法規制対応から戦略投資への転換点となるEUクラウド・AI開発法(CADA）

クラウドサービスに対する地政学的リスクや低減策が議論となる中、CSA支部がある国・地域では、様々な取り組みが行われている。CSAジャパン関西支部では、欧州やアジア・太平洋地域、カナダなど、米国以外のCSA支部が密接に取り組んでいる最新情報を取り上げていく。

[要約] 欧州委員会は2026年6月、米系へのクラウド集中リスク解消とデジタル自律性の強化に向け、半導体法2.0やクラウド・AI開発法(CADA）など4つの柱からなる「技術主権パッケージ」を発表した。CADAでは政府調達等に4段階の主権評価フレームワークを導入し、外資企業に対し構造的な障壁を課す方針である。これら一連のEU規制は、サプライチェーンを通じて民間企業へ連鎖的に波及している。グローバルITガバナンスが分断する中、企業にはマルチクラウドの確保やリスク可視化、暗号アジリティの組み込みといった、デジタル・レジリエンス確立への戦略的転換が求められている。

・[要点1] 欧州委員会による「技術主権パッケージ」の発表と4つの柱
・[要点2] クラウド・AI開発法（CADA）」の核心と4段階の欧州認証フレームワーク
・[要点3]「コンプライアンスの連鎖（カスケード）

欧州委員会が提案する「技術主権パッケージ」とは？

2026年6月3日、欧州委員会は、半導体、人工知能（AI）、クラウド、オープンソースにおいて、欧州のデジタルの自律性とレジリエンスを強化する「技術主権パッケージ」提案を発表した（関連情報（European Commission, ”Commission proposes tech sovereignty package to strengthen Europe’s digital autonomy and resilience（https://digital-strategy.ec.europa.eu/en/news/commission-proposes-tech-sovereignty-package-strengthen-europes-digital-autonomy-and-resilience））。

このパッケージには、「半導体法2.0（Chips Act 2.0）」と「クラウド・AI開発法（Cloud and AI Development Act）」の2つの法案に加え、「オープンソース戦略」、および「エネルギー分野におけるデジタル化とAIのための戦略的ロードマップ」が含まれている。

「半導体法2.0」提案は、域内の半導体産業を活性化し、最先端チップの生産能力を強化するための新たな施策である。従来の半導体法の進捗を土台に、欧州が強みを持つ汎用チップ分野を補強しつつ、次世代の半導体技術の開発を進める。これにより、AI普及に伴う深刻な域外依存やサプライチェーンの脆弱性を解消し、欧州のデジタルの自律性とインフラの安全性を高めることを目指している。

次に「クラウド・AI開発法（CADA）」提案は、域内のクラウドとAIのエコシステム、投資、およびインフラを強化するための法案である。AI普及に伴う急激な需要増に対応するため、データセンターの設置認可手続きを簡素化・加速させ、今後5〜7年で域内の処理能力を少なくとも3倍に拡大することを目指す。さらに、EU独自の主権評価フレームワーク（4つの保証レベル）を導入することで、域外プロバイダーへの過度な依存を減らし、重要セクターにおけるデジタルの自律性と安全性を確立するとしている。

さらに、「EUオープンソース戦略」は、域内のデジタルインフラにおけるオープンソースソフトウェア（OSS）の役割を強化するためのロードマップである。本戦略は、重要公共インフラや行政システムへのOSSの導入を加速し、透明性とサイバーセキュリティを向上させるとともに、EU独自のデジタルエコシステムの自律性を高めることを目指している。また、オープン開発コミュニティへの支援を通じて、ベンダーロックインを防ぎ、EU域外の技術への過度な依存を減らしてイノベーションを促進するとしている。

また、「エネルギー分野におけるデジタル化とAIのための戦略的ロードマップ」は、脱炭素化の加速とエネルギー効率の向上を目指す施策である。AIやデジタル技術をスマートグリッドや再生可能エネルギー分野に大規模に導入し、需給バランスの最適化や運用の効率化を図る。また、急増するデータセンターの電力需要に対応するため、事業者や行政、エネルギー関係者による三者間合意（EUモデル）の枠組みを構築し、持続可能なエネルギーシステムへの統合と欧州のクリーンエネルギー転換を推進するとしている。

