「デジタル主権」という言葉は、長年にわたり、EUの政策界隈で使われてきた政治的スローガンにすぎませんでした。政治的には便利である一方、戦略的には曖昧で、必要に応じて持ち出しやすい言葉だったのです。
しかし今や、この概念は欧州全域の企業の取締役会で、議論を左右する存在1 になっています。この変化は当然ともいえます。過去10年にわたるサプライチェーンの混乱、サイバー攻撃、地政学的な不安、そして国・地域間で進む規制の不一致が、欧州が自ら直接コントロールできないインフラやプラットフォーム、サプライヤーに、いかに深く依存しているかを浮き彫りにしてきたからです。たとえば、2025年時点2で、EU企業の52%超が有償クラウドサービスを導入しており、その利用企業の77%超が、複雑なクラウド技術基盤(スタック)に「強く依存している」と分類されています。そして、その基盤の大半は、EU域外のハイパースケーラーによって提供されているのです。企業にとって、こうした依存はもはや抽象的な問題ではありません。レジリエンス、法的リスク、事業継続、信頼をめぐる現実的な問いを突きつけています。
欧州が、自らのデジタルの未来を自らの手でコントロールしたいと考えるのは当然です。しかし、この議論は新たなリスクをはらむ展開になりつつあります。というのも、今なお多くの議論の中で、主権が主に「場所」の問題として捉えられているからです。つまり焦点が、データがどこに保存されているのか、クラウドプロバイダーの本社がどこにあるのか、あるいはサプライヤーが欧州企業なのか非欧州企業なのかといったことに置かれている。これらが重要であることは間違いありませんが、それだけでは不足なのです。基幹システムのコントロールは、地理だけで決まるものではない。セキュリティは、資本関係によって保証されるものではない。デジタルの壁を築けばレジリエンスが生まれるわけでもありません。
欧州が本気でデジタル主権を求めるのであれば、象徴論を超え、現代のインフラ運用が直面する現実と向き合う必要があります。問うべきは、欧州が純粋な意味でデジタル的に独立できるかどうかではありません。それは不可能です。真に問うべきは、深く相互接続されたデジタル経済の中で、欧州がレジリエンスを高め、統治可能性を強め、戦略的な脆弱性を低らせるかどうか―それが試金石です。
こうした抽象論を実務に引き戻すには、クリティカルな基幹サービスを稼働させ続ける責任を負う立場で、デジタル主権の意味を問うてみることです。
たとえば、欧州の大手銀行を例にしましょう。その銀行は、デジタル主権を堅固にするという考えには強く賛同するかもしれません。しかしそれにより、決済システムの信頼性が損なわれ、不正検知が遅くなり、サイバー対応が鈍くなり、障害発生時のサービス復旧が難しくなるとしたらどうでしょうか。そうした形の主権には、賛同できないでしょう。銀行利用者の関心は、主権がどれほど美しく謳われるかにはありません。利用者にとって重要なのは、決済がきちんと処理されるか、オンライン取引がいつでも可能か、負荷がかかる状況でも自分たちのデータが守られるかどうかです。
同様のことが、金融サービス以外の幅広い分野にも当てはまります。病院は、臨床システムを常に使える状態に保たなければなりません。製造業は、生産ラインを常に稼働させる必要があります。エネルギー事業者は、電力網の安定を常に図らなければなりません。物流事業者は、サプライチェーンの流れを維持する必要があります。政府は、危機的な状況でも公共サービスを機能させなければなりません。どのケースにおいても、主権は哲学ではなく、運用上の概念です。
この違いは重要です。現在の議論の多くは依然として、「排除によってコントロールを確保する」、すなわち、ワークロードを域内に戻す、地域のサプライヤーを優先する、あるいは受け入れ可能とみなすプロバイダーをより少数に絞り込む、などといったことを前提としています。そうした 選択が妥当な場合もあるでしょう。しかし、それ自体が目的になってしまうと、レジリエンスの低下、集中リスクの増大、そして脆弱性の拡大などといった正反対の結果を招きかねません。2021年にストラスブールで発生したOVHcloudのデータセンター火災3は、そのことを如実に示すできごとでした。域内主権を掲げる単一のプロバイダーにデータをローカライズしていた何千もの欧州組織が、バックアップも代替策もない状態に陥ったのです。ここで明らかになったのは、データの保管場所が地理的に近いからといって、非常時の備えを組み込んだ設計が不要にはならないということでした。
