結論: 欧州委員会が2026年4月、€1.8億(約300億円)のソブリンクラウドサービス調達を4社に発注した。注目点は「主権(Sovereignty)」を8つの基準で定量化するSEAL(Sovereignty Effectiveness Assurance Levels)制度の導入で、あいまいだったデータ主権論を行政調達の実務レベルに落とし込んだことにある。
この記事の要点:
- 要点1: 契約額€1.8億・期間6年——EU機関全体が使えるソブリンクラウドのフレームワーク契約
- 要点2: SEAL-0(主権ゼロ)〜SEAL-4(完全EU製)の5段階評価で、AWS・Azure・GCPは原則対象外
- 要点3: 日本も「ガバメントクラウド」でAWS・Azureを採用しているが、この動きは無関係ではない
対象読者: 情報システム部門・IT調達担当者、コンプライアンス・リスク管理担当者、AI・クラウドガバナンスに関心のある経営者
読了後にできること: EUのデータ主権フレームワークを理解し、自社のクラウド調達・AI利用ガバナンスの見直し論点を整理できる
「データはどこに保存されているのか」「外国政府にアクセスされるリスクはないか」——AI研修の現場で、この質問が増えてきています。特に金融・医療・官公庁関係の企業からは、「ChatGPTやClaudeに入力したデータは大丈夫なの?」という声を毎回のように聞きます。
この問いに対して、欧州委員会が2026年4月17日に一つの答えを出しました。ソブリンクラウドの調達基準を「SEAL」という5段階の定量評価に落とし込み、€1.8億の公共調達を欧州企業4グループに発注したのです。
「欧州の話でしょ」と思うかもしれませんが、企業のAIガバナンスという観点では日本企業にも直接的な示唆があります。今回はそのメカニズムを詳しく解説します。
何が起きたのか——ファクトの全体像
| 項目 | 詳細 |
|---|---|
| 発表日 | 2026年4月17日 |
| 発注機関 | 欧州委員会(European Commission) |
| 契約額 | 最大€1.8億(約300億円) |
| 契約期間 | 6年間 |
| 受注企業(4グループ) | Post Telecom+OVHcloud+CleverCloud、STACKIT、Scaleway、Proximus+S3NS+Mistral |
| SEAL達成レベル | Post Telecom/STACKIT/Scaleway: SEAL-3。Proximus: SEAL-2 |
| 対象 | EU機関・組織・機関・庁が利用できるソブリンクラウドフレームワーク契約 |
受注した4グループをみると、フランスのOVHcloud・Scaleway、ドイツのSTACKIT(Schwarz Group傘下)、ルクセンブルクのPost Telecomなど「純粋欧州系クラウド事業者」が中心です。
注目すべきは4番目のProximus(ベルギー)グループです。Proximus+S3NS(ThalesとGoogle Cloudの合弁会社)+Mistral(フランスのAI企業)という構成で、SEAL-2(データ主権レベル)を達成しています。つまり「Googleのテクノロジーを使っているが、欧州の法的枠組みで運用する」という形式でも一定の主権基準を満たせる、という判断が下されました。
SEALとは何か——「主権」を定量化した革新的な仕組み
今回の調達で最も重要なのは、「ソブリンクラウド」という曖昧な概念を5段階で定量化したSEAL(Sovereignty Effectiveness Assurance Levels)制度の導入です。
| レベル | 名称 | 意味 |
|---|---|---|
| SEAL-0 | 主権なし | 非EU第三者による供給網遮断が可能 |
| SEAL-1 | 契約主権 | EU法に準拠した契約上の保証あり |
| SEAL-2 | データ主権 | EU法・規制を追加措置なく遵守(Proximus/S3NSが該当) |
| SEAL-3 | デジタル耐性 | 非EU第三者からの供給網遮断を受けない(OVHcloud等が該当) |
| SEAL-4 | 完全EU製 | チップからソフトウェアまで完全EU製のサプライチェーン |
受注資格の最低ラインはSEAL-2です。AWS・Microsoft Azure・Google Cloud(単独)はSEAL-1以下とみなされ、このフレームワーク契約の対象外になりました。これはつまり、「欧州の行政機関はAWS・Azureをソブリンクラウドとしては使えない」という宣言でもあります。
SEAL制度が革新的なのは、「主権」という政治的・哲学的概念を、8つの具体的な評価軸(戦略・法的・運用・環境・サプライチェーン透明性・技術開放性・セキュリティ・EU法令遵守)で測定可能にしたことです。
なぜこれが重要なのか——技術的・業界的な意味
欧州委員会自身の認識
「この調達は政治的目標を測定可能な行政行為に変えた。ブリュッセルは何年もかけて非欧州クラウド依存の脆弱性を論じてきたが、今回は実際に欧州のソブリンクラウドを調達した」
——World Economic Forum, 2025年11月(調達枠組み発表時)
この言葉が示すとおり、今回の意義は「€1.8億の調達額」より「主権を行政調達の実務基準にした」ことにあります。
EU AI Actとの関係
EU AI Act(EU AI法、2024年8月施行開始)はAIシステムのリスク分類と規制を定めますが、ソブリンクラウドとは別の法制度です。ただし両者は密接に絡み合います。
- 高リスクAI(医療診断・採用選考等)のデータは、EU法で保護された環境(SEAL-2以上)で処理することが事実上求められる方向
- EU機関がAIを導入する際、そのインフラがSEAL-2以上のクラウドで動作することが要件化される可能性
- 欧州データ戦略(European Data Strategy)との連携で、データスペース(Gaia-X等)との統合が進む見込み
「Googleのテクノロジー+欧州の枠組み」でSEAL-2を達成したProximus/S3NSの含意
Proximus/S3NS(Thales+Google Cloud合弁)がSEAL-2を達成したことは、「非欧州テクノロジーでも、適切な枠組みで運用すれば一定の主権基準を満たせる」という重要な原則を打ち立てました。