これら4つの施策は一体となり、欧州が「AI大陸」になるという野望を支え、デジタルの自律性を強化し、より持続可能なデジタルの未来を築くことに貢献するとしている。また、EUの企業、市民、そして行政機関にとって、コアテクノロジーにおける選択肢を広げることにもつながるという。

クラウド・AI開発法（CADA）と欧州認証フレームワーク

このパッケージが発表された直後の2026年6月5日、CSAラボ・スペースは、「欧州の技術主権：クラウド集中リスクとコンプライアンスの連鎖」と題するブログ記事を公開した（関連情報：EU Tech Sovereignty: Cloud Concentration Risk and the Compliance Cascade （https://labs.cloudsecurityalliance.org/research/eu-tech-sovereignty-cloud-ai-enterprise-risk-v1-0-csa-styled/））。参考までにCSAラボ・スペースは、コミュニティ内のメンバーやグループが、クラウドセキュリティアライアンス（CSA）と連携して展開したい独立したプロジェクトのために用意されたスペースである。

本ブログ記事において、EUは、域内のデータ、インフラ、AI技術が米国のハイパースケーラー（AWS、Microsoft、Googleなど）に過度に依存している現状を「国家・域内の安全保障、および経済的自立における重大なリスク（クラウド集中リスク）」と捉えているとしている。

このクラウド集中リスクに対応するため、EUは一般データ保護規則（GDPR）を皮切りに、DORA（デジタルオペレーショナルレジリエンス法（DORA）、データ法（Data Act）、欧州クラウド認証スキーム(EUCS）、EU AI法などを次々と法制化した。これらの規制は、単に直接の対象企業（金融機関やテック企業など）に留まらず、そのサプライチェーン全体、ひいてはグローバルで事業を展開するすべてのエンタープライズ企業へと連鎖的に波及している。本ブログでは、この現象を「コンプライアンス・カスケード（コンプライアンスの連鎖）」と定義し、企業が負うべき新たなリスクと、その防衛策を提唱している。

欧州委員会の「技術主権パッケージ」のうち、クラウド・AI開発法（CADA）提案では、公共部門、重要インフラ事業者、および公的契約に基づいてサービスを提供する事業者を対象に、クラウドおよびAIの主権を評価する厳格なガバナンスフレームワークを創設している。その最大の技術的特徴は、以下の通り、データの機密性とリスクに応じてクラウドサービスを分類する「4段階の欧州認証（Union Assurance）フレームワーク」の導入である。

[認証レベル 1]
主な要求事項：インフラがEU域内に所在、データレジデンシーがEU域内であること。
適用ユースケース例：一般的な公的行政、非機密ワークロード。
[認証レベル 2]
主な要求事項：第三国（米国など）の法的管轄権からの独立、ソフトウェアサプライチェーンの透明性。
適用ユースケース例： 機密性の高い行政データ、医療記録、金融データ。
[認証レベル 3]
主な要求事項：EUによる所有および支配、従事人員の国籍（市民権）要件、高度なガバナンス。
適用ユースケース例：国家安全保障に隣接する機能、国防関連の調達。
[認証レベル 4]
主な要求事項： ソフトウェアサプライチェーンの完全な透明性、第三国からのいかなる干渉も排除。
適用ユースケース例：重要な主権機能、機密（Classified）と同等の国家ワークロード。

加盟国やEU機関は、それぞれのユースケースに応じて必要な認証レベルを特定するリスク評価が義務付けられることになる。特にレベル3およびレベル4においては、米国CLOUD法などの管轄下にある米国系ハイパースケーラーに対し、契約上の工夫だけでは解決できない構造的な障壁（EUによる所有・支配、人員の国籍制限など）を課している点が極めて重要である。

なお、このCADAは、欧州サイバーセキュリティ庁（ENISA）が主導していた「欧州クラウドサービスサイバーセキュリティ認証制度（EUCS）」を事実上上書き・吸収する形で機能する。従来のEUCSでは産業界からの圧力で削除された「主権要件（EU本社の義務付けなど）」が、CADAによって政府調達の一次要件として実質的に復活した形となる。

