経済安全保障とソブリンクラウドとVMware

こちらはvExperts Advent Calendar 2025 の12/11の記事です。

vExperts Advent Calendar 2025 - Adventar

今年は日本で今まで以上に安全保障が注目された年と思います。

来年以降は対策を具体化していくフェーズに入ってくると思い、安全保障を目的としているソブリンクラウドについて、求められている背景や関連法規など改めて調べてみました。

内容は私見です、間違いなどに気付いた方はご指摘頂けると助かります。

1.ソブリン クラウドとは

「ソブリン（Sovereign）」は英語で「君主」「主権者」「統治者」を意味し、そこから派生して「主権国家」や「独立国家」を指す言葉となっています。

「ソブリンクラウド」はデータ、ソフトウェア、サービスの主権を、国や組織が自らの確保しコントロールできるクラウドサービスを指します。

ただし、国や企業により定義が異なり、現時点で統一された定義は存在しないようです。

「ソヴリンAI」、「ソヴリンIT」などもデータやシステムなどの「主権」を確保してコントロールすることを目的にしています。

2.ソブリン クラウドが求められる主な背景

ソブリンクラウドは「経済安全保障」、「個人情報保護」などの法令順守を目的に利用することが主となります。

自組織でオンプレミス環境を作ることで確保することもできますが、運用管理の負担や柔軟な拡張、BCP対策などで、オンプレミスには限界があり、クラウド化の推進も必要となっています。

適用対象としてはクラウドサービスを利用したい以下のような組織になるかと思います

・政府機関

・医療機関

・金融機関

3.「経済安全保障」、「個人情報保護」などニーズの分析

私見ですが、ソブリンクラウドのニーズを分析してみます。

〇経済安全保障推進法(日本)でのニーズ

経済安全保障推進法は、経済活動を通じて国家の安全保障を確保するため、2022年5月に成立した法律で、以下の4項目を柱としています。

1.重要物資の安定的な供給の確保（サプライチェーンの強靭化）

2.特定社会基盤役務（基幹インフラサービス）の安定的な提供の確保

3.先端的な重要技術の研究開発の促進

4.特許出願の非公開化

https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/suishinhou.html

このうち、ソブリンクラウドに期待されているのは"1"、"2"が主となると思います。

1.重要物資の安定的な供給の確保（サプライチェーンの強靭化）

2.特定社会基盤役務（基幹インフラサービス）の安定的な提供の確保

クラウドサービスで使用するソフトウェア、ハードウェアの選定を国や組織が信頼して利用できるものにするだけでなく、人的なリソースに関してもスクリーニングが求められると思われます。

〇日本の個人情報保護法、EUのGDPRでのニーズ

個人情報保護観点でのニーズとしてはデータの国外移転や外国政府によるアクセスリスクへの懸念から生じています。

※後述する「CLOUD Act」の影響も大きいです。

・個人情報保護法（日本）、GDPR（EU）におけるニーズ
個人情報保護法(日本)では、第三者に提供する場合、原則として本人の同意が必要となります。また、移転先の国・地域における個人情報保護制度や、提供先が講じる保護措置について情報提供する義務があります。

GDPRは、EU域内の個人データの保護に関して世界で最も厳しい法律の一つです。特に、EU域外へのデータ移転（第三国移転）については厳格なルールがあります。

〇CLOUD Act(アメリカ)

米国で2018年に第一次トランプ政権で成立した法律です。国の法執行機関が犯罪捜査において、米国内に拠点を置くサービスプロバイダーに対し、データが米国内にあるか国外にあるかを問わず、令状や召喚状に基づいて当該データの開示を強制できる法律です。

Azure、AWS、GCPなどに置いてあるデータは日本国内だとしても、米国の捜査権限が及ぶことへの懸念が生じています。一方で政府機関、医療機関、金融機関などでは、情報の厳格な管理を法律で要求しているため、米国のクラウドサービスを利用した場合に法令を遵守できない懸念が出てきます。

