英国データ主権とは何か——ブレグジット後の「第三の道」

英国のデータ主権は、ブレグジットによって生まれた独自の概念だ。

2020年12月31日の移行期間終了と同時に、EUのGDPRは英国国内法として「UK GDPR」に継承された。内容はEU GDPRとほぼ同一だが、参照する機関がICO(情報コミッショナー事務局)に、権限がEU委員会から英国国務大臣に置き換えられた。Data Protection Act 2018(DPA 2018)がこの枠組みの基盤法だ。

2024年5月24日に成立したData Protection and Digital Information Act(DPDI法)は、英国データ保護法のEUからの実質的な分岐点となった。DPO(データ保護責任者)要件を「Senior Responsible Individual」に緩和し、DPIA(データ保護影響評価)要件を簡素化、cookieの同意モデルをオプトアウト方式に移行し、「legitimate interests(正当な利益)」の基盤を拡大した。国際データ移転においても、「本質的に同等」という厳格な基準ではなく、より広範な要因に基づく承認を可能にした。

英国政府はこのアプローチを「世界をリードするデータ体制」「ブレグジットの配当」と位置づけている。John Edwards情報コミッショナー(2022年1月就任、元ニュージーランドプライバシーコミッショナー)は「データ保護法はイノベーションを妨げる障壁ではなく、信頼できるイノベーションを可能にするフレームワークだ」と述べた。しかしプライバシー擁護団体Open Rights GroupのJim Killock事務局長は、英国データ保護と主権の侵食を警告している。

EUとの綱渡り——十分性認定の延長とその脆弱性

イングランド・データ主権とSovereign Cloud 図表02

英国データ主権の最大の制約は、EU十分性認定への依存だ。

EU委員会は2021年6月28日に英国の十分性認定を採択し、EEAから英国への個人データの自由な移転を認めた。この認定には4年間のサンセット条項が含まれ、2025年6月27日に失効予定だったが、2025年6月に延長された。European Data Protection Board(EDPB)はDPDI法による英国の変更を認めつつも「本質的同等性は維持されている」との意見を示した。

しかし失効リスクは消えていない。DPDI法のDPO要件緩和、DPIA簡素化、cookie同意改革、国際移転基準の拡大は、EU側の懸念材料だ。Max Schrems氏の法的チャレンジがEU-US Safe Harbor(Schrems I、2015年)とPrivacy Shield(Schrems II、2020年)を無効化した先例は、英国十分性にも適用されうる。十分性が失効した場合、英国-EU間のデータ移転はSCC(標準契約条項)やBCR(拘束的企業規則)に依拠する必要があり、英国企業に年間数十億ポンドのコンプライアンスコストが発生する。

英国は「EUとの十分性を維持しつつ、EUよりも柔軟」という「第三の道」を歩もうとしているが、この二つの目標は本質的に緊張関係にある。

M365のデータ主権論争——最も深刻な構造的リスク

イングランド・データ主権とSovereign Cloud 図表03

英国データ主権の最も深刻な論争点が、Microsoft 365(M365)のデータ主権問題だ。

英国政府のM365依存の規模は圧倒的だ。内閣府、内務省、国防省、教育省、HMRC(歳入関税庁)、さらに英国議会自体がM365を使用している。NHSもNHS MailをExchange Onlineに移行した。数十万人の政府職員と公共セクター労働者が日常的にM365を使用している。

Microsoftのデータレジデンシーコミットメントは以下の通りだ。英国テナントの「コア顧客データ」はUK South(ロンドン)とUK West(カーディフ)のデータセンターに保存される。対象はExchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams(チャット/チャネルメッセージ)だ。

しかし重大な例外がある。第一に、テレメトリデータ、診断データ、サポートデータ、一部の処理操作はUK外に出る可能性がある。第二に、一部の操作で一時的にUK外で処理される場合がある。第三に、Bing統合、Copilot機能、Delve等のグローバルサービスは地域固有ではない。

最大の問題はMicrosoftのEU Data Boundary(2024年1月1日開始)が英国を対象外としていることだ。EU/EFTA顧客にはデータがEU/EFTA内に保存・処理される強化された保証が提供されるが、英国は含まれない。EU政府顧客には提供される保護が、英国政府顧客には提供されないという非対称が生じている。

米国CLOUD法(2018年3月23日成立)は構造的リスクの根源だ。CLOUD法は米国の法執行機関が米国に本拠を置くテクノロジー企業に対し、データが米国内にあるか海外にあるかに関わらず、データの提出を強制できる。つまり、英国政府データがMicrosoftのUKデータセンターに保存されていても、米国政府はCLOUD法の下でMicrosoftにそのデータの開示を命じることができる。

