米中対立やウクライナ問題など、地政学的なリスクが顕著になっている。そのような中、各国がリスクを軽減するために、国がデータを保護、統制する規制を施し、技術的な自主性を維持するための権利を主張するケースが増えている。また、グローバルでビジネスを展開する企業には、2016年に発効された欧州のGDPR（一般データ保護規則）への対応も求められる。これらを背景に注目されているのが、経済安全保障の観点から、必要なセキュリティとデータアクセスを実現し、各国の規制や法律などに準拠してユーザーが主権をコントロールできる「ソブリン（sovereign:主権者）クラウド」だ。日本を含む各国の状況を踏まえながら、米IBMの対処法を紹介する。
（取材・文／谷川耕一　　編集／齋藤秀平）
 

日本は議論が始まったばかり

　欧州では、ソブリンクラウドの動きが先行する。例えば、ドイツは、通信事業者のドイツテレコム傘下のSI企業T-Systemsに委託して、国内に閉じて管理し、データも国内リージョンに保存するかたちでソブリンクラウドを提供している。ほかにも、国が主にイニシアティブを取り進めているフランスのようなケースもある。アジアでも、ソブリンクラウドの取り組みが徐々に始まっている。中国では、サイバーセキュリティ法などで政府によるアクセスや中国内でのデータ保管、越境移転の規制などを取り決めている。

　欧州に比べると、米国はあまりソブリンクラウドが意識されていない。そもそも米国では、パブリッククラウドのサービスが米国内に閉じたかたちで提供できる。そのため地政学的リスクは小さく、ことさら力を入れる必要がないのだ。とはいえ、米国政府向けに自国民に限った運用をするなどの対策を施したサービスを展開するパブリッククラウドベンダーはある。
 
　欧州では、各クラウドベンダーは、GDPR対応済みの運用サービスを提供している。サービスメニューにGDPR対応のチェックフラグがあり、それを選択すると、運用担当者が全て欧州圏内在住者となる。IBMも欧州のGDPRセンターを設けており、日本IBMの今野智宏・執行役員テクノロジー事業本部クラウド・プラットフォーム担当は「パブリッククラウドでありながら、欧州圏の人だけで運用するようにしている」と語る。

　クラウドの運用は、グローバルで最適化するのが普通だ。欧州のクラウドデータセンターも、インドや米国などを含む各地の拠点で24時間365日、「フォロー・ザ・サン（太陽を追いかける）」体制で対応する。それがGDPRやソブリンクラウドの要求では、自国民に限った人員での運用となり、自国民だけで24時間365日の運用管理体制を別途つくらなければならない。

　欧州などに比べ、日本ではソブリンクラウドの動きはどうなっているのか。今野執行役員は「顧客企業や国産クラウドベンダーとも話をしているが、正直、まだまだ議論を始めたばかりの状況だ」とし、IBMとしては「議論がどちらに振れても対応できるように準備している」と言う。