欧州委員会自身も「厳格かつ適切な枠組みの下で運用される場合、非欧州テクノロジーも必要最低限の主権水準を満たせる」と述べています。これは「AWS・Azureを完全排除する」ではなく、「透明性・耐性・法的準拠を条件に共存を認める」という現実的な路線です。
賛否両論——楽観論と慎重論
楽観論:「主権」が測定可能になったことで企業・行政の選択肢が広がる
SEAL制度によって、「このクラウドは主権的か?」という問いに答えられるようになりました。企業がクラウド調達時に「SEAL-2以上を要件とする」と指定するだけで、データ主権要件を明確化できます。これはこれまで各国バラバラだったデータローカライゼーション要件の統一化に向けた前進です。
慎重論:欧州クラウドエコシステムの競争力に疑問符
OVHcloud・STACKIT・Scalewayは欧州系クラウドの中では大手ですが、AWS・Azure・GCPと比べるとサービスの幅・機能・グローバルのデータセンター数で大きく劣ります。SEAL-3を要件とする調達案件では、機能面の妥協が避けられない可能性があります。
また、Mistralのような欧州AIモデルも参加していますが、GPT-4oやClaude 3 Opusと比べた性能差は依然として存在します。「主権」を優先するために「性能」を犠牲にするトレードオフは、特に高度AI活用を進めたい行政機関にとって悩ましい問題です。
日本企業への影響
日本のガバメントクラウドとの比較
日本でも、デジタル庁が「ガバメントクラウド」としてAWS・Microsoft Azure・Google Cloud・Oracle Cloudの4社を認定しています(2023年)。日本のガバメントクラウドには、EUのSEAL制度に相当する「主権の定量評価」基準はまだ存在しません。
ただ、2024年にデジタル庁が「外国政府によるデータアクセスリスク」を調達基準に加える議論を始めており、EUのSEALフレームワークは日本の行政IT調達改革の参照モデルになる可能性があります。
日本企業のクラウドガバナンスへの4つの示唆
示唆1:「EU規制は遅れてくる」——今から自社データの主権評価を
EUでビジネスをしている日本企業、または欧州の取引先を持つ企業は、自社が利用するクラウドがSEAL-2相当の基準を満たしているかを今から確認しておく必要があります。GDPR対応が日本企業に波及したように、ソブリンクラウド要件も欧州取引先経由で要求される可能性があります。
示唆2:クラウド調達に「主権スコア」の考え方を取り入れる
EUのSEAL制度を参考に、自社のクラウド調達基準に「データの法的管轄」「供給チェーンの透明性」「非常時のデータ取り出し保証」などを評価軸として追加することを検討する価値があります(AI導入戦略ガイドも参照)。
示唆3:「Proximus/S3NSモデル」を日本でも検討
ThalesとGoogle Cloudの合弁S3NSがSEAL-2を達成したように、「グローバルクラウドの技術力+国内事業者の運用・法的枠組み」という組み合わせは日本でも有効です。富士通・NTT・さくらインターネットのような国内事業者がAWS・Azureのリセラー的役割を持ちながら、法的・運用的な「国産ラッパー」を提供するモデルが広がる可能性があります。
示唆4:AI活用のガバナンス体制を「説明可能」にしておく
EU AI Actやソブリンクラウド要件は「なぜこのAIを使っているのか」「データはどこに保存されているのか」を説明できることを求めています。日本企業も取引先・規制当局・従業員に対してAI利用の透明性を確保する体制を今から整えておくことが競争優位につながります。
企業がとるべきアクション
- 今月中(2026年4月):自社が利用する主要クラウドサービス(SaaS含む)のデータ保管場所・管轄法域・外国政府アクセス可能性を確認する
- 2026年Q2中:EU取引先・欧州子会社向けのデータ処理に使うクラウドがGDPR+SEAL-2相当を満たしているかを法務・IT部門で確認する
- 2026年内:社内のクラウドガバナンスポリシーにデータ主権評価軸を追加し、AI利用の透明性レポートの作成を検討する
参考・出典
- Commission advances cloud sovereignty through strategic procurement — European Commission(参照日: 2026-04-17)
- Commission awards €180 million tender for sovereign cloud to four European providers — European Commission Press Corner(参照日: 2026-04-17)
- EU awards its €180 million sovereign cloud contract — The Next Web(参照日: 2026-04-17)
- European sovereign cloud: EU Commission awards €180m tender to four providers — INSIGHT EU MONITORING(参照日: 2026-04-17)
- Why Europe’s €180 million cloud bet matters — World Economic Forum(参照日: 2026-04-15)
まとめ:今日から始める3つのアクション
- 今日やること:自社の主要クラウドサービス(AWS/Azure/GCP/SaaS)のデータ保管国・管轄法域をリストアップし、欧州取引先がある場合は「GDPR準拠証明書」を確認する
- 今週中:デジタル庁の「ガバメントクラウド」最新ガイドラインと、EUのSEAL制度を比較して自社のクラウドガバナンスポリシーのギャップを確認する
- 今月中:コンプライアンス担当・法務・IT部門が連携して「AIデータ主権ポリシー草案」を作成し、役員に提言する
データ主権は「欧州の課題」ではなく、「グローバルでビジネスをする全企業の課題」です。AIガバナンスの構築方法については、AI導入戦略の全体フレームワークもあわせてご参照ください。
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。早稲田大学法学部在学中に生成AIの可能性に魅了され、X(@SuguruKun_ai)フォロワー約10万人。100社以上の企業向けAI研修・導入支援を展開。著書『AIエージェント仕事術』(SBクリエイティブ)。SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