実際に、CLOUD Actで開示請求された情報の一部はプロバイダーが透明性レポートとして公開しています。

メガクラウド各社の CLOUD Act 関連データ要求件数（公表データ）

プロバイダー	対象データ	期間	件数（累積または特定期間）	備考
Microsoft	米国外保存・非米国企業顧客のコンテンツデータ	2018年3月〜2022年11月	12件	施行以来の累積件数
Microsoft	米国外保存・非米国企業顧客のコンテンツデータ	2023年上半期	4件	半期ごとの報告に基づく
Microsoft	米国外保存・非米国企業顧客のコンテンツデータ	2024年下半期	5件	半期ごとの報告に基づく
AWS	米国外保存・エンタープライズ/政府顧客のコンテンツデータ	2020年〜2025年6月時点	0件	報告開始以来、開示実績なし
Google	CLOUD Actに特化した国外データの統計	不明	データなし	透明性レポートでは総数のみ

プロバイダー(AWS、GCP)によって、CLOUD Actと明記していない可能性もあるため、参考に2018年〜2024年の政府によるユーザーデータ開示請求件数の推移も記載します。

メガクラウド企業の法執行機関からのデータ開示請求件数（2018〜2024年）

年度	Microsoft（件数）	Google（件数）	Amazon（件数）
2018	123,000	121,018	1,736
2019	137,000	165,889	3,222
2020	145,000	217,407	3,975
2021	156,000	303,236	4,975
2022	170,000	367,011	5,736
2023	182,000	428,083	6,421
2024	190,000（上半期のみ）	482,235（通年）	7,200（推定）

参考情報

米国政府からの開示請求の件数からも、ソブリンクラウドの必要性（データ主権・法的独立性）は今後も高まってくるのかと思います。

〇ガバメントクラウドとの違い

ちなみに「ガバメントクラウド」との違いも整理します。

「ガバメントクラウド」は、特定のユーザー（日本政府・自治体）のための「仕組み・インフラ」です。

「ソブリンクラウド」は「データ主権の確保」という特定の要件を満たすクラウドサービスになります。

比較表

項目	ソブリンクラウド (Sovereign Cloud)	ガバメントクラウド (Government Cloud)
目的	データ主権の確保、国内外の法令遵守、地政学リスクの回避。	行政業務の効率化・標準化、コスト削減、迅速なシステム構築。
対象	政府、公共機関、金融・医療などの規制産業を含むすべての企業。	日本国の政府機関および地方自治体のみ。
提供形態	特定の要件（国内運用、国内法遵守など）を満たす認定基準やコンセプト。複数のベンダーが提供。	デジタル庁が主導する全国統一のクラウド基盤（AWS、Azure、Google Cloud、OCI、さくらクラウド等が選定）。

・ソブリンクラウド

クラウド環境における「主権」の確保に焦点を当てています。データの物理的な所在地、運用管理者の国籍、他国の法律（CLOUD Actなど）の影響排除といった、法規制や安全保障に関わる厳しい要件を満たすクラウドサービスを指します。政府機関はもちろん、高い機密性を求める民間企業も対象となります。

・ガバメントクラウド

デジタル庁が推進する、日本政府・自治体専用のクラウド基盤を指します。目的は、各自治体でバラバラだった情報システムを共通の基盤に移行し、行政サービスの効率化とデータ連携の容易化を図ることにあります。

ガバメントクラウドの選定においては、セキュリティ要件は満たしていますが、必ずしも「純国産」である必要はなく、米国のメガクラウドベンダー（AWS、Azure、Google Cloudなど）も採用されています。

