GDPR

サードパーティークッキーは本当に「終わる」のか?Chrome方針転換が示す現実

なぜサードパーティークッキーは「終わる」と言われ続けたのか 長年にわたり、デジタル広告とウェブサイトの分析は「サードパーティークッキー(Third-Party Cookie、以下3PC)」という技術に大きく依存してきました。サードパーティークッキーとは、訪問しているサイトとは異なるドメイン(第三者)が発行する小さなデータファイルのことです。これにより、ユーザーがどのサイトを訪れたかを横断的に追跡することが可能になり、広告主は個人の興味関心に基づいたターゲティング広告を配信したり、広告が最終的な購入(コンバージョン)にどれだけ貢献したかを計測したりすることができました。 しかし、この仕組みには大きな問題がありました。それは、ユーザー自身が「いつ、誰に、どこまで追跡されているのか」を正確に把握し、コントロールすることが極めて困難だった点です。このプライバシーへの懸念が世界的に高まる中で、3PCは「技術」と「規制」という二重の圧力にさらされることになります。 技術的な圧力の先陣を切ったのは、Appleです。同社のブラウザであるSafariは、2017年に「Intelligent Tracking Prevention(ITP)」と呼ばれる追跡防止機能を導入しました。ITPは年々その機能を進化させ、ついに2020年3月、すべてのサードパーティークッキーを例外なく、デフォルト(初期設定)でブロックするという非常に強力な措置に踏み切りました。これはウェブ業界に大きな衝撃を与え、プライバシー保護の潮流を決定づける出来事となりました。 この動きに追随したのが、MozillaのFirefoxです。Firefoxも2019年以降、「Enhanced Tracking Protection(ETP)」を標準で有効化しました。これにより、追跡目的と見なされるサードパーティ由来のクッキーやスクリプトが広く遮断されるようになりました。2025年現在も、この設定はデフォルトで機能しており、ユーザーは必要に応じてサイトごとに保護レベルを調整できますが、基本的には「追跡はブロックする」という姿勢が貫かれています。 こうしたブラウザ側による技術的な制限に加え、法規制の圧力も強まりました。特に欧州連合(EU)の「GDPR(一般データ保護規則)」や「ePrivacy指令」は、クッキーの使用に対して厳格なルールを課しました。企業は、クッキーを使用する目的を明示し、ユーザーから明確な「同意」を得なければならなくなったのです。どの目的でデータを利用するかをユーザー自身が選択できる必要があり、同意なしに3PCを利用することは法的なリスクを伴うようになりました。日本や米国の各州でも、同様の個人情報保護法制が整備されつつあります。 結果として、技術的にもはや届かないユーザー(Safari、Firefox利用者)が増え、法規制的にも利用のハードル(同意取得)が上がったことで、3PCに依存した従来の広告・解析の手法は、持続可能性の低いリスクの高い選択肢へと変わっていきました。この流れの中で、業界全体が「同意の確実な取得」「代替技術の模索」、そして何より「自社で収集するファーストパーティデータの重視」へと、戦略的なシフトを余儀なくされてきたのです。 2025年、Chromeの「Uターン」は何を変えたのか SafariやFirefoxが厳格なブロックに踏み切る一方、世界最大のシェアを持つGoogle Chromeの動向は、常に業界の最大の関心事でした。Chromeは、プライバシー保護と広告エコシステムの維持を両立させるという難しい課題に対し、「プライバシーサンドボックス(Privacy Sandbox)」構想を掲げていました。これは、3PCを廃止する代わりに、個人の特定を防ぎつつ広告配信や効果測定を可能にする新しい技術群(API)を提供するという壮大なプロジェクトです。 その計画に基づき、Googleは2024年1月、ついに全Chromeユーザーの1%を対象に3PCをデフォルトで制限する大規模なテストを開始しました。これは、競合ブラウザの動きにようやく追随する重要な一歩であり、2024年後半にかけて段階的に廃止対象を拡大していく予定であると、当時は想定されていました。 しかし、この計画は大きな転換点を迎えます。プライバシーサンドボックスの仕組みが、結果的にGoogleの広告事業における優位性をさらに高めるのではないかという競争上の懸念が、特に英国の競争・市場庁(CMA)から継続的に示されていました。CMAは、Googleが3PCを廃止するプロセスを厳しく監督することを表明し、両者は2022年にコミットメント(誓約)を結んでいました。 この複雑な状況下で、Googleは2025年4月、市場を驚かせる方針転換を発表します。それは、「3PCに関する新たなスタンドアロンの選択プロンプト(3PCをブロックするかどうかをユーザーに尋ねる独立した画面)を導入しない」こと、そして「既存のChrome設定内でユーザーに選択を委ねる」というものでした。これは、事実上、Chromeの一般ブラウジングモードにおける3PCの全面的な廃止計画を「見送る」という判断であり、主要メディアはこれを“Uターン”と報じました。 このGoogleの転換は、即座に規制当局の対応にも変化をもたらしました。CMAは2025年6月、Googleが3PCの一般的ブロック計画自体を改めたことで、競争上の懸念が後退したと判断。Googleが2022年に結んだコミットメントは「もはや必要ない」とする見解を示し、その解除に向けた意見募集を開始しました。そして同年10月、CMAはコミットメント解除の決定文書を公表し、約4年にわたる異例の監督体制に終止符が打たれました。 さらに決定打となったのが、同じく2025年10月にGoogleが更新したプライバシーサンドボックスの「今後の計画」です。