デジタル主権とは

掲載 2026 年 4 月 6 日17 分 (読了時間の目安)
URL をコピー

デジタル主権とは

デジタル主権とは、組織が自らのデジタル資産をコントロールすること、具体的にはデータの保存場所、システムの運用方法、データへのアクセス権を決定することができることを言います。 

表現を変えれば、企業がデータやテクノロジーのコントロールを外部プロバイダーに委ねるのではなく自社で「掌握」している状態です。 

デジタル主権は、インフラストラクチャ、運用、AI ワークロードなどに適用できます。

Red Hat のデジタル主権ソリューションを見る

 

デジタル主権は企業と政府の両方に関連のある概念です。一部の政府は、EU の GDPR (一般データ保護規則) や米国の CLOUD 法 (Clarifying Lawful Overseas Use of Data act) のように、自国の管轄権でデジタル管理を定義および施行する法律を制定しています。これらの法律は、消費者や知的財産を保護し、自律性とレジリエンスを維持し、リスクを低減させることを目的としています。 

この記事では、企業のデジタル主権に焦点をあてます。 

サービスプロバイダー向けのデジタル主権戦略について見る 

デジタル主権を追求すべき理由

わかりやすい例として、車をレンタルやリースではなく購入する場合を考えてみます。車を購入して所有すると、自由やプライバシー、柔軟性や独立性を高いレベルで確保できます。しかし、これには有効な免許証だけでなく、初期費用やメンテナンスも必要になります。 

車を所有する場合と同様に、デジタル主権にも大きな責任が生じ、多くの労力が必要になります。しかし、次のことを求めるのであれば、これに投資する価値はあるでしょう。 

  • ビジネス継続性:デジタル主権がある場合、問題が生じても自社でコントロールでき、サードパーティ・プロバイダーに頼る必要がありません。 

    システムを自らコントロールしていれば、可搬性や相互運用性を前もって確保しておくことができます。そうすれば、予期せぬ中断が発生してもワークロードを移行でき、最悪のシナリオであっても、ソフトウェアやサポート、モデルに即座にアクセスできます。これらすべての要素が、自社の裁量で運用を継続することを可能にします。

  • ベンダーの柔軟性:デジタル主権を確立していれば、さまざまなベンダーから多種多様なツールやサービスを自由に選べます。 

    自社のインフラストラクチャを自らコントロールすることで、停止のリスクが低減し、ベンダーの切り替えが容易になり、多くの選択肢を残しておくことができます。

  • リスク管理:デジタル主権があれば、自社がコントロールできない要因による中断から重要なインフラストラクチャを保護し、問題が発生する前に、その原因となるリスクに対処できます。

    外部プロバイダーへ依存するとプロバイダー側の優先順位に左右されるため、望ましくない脆弱性が生じるおそれがあります。インフラストラクチャ、データ、ベンダーを自社でコントロールすることで、セキュリティ、コンプライアンス、地政学上のリスクが生じかねない外部への依存を減らすことができます。 

まとめると、デジタル主権は、車を「所有」することを志向し、「レンタル」の利便性と引き換えに自律性を確保しようとする組織にとって、理にかなった戦略といえます。

Red Hat Sovereignty Readiness Assessment を受ける

デジタル主権

デジタル主権の 4 つの柱とは

デジタル主権は、デジタル資産コントロール戦略を支える 4 つの柱に分解できます。

  1. データ主権:データの作成、保存、使用にあたって現地の法律を順守することです。データは通常、収集または処理される国の法律に従いますが、国際的な規制が適用される場合もあります。AI モデルやトレーニングデータについても同様です。そうした法律は国によって異なります。 

    たとえば、ドイツで収集されたデータは GDPR ガイドラインに従う必要があります。 

  2. 技術主権:システムを構築する方法を自らコントロールすることです。可搬性と相互運用性を備えたテクノロジーを設計すれば、複数環境間で自由に移行でき、さまざまなテクノロジーとの連携が可能になります。オープンスタンダードとオープンソース・テクノロジーを利用すれば、単一ベンダーのプロプライエタリなインフラストラクチャやソフトウェアへの依存も抑えられます。その結果、環境全体を再構築しなくても容易に新しいツールの採用、環境の変更、アーキテクチャの進化を行えるようになります。

