ガバメントクラウドの技術ロックインとデータ主権――日本版ソブリンクラウドは可能か
令和7年(2025年)12月26日付けで、ガバメントクラウドに関する公募が行われています。
デジタル庁におけるガバメントクラウド整備のためのクラウドサービスの提供-令和8年度募集-
https://www.digital.go.jp/procurement/5107093b-7c29-4ffe-808b-6e39b5e0e5be
関係書類として、調達仕様書や技術要件詳細などがあり、資料を読み込むことでガバメントクラウドの現在や今後の方向性を理解することができます。別紙の技術要件詳細は、基本事項(67項目)、サービス要件(基本:165項目)、サービス要件(データ連携や高度なセキュリティ:79項目)で、305項目+生成AI機能6項目の計311項目となっています。
ガバメントクラウドの技術要件については、以前から「過剰なのではないか」「AWSに合わせた要件なのではないか」といった議論がある一方で、「データ主権への対応が遅れているのではないか」という疑問もあります。
今回は、日本のガバメントクラウドが結果として「複合的なベンダーロックイン」と「データ主権リスク」を深刻化させている構造を整理し、なぜ日本版ソブリンクラウドが未だ実現困難なのかを私の理解する範囲で整理しておきます。
ガバメントクラウドの現状と課題
日本のガバメントクラウドは、結果としてAWSとその提携業者による複合的なベンダーロックインと深い技術ロックイン(例: 独自APIやマネージドサービス依存)が当初想定されていなかった形で進み、以前よりも移行が難しくなり、加えて為替リスクの影響も大きくなってしまった。デジタル庁は「マルチクラウド」を掲げ、複数CSP(クラウドサービスプロバイダー)の利用を推奨しているが、実態はAWS中心で、障害時(例: 2025年のAWS大規模障害)や情報漏えいリスク(例:設定ミスや運用ミス等)が露呈している。
特に2025年のAWS大規模障害では、東京リージョンの特定ゾーンで約1時間の停止が発生し、ガバメントクラウドに「一定の影響」があったとデジタル庁も認めている。これは単一CSP依存の脆弱性を露呈しており、2025年10月の別の障害では世界2500社以上に影響が及んでいる。
デジタル庁設立の2021年直後から本格化した、ガバメントクラウドの企画・要件検討段階において、データ主権は明示的・体系的に整理されていたとは言い難く、主にデータセンターの国内設置といった地理的制御には重点が置かれていたが、運用主権(国内運用)やソフトウェア主権(オープンソース依存低減)などは考慮された形跡がない。
結果としてベンダーロックインと主権リスクが増大し、現在もデジタル庁はデータ主権の重要性を公的に明示していない。
データ主権の軽視と過度なクラウド幻想
欧州では、2018年のGDPR(一般データ保護規則)施行以降、データ主権(digital sovereignty)が政策の核心に位置づけられ、2021年までに具体的なイニシアチブが本格化していたので、ガバメントクラウドの企画時には十分な検討材料が揃っていたと言える。欧州は米国依存を「主権脅威」と強く認識したが、日本は同盟国としてリスクを過小評価してしまった。
日本がこれを十分参考にしなかったのは、迅速移行優先の思慮不足と言えるが、菅政権の目玉政策として急ぎ、詳細なリスク評価を後回しにしたのが大きい。こうした政治的リスクについては、下記のブログで詳しく述べている。
データ駆動型のデジタル国家に「ITに詳しい政治家」は必要なのか? ―― 技術介入ではなく、ガバナンスに責任を持つという役割
人的要因としては、デジタル庁の初期チームの影響でグローバルスタンダード(AWSなど)が基準化し、過度なクラウド幻想が生まれたことも挙げられる。
元をたどれば、2018年頃のクラウド・バイ・デフォルト方針があり、それが現在のガバメントクラウドへと繋がったが、本来はハイブリッド・バイ・デフォルトにするべきところを、AWS等のクラウドが全てを解決してくれるような変な幻想が生まれてしまったのは、これまでの日本のデジタル敗戦の経験が生かされていないと言える。
クラウド・バイ・デフォルトからハイブリッド・バイ・デフォルトへ ― 日本のゼロトラスト再構築に向けて
BYOKの鍵管理では解決できない国家安全保障・機密関連の捜査
デジタル庁でも米国クラウド法(CLOUD Act)のような外国法適用リスクは考慮しており、その対策の一つとしてBYOK(Bring Your Own Key)が挙げられることがある。
しかし、BYOKは鍵の生成と初期制御をユーザーに委ねるものの、運用段階でプロバイダー側に鍵が「預けられる」形となり、データ主権の観点で限界がある。欧米の議論でも「BYOKはCLOUD Act対策として不十分」という理解が一般的である。
こうした鍵管理問題の解決策としては、HYOK(Hold Your Own Key)により鍵を完全にユーザー側(クラウド外)に保持する、あるいはスプリットキー(鍵分割)やMulti-Party Computation(MPC)に基づく多層化アプローチなどで、より強固な鍵管理が可能になる。
また、米国クラウド法よりも脅威となるのは機密関連捜査のリスクである。具体的には、FISA Section 702(外国情報監視法:Foreign Intelligence Surveillance Act)とExecutive Order 12333(EO 12333:大統領令12333号 – 米国の諜報活動)の組み合わせによる、ガバメントクラウドが保有するデータへのアクセスである。
米国クラウド法が正面玄関から「データを見せて」と言ってくる方法だとすれば、FISAとEO12333は「バックドア」により日本側が全く知らない間にアクセスする方法である。裁判所の事前承認は不要で、機密捜査では事前・事後の通知も一切ないのが標準となる。この米国の仕組みに対抗するために、欧州でソブリンクラウドが強化されていったとも言える。
結果として、日本のガバメントクラウドへ移行した住民基本台帳などの国民データが、米政府の機密捜査で秘密裏に取得される可能性は否定できない。
日本版ソブリンクラウドの実現に必要なこと
オバマ政権の時に米国で起きたことが日本でも起きているのが今のガバメントクラウドだが、大きな違いは、Amazonが米国の企業であることだ。Amazonが自社の利益を優先するのも囲い込みをするのも企業として当然な行動で責めるべき事由は無いが、日本のデジタル庁や総務省の対応のまずさは問題である。
日本では外国企業(AWS)のサーバーに国民データ(住民基本台帳など)が集中し、CLOUD ActやFISAのような外国法適用リスクや、障害時の行政麻痺の可能性が格段に高い。要件の厳格さが初期に海外大手に有利に働き、結果として寡占化し、その状態が今後も固定化する可能性が高い。
現在の日本のガバメントクラウドは、要件策定時にデータ主権・経済安全保障が軽視され、人事管理の問題(初期のAWS影響指摘、専門家送り込みの懸念)でAWSが有利になり、移行優先でマルチクラウドが形骸化し、運用コスト増や障害リスク(2025年のAWS障害影響による単一基盤依存の露呈)を招いたと言える。しかし、一番の問題は軌道修正する機会が何度もあったのに、そのまま進めてしまったことである。
1. 国内バックアップの物理的・法的分離
2. ハイブリッド・バイ・デフォルトへの方針転換
3. 鍵管理・運用主権を前提とした再設計
この3つを基軸としたアプローチにより、日本版ソブリンクラウドの実現を目指して欲しい。