Topics(興味関心ターゲティング)、Protected Audience(リターゲティング)、Attribution Reporting(効果測定)といった、広告の中核を担うと目されていた主要なAPI群について、「低い採用度(広範な採用に至らなかった)」を理由に、順次リタイア(廃止)することが明言されたのです。 一方で、CHIPS(パーティション化クッキー)、FedCM(ID連携管理)、Private State Tokens(不正対策)といった技術は継続されることも併せて発表されました。これは、Googleが「3PCの即時全廃はしない」と同時に、「3PCに代わる独自規格の広告基盤を強行することもない」という姿勢を明確にしたことを意味します。舵は、クッキーとID連携の扱いを、よりプライバシーに配慮した形へ「整える」方向へと切られたのです。 なお、Chromeのシークレット(Incognito)モードにおいては、従来どおり3PCは既定でブロックされる方針も再確認されています。一般モードでの全廃は撤回されましたが、「追跡抑制を強化する」という大方針そのものは維持されていると解釈すべきでしょう。 「ポストサードパーティークッキー」の現実 2025年の一連の出来事を経て、私たちはどのような現実に直面しているのでしょうか。「Chromeで3PCが全廃されないなら、元に戻るのか」と考えるのは、最も危険な誤解です。理由は大きく三つあります。 第一に、Chrome以外のブラウザ、すなわちSafariとFirefoxでは、すでに厳格な3PCブロッキングが常態化しています。これは、市場の一定割合のオーディエンスには、もはや3PCを用いた追跡やターゲティングが技術的に届かないことを意味します。この現実は2025年を経ても一切変わっていません。 第二に、Google自身が、プライバシーサンドボックスの中核的な広告API(Topicsなど)から撤退したという事実です。これは、「3PCの代わりに、この新しいAPIに乗り換えれば、以前と同じような広告精度が戻ってくる」という単純な移行の道が閉ざされたことを示します。Googleは、広告測定などの標準化を、自社単独ではなく、W3C(World Wide Web Consortium)のような業界横断的な合意形成の場へと差し戻した格好です。 第三に、GDPRに代表される法規制の要請は、後戻りしていません。たとえ技術的に3PCが利用可能であっても、ユーザーからの明確かつ粒度の細かい同意がなければ、法務リスクを抱えることに変わりはありません。 では、企業は具体的に何に取り組むべきなのでしょうか。焦点は、3PCに依存せずとも必要なウェブ体験やビジネス上の目標を達成するための、技術の「複線化」と「安定運用」にあります。 Googleが継続を明言した技術群は、そのための「足回り」を整えるものです。たとえば、CHIPS(Cookies Having Independent Partitioned State)は、「Partitioned」属性を付与することで、トップレベルサイトごとにストレージが分離されたサードパーティクッキーを許容する仕組みです。これはクロスサイト追跡には利用できませんが、サイトに埋め込まれたチャットウィジェット、地図、決済機能などが正しく動作するために必要な「状態保持」を、プライバシーリスクを抑えつつ実現します。 ログイン連携に関しては、FedCM(Federated Credential Management)が標準的なフローを提供します。これにより、従来の3PCやリダイレクトに頼ることなく、ブラウザがユーザーの合意を仲介し、安全なID連携(例:GoogleやFacebookでのログイン)を実現できます。UXとプライバシーの両立が図りやすくなります。 また、Private State Tokens(旧称Trust Tokens)は、個人を特定することなく「そのユーザーが信頼できるふるまいをしている証(ボットではない証など)」を暗号学的に伝える技術です。これは広告に限らず、不正アクセスやアビューズ対策といった、サイトの健全性を保つ領域で活用が想定されます。 これらはあくまで機能の「保全」であり、広告ターゲティングの代替ではありません。したがって、マーケティングや分析の実務においては、次のような多角的なアプローチが不可欠です。 まず、同意管理(CMP)のUXとログ設計を徹底的に見直し、ユーザーの信頼を得つつ、法的にクリーンな状態を担保することが大前提となります。次に、計測の軸足をクライアントサイド(ブラウザ)からサーバーサイドへと移し、ブラウザの制限によるデータの欠損や重複に耐えうるID解決の仕組み(ファーストパーティIDの整備)を構築することが急務です。 広告運用面では、リターゲティングのような3PC依存の手法への偏重から脱却し、コンテクスチュアル(文脈)広告、クリエイティブの最適化、あるいはMMM(マーケティング・ミックス・モデリング)やインクリメンタリティ測定といった、統計的なアプローチによる意思決定の比重を高めていく必要があります。 2025年の出来事を総括すると、Chromeは3PCの全面廃止を見送り、CMAの監督も終息し、プライバシーサンドボックスの主要APIから撤退しました。しかし、SafariとFirefoxのブロックは続き、規制の要請も変わりません。Googleは、CHIPSやFedCMといった機能保全技術を残しつつ、広告標準化の議論を業界全体に開きました。 ということで、サードパーティークッキーは、Chromeにおいて「突然消えはしない」ことになりました。しかし、ビジネスがサードパーティークッキーに頼りきりでいられる時代は、規制と競合ブラウザの動向によって、すでに終わっているのです。企業は、「3PCありき」の発想から完全に卒業し、ファーストパーティデータとユーザーの信頼を中核に据えた、より強靭なデジタル戦略を構築していく必要があります。…