4.日本国内のソブリン クラウド

公開情報から日本国内の代表的なソブリンクラウドを比較してみました。

ただし、各社で2022年、2023年あたりの情報で具体的なもの少なかったです

〇国産クラウドの比較表

企業名	データの物理的所在地	法的管轄権・運用独立性	地政学リスク対応	事業継続性・信頼性
NEC	日本国内データセンター（例：印西DC）	日本法人が運用・管理。他国法の影響を受けない構成も可能	経済安全保障・地政学リスクに対応。国内完結型クラウドを提供	ISMAP・ISO取得。暗号化・鍵管理など最新セキュリティ技術を継続導入
日立製作所	国内データセンター	高度なセキュリティ・コンプライアンス体制。公共分野の実績多数	政府・金融向けに国内運用体制を構築。国外依存を最小化	長年の公共インフラ運用実績に基づく高信頼性
NTTデータ	国内データセンター（OpenCanvas基盤）	NTTグループ内での運用。国内法準拠	自治体・政府向けに特化した設計。国外依存を抑制	通信・ITインフラの全国展開による高可用性
富士通	国内クラウド（FJcloud-V）	富士通グループが運用。国内法に準拠	国産クラウドとしての独立性を強調。SaaSも国内完結	SLA99.99%、24/365サポート体制
さくらインターネット	東京・石狩など国内DC	日本法人が運用。国外法の影響を受けない	国産クラウドとしてCLOUD Act等のリスクを回避	ガバメントクラウド認定。分散型DCで災害対策も強化

データの物理的な所在地：全社ともに日本国内のデータセンターを利用し、国外へのデータ移転を制限。
法的管轄権と運用独立性：米国CLOUD Actなどの域外適用リスクを回避するため、日本法人による運用や国内法準拠を明示。
地政学的リスクへの対応：NECやさくらインターネットは、経済安全保障法や地政学的リスクに対応した構成を明記。
事業継続性と信頼性：ISMAP認証、SLA、冗長化、災害対策などを通じて高可用性を確保。

5.VMwareとソブリン クラウド

BroadCom社としても、VMware Sovereign Cloud Provider を日本国内でも展開しており、日本のクラウド事業者もパートナーとなっています。

VMware Sovereign Cloud Provider

www.vmware.com

株式会社日立製作所 (Hitachi)

国内で最初にVMware ソブリンクラウド・イニシアチブに参画。

https://www.hitachi.co.jp/products/it/harmonious/cloud/articles/sovereign/index.html

サービス名例: Hitachi Private Cloud Platform with VMware Cloud Foundation など
主なメニュー/特徴:

VMware Cloud Foundation (VCF) を基盤としたプライベートクラウド環境。
政府・金融・公共分野における長年の実績とノウハウを活かし、高いセキュリティとコンプライアンス要件に対応。
データの所在地や運用管理に関する厳格な国内要件を満たす体制を構築。

NTTデータグループ (NTT DATA)

グローバルな通信・ITインフラを持つNTTグループの一員として、広範なソリューションを提供しています。

https://www.nttdata.com/global/ja/news/information/2022/111400/

主なメニュー/特徴:

国内のデータセンターを利用し、データ主権を確保したクラウドサービスを提供。
政府・自治体向けの堅牢なシステム構築ノウハウを強みとしています。
VMwareソリューションを活用したモダナイゼーション（アプリケーションの最新化）支援も含まれます。

日本電気株式会社 (NEC)

通信事業者や公共機関との取引が多く、高い信頼性が求められる分野での実績が豊富です。

NEC Private Cloud Infrastructure powered by VMware: ソリューション・サービス | NEC

主なメニュー/特徴:

国内運用に特化したクラウドサービスを通じて、重要インフラ分野におけるデータ保護を推進。
セキュリティやAI・データ分析に関するNECの独自技術と連携したソリューションを展開。
地域の特性を活かしたデータ活用基盤の構築も視野に入れています。

富士通クラウドテクノロジーズ株式会社（富士通グループ） (Fujitsu)

国内大手ITベンダーとして、幅広い業種・業界へのクラウド導入実績を持ちます。

https://pfs.nifcloud.com/sovereign-cloud/

主なメニュー/特徴:
- VMwareを活用したプライベートクラウド構築・運用サービスを提供。
- 既存のオンプレミス環境からのスムーズな移行（リフト＆シフト）を支援し、ハイブリッドクラウド構成にも柔軟に対応。
- 企業のDXを加速させるためのソブリン SaaS（Software as a Service）対応も推進しています。