英国-米国データアクセス協定(2019年10月3日署名、2022年10月発効)はCLOUD法に基づく最初の二国間協定だ。各国の法執行機関が相手国のテクノロジー企業に直接データを請求できるが、重大犯罪に限定され、相手国の国民を対象とすることはできない。しかし国家安全保障上の請求(FISA第702条等)は協定の範囲外であり、米国情報機関は英国政府職員のデータにアクセスし得る。

英国下院と上院の双方でM365のデータ主権に関する質問が提起されている。Open Rights Groupは政府のMicrosoft製品使用とデータ主権の懸念についてキャンペーンを展開し、Privacy InternationalはCLOUD法と政府データに関する懸念を表明している。

AI統合がリスクを増幅している。Microsoft CopilotのM365統合により、AI処理がどこで行われ、どのデータがAIモデルに供給されるかという新たな疑問が生じている。地政学的緊張が高まる中、デジタル主権への注目も強まっている。労働党政権(2024年7月以降)はデジタル主権への関心を示しているが、M365に関する決定的な行動はまだ取っていない。

UKCloudの崩壊——ソブリンクラウドの構造的ジレンマ

イングランド・データ主権とSovereign Cloud 図表04

英国ソブリンクラウドの歴史で最も象徴的な出来事が、UKCloudの崩壊だ。

UKCloudは2011年に設立された英国唯一の国産ソブリンクラウドプロバイダーだった。データは英国内のみに保存、英国国民のみが運用、英国法のみに準拠——これがセールスポイントだった。NHS、国防省、警察、地方自治体、中央政府が顧客だった。

2022年10月24日、UKCloudは強制清算に入った。PwCが清算人として任命された。収益は約4,000〜5,000万ポンドだったが利益が出ておらず、ハイパースケーラー(AWS、Azure、Google)との価格競争に敗れた。追加資金調達と売却を試みたが失敗した。

崩壊の教訓は明確だ。第一に、ソブリンクラウドプロバイダーはハイパースケーラーとの規模の経済で圧倒的に不利だ。第二に、英国政府の調達プロセスは主権よりもコストを優先する傾向がある。第三に、「ソブリン」だけでは差別化要因として不十分だ。第四に、政府はUKCloudを防衛産業と同様の戦略的インフラとして扱うべきだったという批判がある。

崩壊後、旧UKCloud顧客の多くがAWSやAzureに移行し、政府のハイパースケーラー依存がさらに強まるという皮肉な結果となった。

NHS・金融サービスのデータ要件

NHSと金融サービスは、英国データ主権の最もセンシティブな領域だ。

NHSの患者データは、UK GDPR/DPA 2018に加え、Common Law上の秘密保持義務、Caldicott原則(8つの原則)、NHS Data Security and Protection Toolkit(DSPT)の対象だ。事実上、NHSデータは英国内に保存されなければならない。

最大の論争はPalantir Federated Data Platform(FDP)だ。NHS Englandは2023年11月にPalantir Technologies(米国企業、CIAの投資部門In-Q-Telが初期投資家)に約3.3億ポンド(約610億円)の7年間契約を授与した。FDPはNHS組織間のデータを統合し、運用効率と待ち時間管理を改善する目的だが、米国企業への患者データ委託として激しい批判を浴びた。openDemocracyとFoxgloveが法的チャレンジを提起し、世論調査ではPalantirのNHSデータ取扱いに対する国民の不快感が示された。100万人以上がNHSデータ共有をオプトアウトしたとされる。Palantir側はFDPが「フェデレーテッド」——データが各NHS組織のインフラ内に留まり集中化されない——と反論し、データは英国を離れないと述べている。

金融サービスでは、FCA/PRAの共同監督声明SS2/21(アウトソーシングと第三者リスク管理)が重要だ。英国内データレジデンシーは直接義務づけられていないが、規制監督能力の維持、監査アクセス、事業継続性の要件から、実質的にデータは英国規制当局の手の届く範囲にある必要がある。Financial Services and Markets Act 2023は「Critical Third Parties」(AWS、Azure、Google Cloud等)に対する直接的な規制監督権限を導入した。

政府セキュリティ分類とソブリンクラウドの現実

英国政府のデータは3段階のセキュリティ分類を持つ。

OFFICIAL(OFFICIAL-SENSITIVEを含む)は政府データの約90%を占め、認定されたパブリッククラウド(ハイパースケーラーのUKリージョン含む)で処理可能だ。SECRETはより厳格な制御を要し、通常UKベースのインフラと追加保証が必要。TOP SECRETは最高分類であり、一般にエアギャップ環境、英国内オンプレミス、セキュリティクリアランスを持つ英国国民による運用が求められる。

NCSCの14のクラウドセキュリティ原則は、データ転送中の保護、資産保護、ユーザー間分離、ガバナンスフレームワーク、運用セキュリティ、要員セキュリティ、セキュアな開発、サプライチェーンセキュリティなどをカバーする。NCSCはAWS、Azure、Google Cloudの各サービスをこれらの原則に対して評価・公開している。