Published 1 month ago in
サードパーティークッキーは本当に「終わる」のか?Chrome方針転換が示す現実

なぜサードパーティークッキーは「終わる」と言われ続けたのか

長年にわたり、デジタル広告とウェブサイトの分析は「サードパーティークッキー(Third-Party Cookie、以下3PC)」という技術に大きく依存してきました。サードパーティークッキーとは、訪問しているサイトとは異なるドメイン(第三者)が発行する小さなデータファイルのことです。これにより、ユーザーがどのサイトを訪れたかを横断的に追跡することが可能になり、広告主は個人の興味関心に基づいたターゲティング広告を配信したり、広告が最終的な購入(コンバージョン)にどれだけ貢献したかを計測したりすることができました。

しかし、この仕組みには大きな問題がありました。それは、ユーザー自身が「いつ、誰に、どこまで追跡されているのか」を正確に把握し、コントロールすることが極めて困難だった点です。このプライバシーへの懸念が世界的に高まる中で、3PCは「技術」と「規制」という二重の圧力にさらされることになります。

技術的な圧力の先陣を切ったのは、Appleです。同社のブラウザであるSafariは、2017年に「Intelligent Tracking Prevention(ITP)」と呼ばれる追跡防止機能を導入しました。ITPは年々その機能を進化させ、ついに2020年3月、すべてのサードパーティークッキーを例外なく、デフォルト(初期設定)でブロックするという非常に強力な措置に踏み切りました。これはウェブ業界に大きな衝撃を与え、プライバシー保護の潮流を決定づける出来事となりました。

この動きに追随したのが、MozillaのFirefoxです。Firefoxも2019年以降、「Enhanced Tracking Protection(ETP)」を標準で有効化しました。これにより、追跡目的と見なされるサードパーティ由来のクッキーやスクリプトが広く遮断されるようになりました。2025年現在も、この設定はデフォルトで機能しており、ユーザーは必要に応じてサイトごとに保護レベルを調整できますが、基本的には「追跡はブロックする」という姿勢が貫かれています。

こうしたブラウザ側による技術的な制限に加え、法規制の圧力も強まりました。特に欧州連合(EU)の「GDPR(一般データ保護規則)」や「ePrivacy指令」は、クッキーの使用に対して厳格なルールを課しました。企業は、クッキーを使用する目的を明示し、ユーザーから明確な「同意」を得なければならなくなったのです。どの目的でデータを利用するかをユーザー自身が選択できる必要があり、同意なしに3PCを利用することは法的なリスクを伴うようになりました。日本や米国の各州でも、同様の個人情報保護法制が整備されつつあります。

結果として、技術的にもはや届かないユーザー(Safari、Firefox利用者)が増え、法規制的にも利用のハードル(同意取得)が上がったことで、3PCに依存した従来の広告・解析の手法は、持続可能性の低いリスクの高い選択肢へと変わっていきました。この流れの中で、業界全体が「同意の確実な取得」「代替技術の模索」、そして何より「自社で収集するファーストパーティデータの重視」へと、戦略的なシフトを余儀なくされてきたのです。

2025年、Chromeの「Uターン」は何を変えたのか

SafariやFirefoxが厳格なブロックに踏み切る一方、世界最大のシェアを持つGoogle Chromeの動向は、常に業界の最大の関心事でした。Chromeは、プライバシー保護と広告エコシステムの維持を両立させるという難しい課題に対し、「プライバシーサンドボックス(Privacy Sandbox)」構想を掲げていました。これは、3PCを廃止する代わりに、個人の特定を防ぎつつ広告配信や効果測定を可能にする新しい技術群(API)を提供するという壮大なプロジェクトです。

その計画に基づき、Googleは2024年1月、ついに全Chromeユーザーの1%を対象に3PCをデフォルトで制限する大規模なテストを開始しました。これは、競合ブラウザの動きにようやく追随する重要な一歩であり、2024年後半にかけて段階的に廃止対象を拡大していく予定であると、当時は想定されていました。

しかし、この計画は大きな転換点を迎えます。プライバシーサンドボックスの仕組みが、結果的にGoogleの広告事業における優位性をさらに高めるのではないかという競争上の懸念が、特に英国の競争・市場庁(CMA)から継続的に示されていました。CMAは、Googleが3PCを廃止するプロセスを厳しく監督することを表明し、両者は2022年にコミットメント(誓約)を結んでいました。

