欧州をはじめ世界各国は、地政学的不確実性が高まる時代を生きています。制裁リスク、法制度の乖離、サイバー攻撃による混乱は、かつての抽象的な懸念事項から、今や経営レベルで議論される現実の変数へと変わりました。デジタル主権は、単なる理想から実際の運用上の要件へと転換しつつあります。その背景には、レジリエンスへの期待の高まり、重要サービスへの依存、そして地政学・サイバーリスクの増大があります。
主権の定義はさまざまです。データのローカライゼーション義務から産業政策、国家安全保障に至るまで幅広く議論されています。しかし、統一された定義がないからといって、その意図がないとは言えません。主権はすでに、調達判断、規制遵守、技術戦略に影響を与え始めています。
政府とテクノロジー産業の接点で長年働いてきた経験から、デジタル政策がいかに早く実際の運用上の制約へと具体化するかを目の当たりにしてきました。また、「主権」という言葉が、依存、地政学、危機時に重要サービスが利用できなくなるかもしれないという不安など、より広い懸念の代替表現として使われやすいことも、繰り返し見てきました。
ここには二つの問題が絡み合っています。第一に、外国技術への過度な依存が国家のレジリエンス問題となりうるという政策立案者の指摘は正当です。クラウド市場の集中がその典型例です。昨年の欧州全体では、上位3社のクラウドプロバイダーが市場シェアの約70パーセントを占めており、欧州系プロバイダーの合計シェアは約15パーセントにとどまっています。集中そのものがただちにセキュリティ上の失敗を意味するわけではありませんが、法制度が乖離したり、アクセスが争われたり、地政学的な衝撃が生じて機動力が失われたりした場合、それは深刻な戦略的依存へと転化しかねません。また、少数のプロバイダーに障害が発生すれば、数千もの組織やサプライチェーンへと連鎖的に波及する「リップルエフェクト」も増幅させます。
第二に、拙速な主権施策がコストや規制の複雑性を高めるという経営者の懸念も正当です。厳格なローカライゼーション義務や「国産スタックのみ」という方針は、インフラの重複投資を招き、近代化を遅らせます。実際には、先進技術へのアクセスを制限したまま、組織が計画以上に長期間レガシーシステムに縛られる結果をもたらします。
同様の緊張は、欧州の競争力をめぐる議論にも影響を与えています。イタリアの元首相マリオ・ドラギ氏は、安全保障こそが持続可能な成長の前提条件であり、地政学的な不安定が高まる中で深い依存関係は欧州を強制に対して脆弱にすると主張しています。問われているのは主権が重要かどうかではなく、逆効果な調達イデオロギーに陥らずに主権をいかに追求するかという点です。
政策からプラットフォーム選択へ
フランス政府が最近、特定の外国製ビデオ会議ツールの利用を制限し、国産の代替ツールを優先する決定を下したことは、EU全体の方向性を示す象徴的な出来事です。その判断の是非はともかく、この動きはより大きな変化を示唆しています。主権は、技術選択を迅速に塗り替えうる実際的な制約になりつつあるのです。
多くの組織は、これに対して第三の、そして有害な対応を取っています。それは「先送り」です。Zscalerが委託した調査では、回答者の73パーセントが、デジタル主権への懸念からトランスフォーメーション施策を延期または中止したと回答しています。この「一時停止の動態」は危険です。なぜなら、レガシーリスクへの露出を長引かせ、サイバー対応力を弱め、脅威の状況がかつてないほど急速に変化する中で、ランサムウェア、サプライチェーン侵害、大規模障害、突然の越境ルール変更といった混乱を吸収する組織の能力を低下させるからです。
欧州がレジリエンスを強化するような主権を実現したいのであれば、政治・経済のリーダーには、実践的で測定可能であり、開かれた市場と両立し、テクノロジー分野の専門知識に裏打ちされたフレームワークが必要です。その一つとして、「コントロール、選択肢、継続性」という枠組みを提案します。
成果に基づくフレームワーク
主権の出発点は、組織が実際にコントロールできる事柄です。誰がデータにアクセスできるか、誰がシステムを管理できるか、ベンダーが顧客コンテンツを閲覧できるか、ログはどこに保存されるか、鍵はどう管理されるか、サブコントラクターは何を見られるか、そしてポリシーをどう執行できるか。コントロールとは孤立を意味するのではなく、強制力ある統治と隠れた依存の削減を指しています。
主権にはまた、前提が崩れた際の信頼性ある選択肢が必要です。自社の「ベンダー戦略」が実は依存戦略であり、現実的な代替手段がほとんどないことに、手遅れになってから気づく組織があまりにも多いのが現状です。
選択肢は、あらゆるものを二重に調達することで得られるわけではありません。組織の機動性を保ちベンダーロックインを回避するアーキテクチャと契約によって実現されます。具体的には、データや設定のポータビリティ、依存先・アクセス所在・管轄区域・サプライチェーン上のサブコントラクターに関する完全な透明性、そして時間的プレッシャーの下でも実行可能なあらかじめ合意された移行経路が必要です。また、主権をめぐる議論がトランスフォーメーション停止の口実に使われないよう、リーダーが歯止めをかけることも重要です。主権上の制約に直面するプログラムは、すべて「再設計・軽減・期限付き撤退」という意思決定プロセスを経るべきです。