注目すべきは、NCSCが「データの物理的な場所は、それが属する法的管轄権やそれを保護するセキュリティ対策よりも重要でないことが多い」と明示していることだ。ただし特定の分類やスレットモデルでは、UK内データレジデンシーが適切な要件であることも認めている。

市場データ——欧州最大のクラウド市場

イングランド・データ主権とSovereign Cloud 図表07

英国は欧州最大のクラウド市場であり、データセンター市場でもある。

英国のクラウドインフラサービス市場は年間約150〜180億ポンド(約2兆7,750億〜3兆3,300億円)と推定され、年率20〜25%で成長している。市場シェアはAWS(約30〜33%)、Microsoft Azure(約25〜28%)、Google Cloud(約10〜12%)が支配する。

G-Cloud フレームワーク(Crown Commercial Service)を通じた政府クラウド調達は累計120億ポンド超に達する。英国のデータセンター容量は800MW超で欧州最大、ロンドンは欧州最大のデータセンターハブだ。サイバーセキュリティ市場は約120〜130億ポンド規模で世界第3位。

UKCloud崩壊後の英国ソブリンクラウド市場は、ハイパースケーラーのUKリージョンが主流であり、専用ソブリンプロバイダーではなく技術的・契約的な制御によるアプローチが取られている。

今後の見通し——AI時代のデータ主権とソブリンクラウドの未来

英国のデータ主権は、複数の力学が交差する転換点にある。

DPDI法の影響は今後数年で具体化する。同法は2024年5月に成立したが、多くの条項は二次立法を必要とし、2026年初頭時点でまだ策定中だ。今後の規制がEUとの乖離を拡大すれば、十分性認定の維持が困難になる。

AIとデータ主権の交差が最大の新論点だ。AIモデルの訓練データの保存・処理場所、AI推論時の機密データ処理、Microsoft CopilotのM365統合によるデータフロー——これらすべてがデータ主権の問題を増幅する。英国AI Safety Institute(2023年11月設立)はAI安全性に注力するが、データ主権との交差点も視野に入る。

ソブリンクラウドの未来について、UKCloudの失敗にもかかわらず、グローバルではソブリンクラウドへの投資が加速している。フランスのThales-Google、ドイツのT-Systems-Googleのようなパートナーシップモデルが英国でも採用される可能性がある。英国政府がソブリン要件にコミットすれば、2028〜2030年に市場規模は50〜80億ポンドに達する可能性がある。

英国の「データブリッジ」構想は最も楽観的なシナリオだ。EUとの十分性を維持しつつ、米国との緊密な関係(UK-USデータアクセス協定、Five Eyes、「特別な関係」)を活かし、日本、韓国、オーストラリア等とのデータ移転協定を拡大する。成功すれば、英国は多国籍データオペレーションの魅力的な管轄地となりうる。しかし、英国がEUからの米国へのデータパイプラインとして機能する——弱い保護で——と見なされれば、EUはこのルートを制限するだろう。

M365のデータ主権問題は、短期的には解決されない構造的課題だ。LibreOffice、Nextcloud、Matrix等のオープンソース代替が提唱されているが、M365のエコシステムに匹敵する代替は現時点で存在しない。英国政府のM365への依存は深く、移行は極めてコストがかかり破壊的だ。この問題は、デジタル主権が単なる技術的課題ではなく、地政学的・法的・経済的複合課題であることを如実に示している。

業界への影響

第一に、英国のDPDI法によるEU GDPRからの分岐は「イノベーション促進」と「十分性認定の維持」の間の構造的な緊張を生んでいる。2025年6月の延長は安堵をもたらしたが、さらなる乖離は失効リスクを高め、英国企業に年間数十億ポンドのコンプライアンスコストが発生しうる。

第二に、M365のデータ主権問題は英国政府にとって最も深刻かつ即座の対応が困難な課題だ。MicrosoftのEU Data Boundaryが英国を除外していることは、EU政府顧客と英国政府顧客の間に非対称な保護を生んでいる。CLOUD法による米国のデータアクセスリスクは、技術的緩和策(顧客管理暗号化キー、コンフィデンシャルコンピューティング)で軽減できるが完全には排除できない。

第三に、UKCloudの崩壊は、ソブリンクラウドが規模の経済なしには持続できないことを証明した。しかしグローバルではThales-Google、T-Systems-Googleのようなパートナーシップモデルが成功しており、英国でも同様のアプローチが検討される可能性がある。

第四に、NHSのPalantir契約(3.3億ポンド)は、データ主権が抽象的な概念ではなく、市民の最もセンシティブなデータ——健康記録——に直接関わる現実の問題であることを示した。100万人以上がオプトアウトした事実は、公衆の信頼がデータ主権戦略の成否を左右することを証明している。