この複雑な状況下で、Googleは2025年4月、市場を驚かせる方針転換を発表します。それは、「3PCに関する新たなスタンドアロンの選択プロンプト(3PCをブロックするかどうかをユーザーに尋ねる独立した画面)を導入しない」こと、そして「既存のChrome設定内でユーザーに選択を委ねる」というものでした。これは、事実上、Chromeの一般ブラウジングモードにおける3PCの全面的な廃止計画を「見送る」という判断であり、主要メディアはこれを“Uターン”と報じました。

このGoogleの転換は、即座に規制当局の対応にも変化をもたらしました。CMAは2025年6月、Googleが3PCの一般的ブロック計画自体を改めたことで、競争上の懸念が後退したと判断。Googleが2022年に結んだコミットメントは「もはや必要ない」とする見解を示し、その解除に向けた意見募集を開始しました。そして同年10月、CMAはコミットメント解除の決定文書を公表し、約4年にわたる異例の監督体制に終止符が打たれました。

さらに決定打となったのが、同じく2025年10月にGoogleが更新したプライバシーサンドボックスの「今後の計画」です。Topics(興味関心ターゲティング)、Protected Audience(リターゲティング)、Attribution Reporting(効果測定)といった、広告の中核を担うと目されていた主要なAPI群について、「低い採用度(広範な採用に至らなかった)」を理由に、順次リタイア(廃止)することが明言されたのです。

一方で、CHIPS(パーティション化クッキー)、FedCM(ID連携管理)、Private State Tokens(不正対策)といった技術は継続されることも併せて発表されました。これは、Googleが「3PCの即時全廃はしない」と同時に、「3PCに代わる独自規格の広告基盤を強行することもない」という姿勢を明確にしたことを意味します。舵は、クッキーとID連携の扱いを、よりプライバシーに配慮した形へ「整える」方向へと切られたのです。

なお、Chromeのシークレット(Incognito)モードにおいては、従来どおり3PCは既定でブロックされる方針も再確認されています。一般モードでの全廃は撤回されましたが、「追跡抑制を強化する」という大方針そのものは維持されていると解釈すべきでしょう。

「ポストサードパーティークッキー」の現実

2025年の一連の出来事を経て、私たちはどのような現実に直面しているのでしょうか。「Chromeで3PCが全廃されないなら、元に戻るのか」と考えるのは、最も危険な誤解です。理由は大きく三つあります。

第一に、Chrome以外のブラウザ、すなわちSafariとFirefoxでは、すでに厳格な3PCブロッキングが常態化しています。これは、市場の一定割合のオーディエンスには、もはや3PCを用いた追跡やターゲティングが技術的に届かないことを意味します。この現実は2025年を経ても一切変わっていません。

第二に、Google自身が、プライバシーサンドボックスの中核的な広告API(Topicsなど)から撤退したという事実です。これは、「3PCの代わりに、この新しいAPIに乗り換えれば、以前と同じような広告精度が戻ってくる」という単純な移行の道が閉ざされたことを示します。Googleは、広告測定などの標準化を、自社単独ではなく、W3C(World Wide Web Consortium)のような業界横断的な合意形成の場へと差し戻した格好です。

第三に、GDPRに代表される法規制の要請は、後戻りしていません。たとえ技術的に3PCが利用可能であっても、ユーザーからの明確かつ粒度の細かい同意がなければ、法務リスクを抱えることに変わりはありません。

では、企業は具体的に何に取り組むべきなのでしょうか。焦点は、3PCに依存せずとも必要なウェブ体験やビジネス上の目標を達成するための、技術の「複線化」と「安定運用」にあります。

Googleが継続を明言した技術群は、そのための「足回り」を整えるものです。たとえば、CHIPS(Cookies Having Independent Partitioned State)は、「Partitioned」属性を付与することで、トップレベルサイトごとにストレージが分離されたサードパーティクッキーを許容する仕組みです。これはクロスサイト追跡には利用できませんが、サイトに埋め込まれたチャットウィジェット、地図、決済機能などが正しく動作するために必要な「状態保持」を、プライバシーリスクを抑えつつ実現します。

ログイン連携に関しては、FedCM(Federated Credential Management)が標準的なフローを提供します。これにより、従来の3PCやリダイレクトに頼ることなく、ブラウザがユーザーの合意を仲介し、安全なID連携(例:GoogleやFacebookでのログイン)を実現できます。UXとプライバシーの両立が図りやすくなります。

また、Private State Tokens(旧称Trust Tokens)は、個人を特定することなく「そのユーザーが信頼できるふるまいをしている証(ボットではない証など)」を暗号学的に伝える技術です。これは広告に限らず、不正アクセスやアビューズ対策といった、サイトの健全性を保つ領域で活用が想定されます。

これらはあくまで機能の「保全」であり、広告ターゲティングの代替ではありません。したがって、マーケティングや分析の実務においては、次のような多角的なアプローチが不可欠です。