受け入れがたい事実かもしれませんが、事実として、ヨーロッパの主要な企業や政府はいずれも、国家あるいは欧州全体で閉じられた技術基盤の内側で運営できていません。現代のインフラは、レガシーシステム、プライベートクラウド、パブリッククラウド、データセンター、通信ネットワーク、ソフトウェアプラットフォーム、ID認証基盤、セキュリティ対策ツール、半導体サプライチェーン、そしてグローバルに分散したサポートモデルの上に重層的に成り立っています。ソフトウェアのアップデート、アクセス権のコントロール、脅威情報の収集・分析、監視、インシデント対応は日常的に、異なる法域をまたいで行われています。ローカルに見えるサービスも、そのスタックのどこかしらが必ず、グローバルに調達された構成要素に依存しています。
システムの欠陥ではありません。これが、システムそのものなのです。
問題は、欧州が複雑なエコシステムに依存していることではありません。それを都合よく無視したまま、主権が達成できると考えてしまっていることです。
問題は、欧州が複雑なエコシステムに依存していることではありません。問題はむしろ、その前提を無視しても主権を達成できるかのような議論があることです。真剣にデジタル主権戦略を考えるのであれば、①レジリエンスを高められるか、②相互運用性を維持できるか、③開放性を保てるかという3つの点に着目することです。
まず目を向けるべきは、レジリエンスです。継続性を欠いた主権には意味がありません。停止、サイバー攻撃、サプライヤーの障害、地政学的ショックに耐えられないシステムは、実務的な観点から見れば主権的とはいえません。欧州において、この点はとりわけ重要です。多くの重大な環境が、老朽化したネットワーク、分断されたアプリケーション群、十分な投資がなされていない運用インフラストラクチャーの上で、今なお稼働しているからです。すでに脆弱な基盤の上にさらに主権要件を重ねれば、リスクが減るどころか、かえって増してしまう恐れがあります。
次に重要なのが、相互運用性です。これは、おそらく主権の条件として最も見落とされている要素です。欧州がデジタル主権を求めた末に、閉じた設計や独自仕様の技術基盤、あるいは技術的に互換性のない環境へと向かっていくのなら、柔軟性が最も必要とされる局面で、その柔軟性を失うことになります。組織は相互運用性があるからこそ、特定ベンダーへの囲い込みを避け、供給元を分散し、リスクの変化に応じて処理をほかの環境へ移し、複合環境(オンプレミスとクラウドなど)全体でセキュリティ対策を連携させ、基盤の一部に障害が起きても継続性を保つことができます。相互運用性は主権の敵ではなく、むしろ前提条件のひとつです。
欧州は、コントロールの名のもとに分断を生み出すような主権モデルに対して、強い警戒心を持つべきです。オープンスタンダード、APIを軸にした連携、モジュール型の基盤、そして可搬性を前提に設計されたアーキテクチャーは、単なる技術上の選好ではなく、戦略的な資産として位置づけるべきです。同様に気をつけなければならないのは、国、業界、規制当局がそれぞれ、主権について異なる定義をしようとすることです。主権のあり方があまりに違いすぎると、ひとつの市場が相互に整合しないデジタル制度で分断されてしまいます。相互運用性を損なう形で主権を追求することは、欧州を強くするのではなく、その行動範囲をかえって狭めてしまいます。
三つ目のポイントは開放性で、この議論においては、直感的に真逆に感じられる論点かもしれません。しかし歴史的に見ても、欧州の強みは、堅固なルール、信頼できる制度、そして開かれた市場を組み合わせてきたことにあります。デジタルの領域でも、同様であるべきです。
「コントロール」の名のもとに進む集中にも、よく注意する必要があります。
開放性とは、依存に無自覚でいることでも、リスクを見て見ぬふりをすることでもありません。
