最新のニュース

「主権クラウド」か「主権洗濯」か?欧州のデジタルゲートに待ち受けるトロイの木馬。

AWS、マイクロソフト、グーグル......いずれも最近「主権クラウド」を立ち上げた。しかし実際には、すべての米国企業は米国のデータ共有法の適用を受けている。米国のクラウドを使っても安全なのか、それとも単なる「主権洗浄」なのかを探ってみよう。

Sovereign clouds or sovereign washing? A Trojan Horse at Europe's digital gates.

デジタル主権に対する欧州の野心は、これまで以上に切迫している。しかし、真に欧州的なプライバシー第一のサービスを支持する代わりに、多くの欧州企業やEU・地方当局でさえ、いまだに米国の技術に依存しており、真新しく輝く「ソブリン・クラウド」を有用なソリューションと考えるかもしれない。しかし、もし「ソブリン・クラウド」が米国企業が私たちに信じさせようとしているよりも安全でないとしたらどうだろう?マイクロソフトのソブリン・クラウド」、「グーグルのソブリン・クラウド」、そして宣伝されている「アマゾン・ウェブ・サービスのヨーロッパ・デジタル・ソブリン」について深く掘り下げてみよう。

“主権洗浄”:米ビッグ・テックのおとぎ話

マイクロソフトのソブリン・クラウド」であれ、「グーグルのソブリン・クラウド」であれ、「アマゾン・ウェブ・サービスのヨーロピアン・デジタル・ソブリン」であれ、ここ数カ月、米国の大手ハイテク企業はこぞって「ソブリン・クラウド」を立ち上げている。

これらのメッセージは、「欧州にデータを保管し、欧州のルールに従い、雇用とインフラを提供します」という、実に説得力のあるものに聞こえる。実際、「ソブリン・クラウド」はトロイの木馬以外の何ものでもない。外見上はよく見えるが、これはEUの企業や当局に米国のサービスを信頼してデータを預けさせることを目的としている。

しかし実際は、これは主権ではない。 これはマーケティングだ。これは主権洗浄 なのだ。

デジタル主権という幻想

あなたのデータがヨーロッパに保存されているからといって、それがヨーロッパの法律で保護されているわけではないということだ。米国のクラウド・プロバイダーは、たとえ欧州のデータセンターで運営されていたとしても、米国の司法権、特にCLOUD法やFISA702のような法律の適用を受ける。

つまり、米国の法律では、マイクロソフト、アマゾン、グーグルのような企業は、たとえデータがEU域内で米国外に保存されていたとしても、欧州の企業や当局のデータへのアクセスを米国当局に提供するよう強制される可能性がある。

たしかに、彼らは「主権」を主張するために、欧州に別の法人を設立したり、現地企業と提携したりするかもしれない。しかし、技術、ソースコード、サービスの更新、管理メカニズムが米国の手にある限り、欧州はデータやデジタルインフラに対する真の主権を持たない。

EUの組織が米国が提供するクラウドを合法的に利用できるようにする試みは数多く行われているが、米国の監視法があるため、これまで成功した試みはない。例えば、欧州司法裁判所のSchrems II判決は、まさに米国の監視法が欧州GDPRが保証するEUのデータ保護権と相容れないという理由で、米国とEU間のプライバシー・シールド協定を破棄した。ソブリン・クラウド・オファリング」は、EUで米国のクラウドを合法化しようとする別の試みにすぎない。

しかし、個人データが米国のような第三国に移転される、あるいは移転される可能性がある場合は常に、適切なレベルの保護が確保されなければならない。EUの観点からは、クラウド法やある種の政治的リスクによって、必要なデータ保護レベルが損なわれてしまうという問題がある。

欧州委員会でさえ、マイクロソフトの利用がEUデータ保護法に抵触することを懸念している。欧州委員会は現在、マイクロソフト・アジュールに代わる欧州のクラウドプロバイダーを検討している。

米国のクラウドプロバイダーによる約束された管理は、危険な幻想である。

Turn ON Privacy in one click.

法的挑戦は無意味

最も強固な技術的セーフガードでさえ、真の保護にはならない。マイクロソフト、グーグル、アマゾンは、直接的なアクセスを通じてであれ、パートナー企業からの強制的な協力を通じてであれ、欧州の企業や当局のデータを渡さざるを得なくなる可能性がある。

マイクロソフトの “データガーディアン “は、透明性があるように見えるかもしれないが、一旦アクセスが行われると、最も改ざん防止されたログでさえ役に立たない:例えば、米国当局にデータを渡したというような出来事を記録するだけで、元に戻すことはできない。

デジタル主権を強化しようとする欧州の動きで最も失うものが大きいマイクロソフトもまた、大胆な約束をしている。そのひとつが、アメリカのデータ提供要求に法的に異議を唱えるというものだ。しかし、これは実際に何を意味するのだろうか?実際には、現実的というよりも象徴的なものだ。というのも、要求に異議を唱える場合でも、マイクロソフトはまずそれに応じなければならないので、データはすでになくなっている。ダメージはすでに終わっているのだ。ほとんどの場合、法的な異議申し立てはまったく無意味なのだ。

主権者の洗濯

これらの主権的と思われるソリューションは、技術的な独立性の表れではなく、むしろ完璧に仕組まれたコミュニケーション戦略である。実際には何のコントロールも存在しないところに、信頼を作り出すように設計されているのだ。米国企業は本当のデジタル主権を提供していない。彼らがここでやっていることは、未解決の問題を巧妙に再包装しているだけであり、プライバシーの洗脳と非常によく似ている。

そして、アメリカのハイテク企業が主張する「プライバシー」と同じように、主権洗浄の戦略もまったく同じだ:

  1. 市場ハード - アメリカのクラウドを「欧州準拠」とブランド化する。
  2. 依存性を高める - 統合やクローズドソースのコードを通じて、欧州の企業や当局を自社のクラウド製品に依存させる。
  3. 強力なロビー活動 - ブリュッセルにロビー活動を氾濫させ、影響力を行使し、あらゆるロビー活動において欧州の競合他社を出し抜く。
  4. 税金をスキップする - 利益は米国本社に還流し、税金の最適化戦略をとることで、米国企業はEUでほとんど税金を納めない。

賢いやり方だ。しかし、欧州の利益にはならない。

立地、立地、立地

住宅購入者に当てはまることは、デジタル主権にも当てはまる**。**

米国のクラウド・プロバイダーが欧州市場を支配し続けている一方で、米国のハイテク企業は、これらの企業がデジタル主権について約束していることを保証することはできない。いわゆる「主権クラウド」を提供する企業は、引き続き米国の法律と監視権限に服従しており、これを洗い流すことはできない。たとえサーバーがフランクフルト、ブリュッセル、パリにあったとしても、CLOUD法とFISA702は適用されるのだ。

欧州がデジタル主権を真剣に考えるのであれば、米国のサービスを使えばそのようなコントロールが可能だという幻想を 超えなければならない。真の主権は、米国の司法権の及ばない欧州 企業が提供するインフラ上にのみ構築できる。

主権は、「ソブリン・クラウド」のようなピカピカの新しい製品名からは生まれない。主権は、完全な法的・技術的管理によってもたらされる。それ以外はすべて、主権の洗濯に すぎない。

正しい選択を:ヨーロッパを選択するのだ。

画面にTutaのロゴが入った携帯電話のイラスト。携帯電話の横には、暗号化によるTutaの高度なセキュリティーを象徴するチェックマークの入った盾が大きく描かれている。