まず、同意管理(CMP)のUXとログ設計を徹底的に見直し、ユーザーの信頼を得つつ、法的にクリーンな状態を担保することが大前提となります。次に、計測の軸足をクライアントサイド(ブラウザ)からサーバーサイドへと移し、ブラウザの制限によるデータの欠損や重複に耐えうるID解決の仕組み(ファーストパーティIDの整備)を構築することが急務です。

広告運用面では、リターゲティングのような3PC依存の手法への偏重から脱却し、コンテクスチュアル(文脈)広告、クリエイティブの最適化、あるいはMMM(マーケティング・ミックス・モデリング)やインクリメンタリティ測定といった、統計的なアプローチによる意思決定の比重を高めていく必要があります。

2025年の出来事を総括すると、Chromeは3PCの全面廃止を見送り、CMAの監督も終息し、プライバシーサンドボックスの主要APIから撤退しました。しかし、SafariとFirefoxのブロックは続き、規制の要請も変わりません。Googleは、CHIPSやFedCMといった機能保全技術を残しつつ、広告標準化の議論を業界全体に開きました。

ということで、サードパーティークッキーは、Chromeにおいて「突然消えはしない」ことになりました。しかし、ビジネスがサードパーティークッキーに頼りきりでいられる時代は、規制と競合ブラウザの動向によって、すでに終わっているのです。企業は、「3PCありき」の発想から完全に卒業し、ファーストパーティデータとユーザーの信頼を中核に据えた、より強靭なデジタル戦略を構築していく必要があります。…
Read More

Be the first to write a comment.