法に基づくアクセス(当局によるアクセス)をめぐる懸念や、サイバー攻撃に見舞われるリスク、戦略的な脆弱性といった課題を踏まえたうえで、イノベーションや規模、エコシステムの多様性、競争圧力そのものが、レジリエンスの源泉になり得ると認識することです。だからこそ、この議論であまり語られていない重要なリスク―「コントロール」の名のもとに進む集中―にも目を向ける必要があります。
欧州が、ひと握りのグローバルプロバイダーへの依存を減らそうと、あまりにも拙速に限られた地域プロバイダーへ移行すれば、それは単に「ひとつの集中リスクを別の集中リスクに置き換える」だけとなりかねません。その新たな集中のほうが、より危険である可能性すらあります。移行先のプロバイダーは、地理的な冗長性が乏しく、サイバー防御・監視の規模も小さく、サプライチェーンの厚みも弱く、インシデント対応能力も十分に成熟していないかもしれません。「よりローカル」であることが、必ずしも「より安全」であるわけではないのです。
欧州の能力強化に反対しようというのではありません。戦略的なデジタル能力への投資は必須です。ただしリーダーは、選択肢を広げることと、囲い込みを義務づけることを区別しなければなりません。前者はレジリエンスを高めますが、後者はそれを損なうおそれがあります。
パブリックな議論の中では、依然としてデータレジデンシーが過度に強調されている一方で、実際のコントロールを左右する運用上のリスクについては、十分に論じられていません。リスクのひとつが断片化です。規制当局、国、業界がそれぞれ異なる形で主権を定義すれば、組織のアーキテクチャーは、保護も監査も復旧も難しい、過剰に個別最適化されたものへと追い込まれてしまいます。もうひとつのリスクは、見せかけの安心です。ローカルホスティングは一見、管理が行き届いているように感じられます。しかし実際には、より厄介な問題を未解決のまま抱き続けるかもしれません。管理者権限の統制、ソフトウェア供給網への攻撃耐性、認証基盤の弱さ、監視・可視化の不足、法に基づくアクセスをめぐる法域間の衝突、そして復旧設計の甘さといった問題です。そして、おそらく最も差し迫ったリスクは、「段取りを欠いた変更」です。主権を追い求めて、拙速な移行や政治判断によるプラットフォーム選定に走ることで、セキュリティを高めるつもりがかえって弱める結果になってしまうかもしれません。
では、具体的にどうすればよいのでしょう?
必要なのは、大規模にシステムを域内へ戻すことではありません。欧州の事業者だけで完結させる「欧州限定の技術基盤」でもありません。基幹システムが現場でどう動いているかを無視した、見栄えだけの再設計でもありません。
より現実的で説得力のある道は、基幹インフラを「選択的に」「リスクに基づいて」見直し、段階的に再設計していくことです。
機密性の高い処理は、イデオロギーではなく、リスク評価と運用ポリシーに基づいて切り分けます。暗号鍵やトラストサービスも、必要に応じて、顧客自身または域内で管理・統制できるよう構成できます。また、管理者権限は最小限に絞り、継続的な監視下に置くべきです。さらに、オンプレミスとクラウドなどの複合環境や複数事業者にまたがる監視・可視化を強化し、復旧/切替(フェイルオーバー)の設計も、単一の事業者・プロバイダー・法域への依存を減らす方向で見直します。契約面では、監査可能性、可搬性、実効性のある退出手段を担保するように刷新し、プラットフォームは「法的に可能」なだけでなく「技術的にも切り替え可能」な前提で設計する必要があります。目的はインフラを世界から切り離すことではなく、世界の不安定性が高まる中でも、基幹システムを信頼できる状態で安全に動かし続けられるよう、複雑さを統治することです。デジタル主権は、見かけの「ローカルさ」ではなく、負荷のかかる状況でもレジリエンスを保持できるか、異なる環境の間で相互運用性を確保できるか、イノベーションと選択肢を維持できるだけの開放性があるか、そして障害発生時にも統治可能であるかによって測られるべきなのです。
これは妥協案ではありません。運用の現実に向き合ってなお成立する、唯一のデジタル主権のあり方です。
お問い合わせはこちら
