米国CLOUD法は、米国の国境を越えて適用されます。クラウドプロバイダーが米国企業である場合、データが物理的にどこにホストされていても、米国当局の管轄下に置かれる可能性があります。

DACH地域の企業にとって、これは単なる理論上の懸念ではありません。米国CLOUD法に基づき、米国クラウドプロバイダーは、フランクフルト、アムステルダム、チューリッヒなど、物理的にどこにデータが保存されていても、その開示を強制される可能性があります。GDPRおよびDSGVOは、データ管理者であるお客様にコンプライアンスの責任を課しており、クラウドプロバイダーではありません。これは、米国ハイパースケーラーとのデータ処理契約を盾にしても解決できない法的緊張を生み出します。

その影響は実務的なものです。規制対象分野の取締役会や監査委員会は、AWS、Azure、GCPで稼働するワークロードが欧州のデータ保護義務に真に準拠しているか疑問を呈しています。金融サービス、ヘルスケア、公共部門の顧客は、EU域内のみでのデータ処理に関する契約上の保証を求め始めています。スイスの金融規制、ドイツのBSI C5、医療データレジデンシーなど、厳格な管轄要件を持つ規制産業では、移行すべきかどうかではなく、稼働中の運用を中断せずにいかに実行するかが問われています。

Gradionは、DACH地域の企業がデータ主権に関するリスクを評価し、代替案を検討し、EU主権クラウド環境への移行を実行するのを支援します。私たちの取り組みは、単なるチェックボックスの確認ではなく、エンジニアリング主導かつコンプライアンスを意識したものです。

提供サービス

クラウド主権アセスメント

お客様の現在のクラウド環境を3つの側面から監査します。第一に、規制要件です。お客様が処理するデータカテゴリ、適用される業界固有の義務（DSGVO、DORA、HIPAA相当のフレームワーク、BSI C5）、および現在のホスティング契約が実際に提供する内容を評価します。第二に、リスクと影響です。データ露出がコンプライアンスまたは風評リスクを生み出す箇所、最も機密性の高いワークロード、およびCLOUD法シナリオ下での契約上のリスクを分析します。第三に、コストと移行の複雑さです。ワークロードごとに移行に必要なものを現実的に見積もり、財務予測を立てます。この成果物は、取締役会やCIOが現状と選択肢を明確に把握できる、経営層向けの評価レポートです。

主権クラウドプロバイダー評価

お客様に代わり、EU主権および欧州運営のクラウドプロバイダーを評価します。これには、STACKIT（Schwarz Groupのクラウドで、GDPR準拠のエンタープライズワークロード向けに構築）、Hetzner、IONOS、OVHcloud、T-Systems Open Telekom Cloud、Deutsche Telekom、および認定された公共部門向けクラウドが含まれます。プロバイダーの選定は、お客様の技術要件、コンプライアンス義務、地理的ニーズ、およびコスト目標に基づいて行われます。私たちは、選定に偏りを生じさせるような形でプロバイダーと提携していません。評価はお客様の判断に委ねられます。

移行設計と実行

私たちは、ビジネスの中断を最小限に抑えつつ、ワークロードを準拠環境へ移行させる段階的な移行ロードマップを設計します。アーキテクチャの適応、ネットワークトポロジーの変更、IDおよびアクセス再構成は、コンプライアンスの根拠と同様のエンジニアリングの厳密さをもって処理されます。ドイツ、シンガポール、タイ、エジプトにわたるクラウド移行プロジェクトで培われた実績あるプレイブックを活用します。コスト、コンプライアンス体制、セキュリティに関するガードレールは、移行開始前に設定され、その後も継続的に監視されます。

GDPR/DSGVOアーキテクチャパターン

データ主権は、データがどこにホストされているかだけではありません。データの流れ方、誰がアクセスできるか、そしてそのアクセスがどのように管理・監査されるかに関わります。私たちは、個人データが定義された地理的境界内に留まることを保証するデータレジデンシーパターンを設計し、暗号制御を欧州の手中に保持する暗号化と鍵管理を実装し、DSGVOの説明責任義務と内部ガバナンス要件の両方を満たす監査ログを設定します。

継続的なコンプライアンス監視

レビューなしに新規サービスが追加されたり、エンジニアが未承認のリージョンにリソースをプロビジョニングしたり、ベンダー関係が変更されたりすると、データ主権体制は損なわれる可能性があります。当社はポリシーアズコードによる統制を導入し、データ主権の制約を継続的に適用します。これにより、コンプライアンス違反となる前に逸脱を検知し警告します。設定はバージョン管理され、監査可能です。

本番環境での実証

スイス全土の数十の商業銀行向けに300以上の基幹銀行アプリケーションを運用するスイスの銀行テクノロジープロバイダーは、FINMAのデータ主権要件の下で事業を展開しています。これは、全てのシステムがスイスの管轄内に留まらなければならないというものです。規制当局がデータの物理的な所在地について厳格な方針を示している場合、ハイパースケーラーの地域データセンターのコミットメントと交渉の余地はありません。

グラディオンは、クライアントのアプリケーション資産全体にわたる包括的なアーキテクチャ監査を実施し、スイス国内にMicrosoft AzureとGoogle Cloudを活用した規制準拠のハイブリッドクラウドインフラストラクチャを設計しました。そして、ダウンタイムと規制上の誤りを一切許容せず、8週間で段階的な移行計画を策定・提供しました。スタッフ研修と即時決済（Instant Payments）への準拠準備も、このプロジェクトに組み込まれました。その結果、FINMAの要件を満たし、1日あたり50万件のトランザクションをサポートし、スイスの銀行間即時決済義務化に備えたクラウドネイティブアーキテクチャが実現しました。

行動喚起

現在のクラウド環境と直面しているコンプライアンス上の課題についてお聞かせください。当社がデータ主権評価の範囲を定め、3週間以内に結果をご報告いたします。