Leave a Reply

Your email address will not be published. Required fields are marked *

GDPR

ソブリンクラウド最前線――国家とクラウドが「主権」を取り戻そうとしている

ソブリンクラウドとは何か――「どこにあるか」だけでなく「誰が支配するか」 ソブリンクラウドという言葉は「データが国内にあるクラウド」という意味だけで使われることもありますが、より本質的には「特定の国・地域の法律とガバナンスの下で、データと運用の支配権を確保するクラウド」を指します。 従来のクラウドでも、EUのGDPRや日本の個人情報保護法に対応するために「データを特定リージョンに保存する」仕組みは一般化していました。しかし、クラウド事業者の多くは米国企業であり、米国のCLOUD Actのような域外適用法によって、海外当局からのデータ開示要求を受けるリスクがあるのではないか、という不安は残り続けていました。 ソブリンクラウドは、こうした懸念に対し、次のような追加的な要素を組み合わせて対応しようとします。たとえば、運用組織を欧州(あるいは特定の国)に本社を置く別会社とし、データセンターや運用要員を完全に地域内で完結させること、暗号鍵管理を現地主体のみに委ねること、運用ポリシーと監査を地域の規制当局の基準に合わせることなどです。 欧州のデジタル主権を掲げる「Gaia-X」プロジェクトは、クラウドやデータサービスを「連合的(フェデレーテッド)」に接続しつつ、利用者がデータの所在やガバナンスを選択できる枠組みを整備しようとしており、「誰がサービスを提供しようとも、最終的なコントロールは欧州側に残す」という思想を体現しています。 言い換えれば、ソブリンクラウドとは「クラウド技術の利便性を維持しながら、国家として・産業としての交渉力や安全保障リスクをコントロールするための仕組み」であり、純粋な技術トレンドであると同時に、政治・法制度・安全保障のトレンドでもあるのです。 欧州を中心に進む「主権クラウド」構築競争 ソブリンクラウドの最も活発な実験場は、今のところ欧州です。背景には、米系クラウドの圧倒的な市場支配力と、GDPRや米CLOUD Actなどをめぐる法的・政治的な緊張関係があります。 フランスでは、2021年に「cloud de confiance(信頼できるクラウド)」というドクトリンを掲げ、国家機関や戦略的産業のデータを守るための主権クラウド構想を進めてきました。2024年にはOrangeとCapgeminiが共同で設立した事業会社「Bleu」が商用活動を開始し、Microsoft AzureやMicrosoft 365の技術を用いながらも、データセンターはフランス国内、運用はフランス企業の管理下で行うという形で、ソブリンクラウドを提供し始めています。同じくフランスでは、ThalesとGoogleの合弁「S3NS」も、国家の認証スキームSecNumCloud取得を目指す“準主権”クラウドとして位置づけられています。 ドイツではSAP子会社のDelos Cloudが、Microsoftと組んで公共セクター向けの主権クラウドを展開しており、EU全体としてもGaia-Xのもとで医療・エネルギーなど各産業のデータスペース構築が進展しています。 米大手クラウド事業者も、こうした動きに合わせてソブリンクラウド向けの商品ラインを急速に拡充しています。AWSは「AWS European Sovereign Cloud」を発表し、既存リージョンとは完全に独立した欧州向けクラウドを2024年から順次提供開始しました。欧州内でデータ保存・処理・管理を完結させ、運用には欧州籍の従業員のみが関与する構成とし、2025年には欧州本社の専業子会社を立ち上げるなど、「欧州側の主権コントロール」を前面に出しています。 Microsoftは「Microsoft Cloud for Sovereignty」を通じて公共セクター向けのソブリンクラウド機能を提供し、EU Data Boundaryや各国向けローカルクラウド(Azure Local / Microsoft 365 Local)を拡張することで、2025年末までに日本を含む複数市場で「国境内処理」を可能にする計画を打ち出しました。Google CloudもEU向けの「Sovereign Controls for EU」や、欧州サービス事業者との提携により、暗号鍵管理・データアクセス制御を現地主体に委ねるソブリンクラウド・サービスを展開しています。 こうした中、2024年時点でソブリンクラウド市場の約37%を欧州が占めており、まさに欧州が主戦場となっていることが分かります。一方で、フランス紙などは「米巨大クラウドへの依存は依然として高く、国産クラウドだけで対抗するのは難しい」と批判的に報じており、主権と利便性のバランスを巡る議論は現在進行形で続いています。 アジア太平洋と日本――ソブリンAI、規制、地政学が押し上げる新潮流 ソブリンクラウドの成長は欧州だけの現象ではありません。IDCの分析によれば、日本を除くアジア太平洋地域のソブリンクラウド市場は、2027年までに3,670億ドル規模に達し、2022〜2027年の年平均成長率は31%超と予測されています。中国やインド、東南アジア諸国では、データローカライゼーション法やサイバーセキュリティ法制の強化により、自国のクラウド、あるいは自国企業が運営に深く関与する形のハイブリッド・ソブリンクラウドへの需要が急拡大しています。 日本でも、これまでは「ガバメントクラウド」やISMAP(政府情報システムのためのセキュリティ評価制度)といった枠組みを通じて、政府情報システム向けのクラウド利用が段階的に整備されてきました。近年はさらに「ソブリンAI」というキーワードのもと、AI基盤とクラウドインフラをセットで自前化・多元化しようとする動きが加速しています。 経済産業省は2024年から本格化した「GENIAC」事業を通じて、東京大学や富士通などによる国産基盤モデル開発や、その実行基盤となるクラウド・計算資源の整備を支援しています。また、産業技術総合研究所は次世代AIスーパーコンピューター「ABCI 3.0」を、日本のAIソブリンインフラの中核として位置づけています。さらに、さくらインターネットやソフトバンクといった国内事業者への大規模支援により、「国内データセンター+AI特化クラウド」を組み合わせたソブリンクラウド的なエコシステムを構築しようとする流れも見られます。 こうした動きの背景には、生成AIを活用するうえで、医療・金融・防衛などの機微データをどこまで国外クラウドに預けてよいのかという懸念があります。単に「物理的に日本国内にサーバーがあるかどうか」だけではなく、「運用権限を持つのはどの法人か」「暗号鍵やログの管理を誰が握っているか」「外国の法執行機関からの要請にどう対応するか」といった、より踏み込んだ主権設計が求められています。 企業側から見れば、こうしたソブリンクラウドやソブリンAIの動きは、単なる“お上の話”ではありません。世界的に、金融・公共・インフラなど規制産業に対しては、DORA(EUの金融セクター向けレジリエンス規制)のように「クラウドを含む外部ITサービスの集中リスク」を監督当局が直接モニタリングする枠組みも整いつつあり、主要クラウド事業者が“クリティカルな第三者”として名指しされる時代になっています。つまり、「どのクラウドをどう組み合わせて使うか」は、技術選定であると同時に、ガバナンス上の経営判断になってきているのです。 「どのクラウドを選ぶか」から「主権アーキテクチャをどう設計するか」へ 最近のソブリンクラウドの動向を俯瞰すると、三つの大きな潮流が浮かび上がります。第一に、欧州を中心に「主権」を掲げたクラウド市場が急成長し、AWSやMicrosoft、Googleといったハイパースケーラーも本格的にソブリンクラウドラインを展開し始めたこと。第二に、アジア太平洋でもデータローカライゼーションや地政学リスクへの備えから、各国が独自のクラウド戦略を打ち出し、市場が高い成長率で拡大していること。第三に、日本においてもガバメントクラウドやソブリンAIを軸に、国内クラウド事業者やAIインフラへの投資が強化されていることです。 日本企業にとって重要なのは、「ソブリンクラウドだから安全」「海外クラウドだから危険」といった単純な二分法ではなく、自社の事業と規制環境、扱うデータの機微度、サプライチェーン上のリスクを踏まえた“主権アーキテクチャ”を設計することです。具体的には、基幹システムや機微データはソブリンクラウド(あるいは国内クラウド+自社データセンター)に寄せつつ、グローバルな拡張性や最新AIサービスが必要な領域では大手ハイパースケーラーを活用するなど、マルチクラウド/ハイブリッド構成の中で「どこまで主権を確保したいか」をレイヤーごとに描き分ける発想が求められます。 ソブリンクラウドの市場は、今後も技術だけでなく政治・規制・安全保障の変化に大きく揺さぶられることが予想されます。その中で日本企業が取りうる選択肢を広げるためには、国内外のクラウド事業者・パートナーとの関係性を戦略的に設計し、「主権」と「イノベーション」の両立を図る視点が欠かせません。…