クラウド・AI開発法（CADA）と複雑に絡み合うEU法規制への対応

本ブログ記事では、集中リスクの排除と主権確保のために機能する、以下のようなEU法規制を挙げている。

・デジタルオペレーショナルレジリエンス法（DORA）：
金融セクターに対し、情報通信技術（ICT）障害への耐性を義務化する。サードパーティ（クラウド側）の集中リスク評価を徹底させる。
・データ法：
クラウド事業者間の「乗り換え」の障害となるデータロックインを排除する。解約手数料の撤廃や相互運用性の確保を義務化する。
・欧州クラウド認証スキーム（EUCS）：
クラウドの安全性評価基準。特に高いセキュリティレベルにおいては、外国籍企業のインフラへのアクセス制限や、データのEU域内保管が議論の中心となる。
・EU AI法：
生成AIやハイリスクAIシステムに対する透明性と安全性の確保を義務化する。AIを稼働させる基盤クラウドの監査も必要となる。

本ブログでは、コンプライアンスの連鎖の観点から、特に民間企業に対する影響として、以下のような点を挙げている。

・データ法との連動：2025年9月に発効したデータ法が定める「クラウド切り替え（ベンダーロックインの解消）義務」を補完し、ベンダー移行の流動性を高める。
・ネットワーク・情報システムのセキュリティに関する指令2（NIS2）およびデジタルオペレーショナルレジリエンス法（DORA）：重要インフラ（NIS2）や金融セクター（DORA）に課されているICTサードパーティリスク管理において、クラウドベンダーの「主権リスク（外資依存リスク）」が企業の取締役会やリスク委員会で直接的な監査対象として浮上している。
・AIモデルの規制：EU域外でトレーニングやホスティングが行われたフロンティアAIモデルに対して、データ移転やサプライチェーンの観点から新たな制限が課されるリスクが生じている。

これらにより、民間企業であっても公共セクターにシステムを納品するサプライチェーン企業、規制対象セクター（金融・医療など）の企業、公的資金による研究プログラムに参加する企業などは、否応なしにCADA準拠の欧州系ローカルクラウドへの移行や、アーキテクチャの見直しを迫られることになるとしている。
欧州で事業展開する日本企業の課題はサードパーティベンダーリスク管理

本ブログ記事では、これからのグローバルITガバナンスが「米国、欧州、アジア太平洋（APAC）の3つの互換性のないコンプライアンス領域」に分断していくと警告している。この大転換に対し、企業のCISO（最高情報セキュリティ責任者）や取締役会は、以下のような戦略的な転換を直ちに行う必要があるとしている。

・マルチクラウド相互運用性の確保：
特定のクラウドにロックインされることを防ぐため、クラウドネイティブ技術（アプリケーションコンテナなど）を活用し、別のクラウドやオンプレミス環境へ迅速にワークロードを移行・分散できるポータビリティを重視した設計を採用する。
・サードパーティおよびフォースパーティ・リスクの可視化：
自社が使っているサードパーティベンダーだけでなく、そのベンダーが裏側で依存しているクラウド基盤のフォースパーティベンダーがどこなのかを棚卸しし、集中リスクを特定・評価する。
・デジタルインフラのローカライズ（ソブリン・クラウドの活用）：
EU域内のデータ主権を完全に満たすため、欧州ローカルのプロバイダーや、米ハイパースケーラーが提供する「ソブリン・クラウド」の導入を適材適所で検討する。
・「暗号アジリティ（俊敏性）」の組み込み
データの暗号化だけでなく、法規制や地政学的要件の変化に応じて、データの保管場所や暗号鍵の管理権限（BYOK: Bring Your Own Keyなど）を企業自身が完全にコントロールできるようにする。

このようなEUの「技術主権」への動きは、一過性の政治トレンドではなく、世界のクラウド利用における不可逆的な構造シフトだとしている。企業は、規制対応を単なる「法務上の手続き（コスト）」として捉えるのではなく、不確実なグローバル市場を生き抜くための「競争優位性とデジタル・レジリエンスの確立（戦略投資）」へとマインドセットを転換することが求められているとしている。

CSAジャパン関西支部メンバー
DevSecOps／サーバーレスWGリーダー
笹原英司