三つ目のCは「継続性」です。いかなる混乱が生じても重要サービスを稼働し続けることを指します。主権が戦略的脆弱性を低減するためのものであるとすれば、継続性こそが主権が真に機能するか、あるいは形だけのものになるかを分ける試金石です。
継続性は、目標復旧時間(RTO)、テスト済みのフェイルオーバー、サプライヤー障害演習、管轄区域変更シナリオに対する訓練によって測定できます。欧州全体で見れば、脅威環境がこの緊急性をさらに高めています。Zscaler ThreatLabzのデータによると、欧州各国でランサムウェア被害件数が前年比で増加しており、スペイン(+116パーセント)、ドイツ(+74パーセント)、ベルギー(+73パーセント)、イタリア(+53パーセント)、フランス(+34パーセント)などが顕著です。レジリエンスに関する別の調査では、IT幹部の52パーセントが、エージェント型AIや量子コンピューティングなど現在および新興の脅威に対して自社の現行セキュリティ対策が不十分だと考えていることが明らかになっています。また、英国国家サイバーセキュリティセンター(NCSC)は、過去1年間で「国家的に重要な」インシデントが130パーセント増加したと報告しています。
AIはこうしたリスクを加速させています。すでに「悪意ある行為者」に対して、攻撃の速度・規模・巧妙さを高める新たな能力を与えています。問われているのは混乱が起きるかどうかではなく、システムがそれに耐えられるかどうかです。
ベンダーではなく成果を規定する
経営者は、主権によってコストが上がり、コンプライアンス上の摩擦が増し、先進技術へのアクセスが狭まると主張します。それはしばしば事実です。一方、政策立案者の懸念も正当です。戦略的依存は国家安全保障とレジリエンスを損なう可能性があります。
問題は、主権規制が「どのベンダーを購入すべきか」を規定する方向に書かれてしまうことです。本来規定すべきは、「混乱時にサービスを継続するためにどのようなコントロールが必要か」という成果です。
最も有益な主権要件は成果ベースです。アクセスとデータに対する強制力あるコントロール、ポータビリティと移行によって実現される信頼できる選択肢、そしてテストと復旧によって実証された継続性。こうした要件は、組織がグローバルプラットフォームを安全に活用しながらローカルの要件を満たし、近代化を止めることなく対応できる余地を生み出します。
主権が今や運用上の要件であるとすれば、すべてのステークホルダーに果たすべき役割があります。
取締役会は、自組織にとって「十分な主権」が何を意味するかを定義し、レジリエンスの成果に連動したインセンティブを設けながら、定期的な報告とテストを義務付けるべきです。CEOとCOOは、主権を継続性の問題として捉え、脆弱なレガシー依存を低減する近代化に投資し、滞っているプログラムの意思決定を促進すべきです。CIOとCISOは、サードパーティのアクセスを洗い出して最小化し、必要に応じてローカライゼーションとマルチリージョンのレジリエンスを実装し、サプライヤー障害や管轄区域変更シナリオに備えた計画を構築すべきです。
規制当局は定義を明確化し、可能な限り要件を統一するとともに、先送りを促すのではなく近代化を奨励する移行期間付きのコンプライアンス経路を整備すべきです。このアプローチはリスクベースであり、業界との協議を経て合意されるものでなければなりません。
コントロール・選択肢・継続性のスケール展開
コントロール、選択肢、継続性を規模を持って実現するには、「コラボレーション」と「コンプライアンス」という二つの追加的な規律が必要です。
コラボレーションは、相互運用性、インシデント対応の共同準備、サブコントラクターの透明性、そして集中リスクを単に移転させるのではなく低減する信頼できるベンダーパートナーシップを通じて、主権と開放性の両立を可能にします。解決策はローカルの需要に適合し、地域エコシステムへの投資を促進するものでなければなりません。
コンプライアンスは、明確な定義、監査可能なエビデンス、そして運用上のコントロールに焦点を当てた規制アプローチを通じて、主権を測定可能なものにします。これによって組織は先送りではなく近代化へと向かうようになります。
欧州流のデジタル主権は、成果によって評価されるべきです。修辞ではなく、組織がアクセスを統治できるか、選択肢を確保できるか、インシデント発生時に迅速に復旧できるか、そして依存関係が崩れても重要サービスを提供し続けられるか——これらが問われるべき指標です。うまく設計されれば、デジタル主権はレジリエンス、イノベーション、成長、競争力の触媒となります。しかし拙速に進めれば、それが守るはずのトランスフォーメーションそのものにブレーキをかける結果になります。
本稿はZscalerによる寄稿です。
翻訳元: https://www.theregister.com/security/2026/06/17/digital-sovereignty-needs-an-operating-model/5254631