Published 2 weeks ago in
ソブリンクラウド最前線――国家とクラウドが「主権」を取り戻そうとしている

ソブリンクラウドとは何か――「どこにあるか」だけでなく「誰が支配するか」

ソブリンクラウドという言葉は「データが国内にあるクラウド」という意味だけで使われることもありますが、より本質的には「特定の国・地域の法律とガバナンスの下で、データと運用の支配権を確保するクラウド」を指します。

従来のクラウドでも、EUのGDPRや日本の個人情報保護法に対応するために「データを特定リージョンに保存する」仕組みは一般化していました。しかし、クラウド事業者の多くは米国企業であり、米国のCLOUD Actのような域外適用法によって、海外当局からのデータ開示要求を受けるリスクがあるのではないか、という不安は残り続けていました。

ソブリンクラウドは、こうした懸念に対し、次のような追加的な要素を組み合わせて対応しようとします。たとえば、運用組織を欧州(あるいは特定の国)に本社を置く別会社とし、データセンターや運用要員を完全に地域内で完結させること、暗号鍵管理を現地主体のみに委ねること、運用ポリシーと監査を地域の規制当局の基準に合わせることなどです。

欧州のデジタル主権を掲げる「Gaia-X」プロジェクトは、クラウドやデータサービスを「連合的(フェデレーテッド)」に接続しつつ、利用者がデータの所在やガバナンスを選択できる枠組みを整備しようとしており、「誰がサービスを提供しようとも、最終的なコントロールは欧州側に残す」という思想を体現しています。

言い換えれば、ソブリンクラウドとは「クラウド技術の利便性を維持しながら、国家として・産業としての交渉力や安全保障リスクをコントロールするための仕組み」であり、純粋な技術トレンドであると同時に、政治・法制度・安全保障のトレンドでもあるのです。

欧州を中心に進む「主権クラウド」構築競争

ソブリンクラウドの最も活発な実験場は、今のところ欧州です。背景には、米系クラウドの圧倒的な市場支配力と、GDPRや米CLOUD Actなどをめぐる法的・政治的な緊張関係があります。

フランスでは、2021年に「cloud de confiance(信頼できるクラウド)」というドクトリンを掲げ、国家機関や戦略的産業のデータを守るための主権クラウド構想を進めてきました。2024年にはOrangeとCapgeminiが共同で設立した事業会社「Bleu」が商用活動を開始し、Microsoft AzureやMicrosoft 365の技術を用いながらも、データセンターはフランス国内、運用はフランス企業の管理下で行うという形で、ソブリンクラウドを提供し始めています。同じくフランスでは、ThalesとGoogleの合弁「S3NS」も、国家の認証スキームSecNumCloud取得を目指す“準主権”クラウドとして位置づけられています。

ドイツではSAP子会社のDelos Cloudが、Microsoftと組んで公共セクター向けの主権クラウドを展開しており、EU全体としてもGaia-Xのもとで医療・エネルギーなど各産業のデータスペース構築が進展しています。

米大手クラウド事業者も、こうした動きに合わせてソブリンクラウド向けの商品ラインを急速に拡充しています。AWSは「AWS European Sovereign Cloud」を発表し、既存リージョンとは完全に独立した欧州向けクラウドを2024年から順次提供開始しました。欧州内でデータ保存・処理・管理を完結させ、運用には欧州籍の従業員のみが関与する構成とし、2025年には欧州本社の専業子会社を立ち上げるなど、「欧州側の主権コントロール」を前面に出しています。

Microsoftは「Microsoft Cloud for Sovereignty」を通じて公共セクター向けのソブリンクラウド機能を提供し、EU Data Boundaryや各国向けローカルクラウド(Azure Local / Microsoft 365 Local)を拡張することで、2025年末までに日本を含む複数市場で「国境内処理」を可能にする計画を打ち出しました。Google CloudもEU向けの「Sovereign Controls for EU」や、欧州サービス事業者との提携により、暗号鍵管理・データアクセス制御を現地主体に委ねるソブリンクラウド・サービスを展開しています。

こうした中、2024年時点でソブリンクラウド市場の約37%を欧州が占めており、まさに欧州が主戦場となっていることが分かります。一方で、フランス紙などは「米巨大クラウドへの依存は依然として高く、国産クラウドだけで対抗するのは難しい」と批判的に報じており、主権と利便性のバランスを巡る議論は現在進行形で続いています。

アジア太平洋と日本――ソブリンAI、規制、地政学が押し上げる新潮流

ソブリンクラウドの成長は欧州だけの現象ではありません。IDCの分析によれば、日本を除くアジア太平洋地域のソブリンクラウド市場は、2027年までに3,670億ドル規模に達し、2022〜2027年の年平均成長率は31%超と予測されています。中国やインド、東南アジア諸国では、データローカライゼーション法やサイバーセキュリティ法制の強化により、自国のクラウド、あるいは自国企業が運営に深く関与する形のハイブリッド・ソブリンクラウドへの需要が急拡大しています。

