの戦略的依存関係を削減します。ヨーロッパでの耐性デジタルエコシステムの確立をサポートし、地元のデジタル経済を強化します。
• 地元のサポートと文化的親密さ：ヨーロッパのプロバイダーは、それぞれの国語とタイムゾーンで、よりアクセスしやすく理解しやすい顧客サービスを提供することがよくあります。彼らはしばしば、ヨーロッパ市場の特定の要件と習慣をより深く理解しているため、協力と契約交渉を促進できます。
• 信頼の形成：明らかにデータ保護と自信のあるソリューションの使用は、顧客、パートナー、従業員にデータ保護とセキュリティに対する高いレベルのコミットメントを示しています。これは重要な信頼と競争上の優位性になる可能性があります。

ヨーロッパ企業の行動に関する推奨事項

ソブリンサースソリューションの利点を使用し、クラウド使用のリスクを管理するために、欧州企業は次の手順を考慮する必要があります。

• 個々のリスク分析を実行する：現在使用されている（特に米国ベースの）SaaSサービスをカルダー。処理されたデータの種類（感度、個人参照）、該当する規制要件（GDPR、業界固有の要件）、および不正なデータアクセスの潜在的な影響またはビジネスのサービスの障害を分析します。
• 主権の要件を定義する：データの主権、運用管理、技術の独立性の程度を決定します。すべてのアプリケーションが同じレベルの主権を必要とするわけではありません。リスクと戦略的重要性に基づいて優先順位を付けます。
• EUの代替市場を体系的に評価する：市場の概要（このレポートのものなど）およびあなた自身の研究を使用して、機能的および主権関連の要件を満たす潜在的なヨーロッパのSaaSプロバイダーを特定します。プロバイダーのサイズ、専門化、参照、将来の実行可能性を考慮してください。
• プロバイダーの選択における慎重なデューデリジェンス：マーケティングステートメントに依存しないでください。データの場所（バックアップ、メタデータを含む）、運用スタッフ、企業構造（所有権、座席）、使用される下請業者、暗号化技術（特にE2E/ゼロ知識）、セキュリティ対策に関するプロバイダーの情報を確認してください。注文処理契約（AVV）、技術組織測定（TOM）、および関連する証明書またはテスト（ISO 27001、BSI C5など）を要求し、注意深く確認してください。
• 移行戦略と出口計画を開発する：潜在的な変更を慎重に計画します。コスト、データ移行のための技術的な努力、インターフェイスへの必要な調整、従業員の変更管理を考慮してください。相互運用性に注意し、明確な出口戦略を定義して、将来のプロバイダーの変更またはデータの返還（可逆性）を可能にします。
• オプションをオプションとして確認します。EUプロバイダーまたは社内（自己ホスト）のマネージドサービスとしてのオープンソースベースのSaaSソリューションが、最大の透明性、適応性、および制御を実現するための適切な代替手段を表すかどうかを評価します。
• 規制の景観を観察する：大西洋横断データトラフィック（DPFチェック）の開発、欧州認定基準（EUCS）および関連する法律（NIS2、ドラ、業界固有の規制）に通知されます。これらはクラウド戦略に大きく影響する可能性があるためです。

特定のクラウドサービスの使用、特に米国のプロバイダーとヨーロッパの代替案に関する決定または使用に対する決定は、技術的または純粋なコンプライアンスの質問以上のものです。これは、法的確実性、データセキュリティ、重要なビジネスプロセスの制御、そして最終的にはグローバルなデジタル競争における会社の回復力と競争力に長期的な影響を与える戦略的コースです。非ヨーロッパのプロバイダーへの依存の分析されたリスクは、実質的であり、現在の地政学的および合法的な混合によって弱体化するのではなく増加します。

同時に、ヨーロッパの代替品に切り替えることは、きっと発生する成功ではありません。企業は、コンプライアンスとコントロールの利点が、機能の範囲、革新速度、または移行の取り組みに関して潜在的な不利益を上回るかどうかを慎重に検討する必要があります。あなた自身のニーズの徹底的な分析、利用可能な代替案の現実的な評価、および移行の慎重な計画は、成功に不可欠です。しかし、欧州市場は、企業がデジタル主権を危険にさらすことなくクラウドの利点を使用できるようにする、ますます持続可能で信頼できるオプションを提供しています。

☑️ 戦略、コンサルティング、計画、実行における中小企業のサポート

AI戦略の作成または再編成

☑️ 先駆的な事業開発

 

あなたの個人的なアドバイザーとして喜んでお手伝いさせていただきます。

以下のお問い合わせフォームにご記入いただくか、 +49 89 89 674 804 (ミュンヘン)。

私たちの共同プロジェクトを楽しみにしています。

 

 

Xpert.Digital は、デジタル化、機械工学、物流/イントラロジスティクス、太陽光発電に重点を置いた産業のハブです。

360°の事業開発ソリューションで、新規事業からアフターセールスまで有名企業をサポートします。

マーケット インテリジェンス、マーケティング、マーケティング オートメーション、コンテンツ開発、PR、メール キャンペーン、パーソナライズされたソーシャル メディア、リード ナーチャリングは、当社のデジタル ツールの一部です。

www.xpert.digital - www.xpert.solar - www.xpert.plusをご覧ください。