日本でも、これまでは「ガバメントクラウド」やISMAP(政府情報システムのためのセキュリティ評価制度)といった枠組みを通じて、政府情報システム向けのクラウド利用が段階的に整備されてきました。近年はさらに「ソブリンAI」というキーワードのもと、AI基盤とクラウドインフラをセットで自前化・多元化しようとする動きが加速しています。

経済産業省は2024年から本格化した「GENIAC」事業を通じて、東京大学や富士通などによる国産基盤モデル開発や、その実行基盤となるクラウド・計算資源の整備を支援しています。また、産業技術総合研究所は次世代AIスーパーコンピューター「ABCI 3.0」を、日本のAIソブリンインフラの中核として位置づけています。さらに、さくらインターネットやソフトバンクといった国内事業者への大規模支援により、「国内データセンター+AI特化クラウド」を組み合わせたソブリンクラウド的なエコシステムを構築しようとする流れも見られます。

こうした動きの背景には、生成AIを活用するうえで、医療・金融・防衛などの機微データをどこまで国外クラウドに預けてよいのかという懸念があります。単に「物理的に日本国内にサーバーがあるかどうか」だけではなく、「運用権限を持つのはどの法人か」「暗号鍵やログの管理を誰が握っているか」「外国の法執行機関からの要請にどう対応するか」といった、より踏み込んだ主権設計が求められています。

企業側から見れば、こうしたソブリンクラウドやソブリンAIの動きは、単なる“お上の話”ではありません。世界的に、金融・公共・インフラなど規制産業に対しては、DORA(EUの金融セクター向けレジリエンス規制)のように「クラウドを含む外部ITサービスの集中リスク」を監督当局が直接モニタリングする枠組みも整いつつあり、主要クラウド事業者が“クリティカルな第三者”として名指しされる時代になっています。つまり、「どのクラウドをどう組み合わせて使うか」は、技術選定であると同時に、ガバナンス上の経営判断になってきているのです。

「どのクラウドを選ぶか」から「主権アーキテクチャをどう設計するか」へ

最近のソブリンクラウドの動向を俯瞰すると、三つの大きな潮流が浮かび上がります。第一に、欧州を中心に「主権」を掲げたクラウド市場が急成長し、AWSやMicrosoft、Googleといったハイパースケーラーも本格的にソブリンクラウドラインを展開し始めたこと。第二に、アジア太平洋でもデータローカライゼーションや地政学リスクへの備えから、各国が独自のクラウド戦略を打ち出し、市場が高い成長率で拡大していること。第三に、日本においてもガバメントクラウドやソブリンAIを軸に、国内クラウド事業者やAIインフラへの投資が強化されていることです。

日本企業にとって重要なのは、「ソブリンクラウドだから安全」「海外クラウドだから危険」といった単純な二分法ではなく、自社の事業と規制環境、扱うデータの機微度、サプライチェーン上のリスクを踏まえた“主権アーキテクチャ”を設計することです。具体的には、基幹システムや機微データはソブリンクラウド(あるいは国内クラウド+自社データセンター)に寄せつつ、グローバルな拡張性や最新AIサービスが必要な領域では大手ハイパースケーラーを活用するなど、マルチクラウド/ハイブリッド構成の中で「どこまで主権を確保したいか」をレイヤーごとに描き分ける発想が求められます。

ソブリンクラウドの市場は、今後も技術だけでなく政治・規制・安全保障の変化に大きく揺さぶられることが予想されます。その中で日本企業が取りうる選択肢を広げるためには、国内外のクラウド事業者・パートナーとの関係性を戦略的に設計し、「主権」と「イノベーション」の両立を図る視点が欠かせません。…
Read More

Continue Reading
GDPR

The EU’s Digital Omnibus offers relief for ad tech, but hands more power to Big Tech and AI agents

What it means for GDPR, ad tech and the online media industry as a whole…

Published 2 weeks ago in
The EU’s Digital Omnibus offers relief for ad tech, but hands more power to Big Tech and AI agents

What it means for GDPR, ad tech and the online media industry as a whole…
Read More

Continue Reading
GDPR

EU sets out plans to cut red tape on digital

Changes have been proposed to simplify AI Act compliance for smaller businesses, easier cyber security reporting and tweaks to GDPR…

Published 2 weeks ago in
EU sets out plans to cut red tape on digital

Changes have been proposed to simplify AI Act compliance for smaller businesses, easier cyber security reporting and tweaks to GDPR…
Read More

Continue Reading
GDPR

Ad Tech Briefing: Digital Omnibus is about to land — here’s what it means for GDPR, and the future of ad targeting

The EC’s Digital Omnibus could redefine data rules — and shift power in digital advertising…

Published 3 weeks ago in
Ad Tech Briefing: Digital Omnibus is about to land — here’s what it means for GDPR, and the future of ad targeting

The EC’s Digital Omnibus could redefine data rules — and shift power in digital advertising…
Read More

Continue Reading