    たとえば、どのワークロードをオンプレミスで実行し、どれをクラウドで実行するかを決定する際も、プロバイダーのアーキテクチャによる制限に縛られることはありません。 

  3. 運用主権:システムの日常的な運用、アクセス制御、保守を自らコントロールすることです。インフラストラクチャをどのように運用、管理、監視するかを自社で決めれば、システムへのアクセス権限を持つ人を検証したり、システムの信頼性を確保したりできるようになります。 

    たとえば、システムへのアクセス、インシデント対応、即時の変更を行える人員を社内のIT チームがコントロールしていれば、ベンダーが必要な措置をとるのを待つ必要はありません。 

  4. 保証主権:使用するテクノロジーのセキュリティ、信頼性、コンプライアンスが自社の方針に沿っている状態を維持することです。具体的には、システムを定期的にテストして、現地の法的規制の順守を確認し、監査を実施してポリシーへの対応を最新の状態に保つことを指します。検証の範囲は、IT インフラストラクチャ、ソフトウェア、運用にまでおよびます。

    たとえば、医療機関は自社のシステムを監査して、患者データの機密性が守られていることや HIPAA (Health Insurance Portability and Accountability Act) 要件に準拠していることを確認します。 

デジタル主権が単なるコンプライアンス以上のものである理由

デジタル主権とデータ主権

デジタル主権とは、組織内で使用するテクノロジーを自らコントロールすることです。これは、サードパーティ・プロバイダーと連携する場合も同様です。 

データ主権 (デジタル主権の 4 つの柱の 1 つ) とはデータを統制するものです。AI モデルやトレーニングデータもその対象に含まれており、データが収集、保存、処理される国の法律が適用されます。法的なコンプライアンスと企業の戦略が重なる領域だといえます。 

親会社やデータセンターが別の場所にあっても、データは現地の法律に従わなければなりません。これは、グローバルな規模でデータを収集する際、厄介な問題になります。 

たとえば、米国企業がパリの拠点でフランスの顧客データを収集する場合、親会社が米国にあっても、そのデータは GDPR などの EU の法律に従う必要があります。

デジタル主権とデータ主権、さらには次の関連用語を混同しないことが重要です。 サイバースペース主権とは、政府が自国の管轄下で法律や検閲を通じてインターネットに対する統制を確立することを指します。 

たとえば、一部の国では、他国で自由に流通しているコンテンツに対し、アクセスを制限しているケースがあります。 

デジタル主権とガバナンスについて議論する場合、次の 2 つの重要な用語も覚えておくとよいでしょう。

  • データレジデンシー: データの物理的な保管場所を指します。先ほどの例では、フランスがこれに当たります。
  • データ・ローカライゼーション:特定のデータを国内の管轄下で保存し、場合によっては処理することも義務付ける法律を指します。先ほどの例では、米国企業はフランスで収集したデータを EU 内に保存するか、あるいは承認済みの転送プロセスに従うことが求められる場合があります。 

まとめると、デジタル主権は自社のテクノロジーとインフラストラクチャに関する決定権を自らコントロールすることを指し、データ主権は現地のデータにその地域の法律が適用されることを指します。企業が海外に展開し、罰金を回避するには、これらを複合的に実践することが必要になります。

データを保存、処理、転送するあらゆる企業は、法律、プライバシー、セキュリティに関する各戦略にデータ主権を確実に組み込む必要があります。

デジタル主権のメリット

コントロールと保証を確保できることから、デジタル主権は多くの組織にとって魅力的です。デジタル環境の全体像を把握していれば、インフラストラクチャ、データ、セキュリティの管理方法を自ら決定できます。このような自律性を確保すると、次の要素を改善できます。

  • 法令順守: 現地のデータに関する法律を確実に順守し、グローバルなデータ転送を自社で制御できます。これは全体的なセキュリティとビジネス継続性の向上につながります。
  • オペレーショナル・レジリエンス:障害復旧計画を自ら管理すれば、ベンダーの承認を待つことなく、自社に最適なタイミングでワークロードを移動および調整できます。
  • リスク管理: 外部プラットフォームへの依存を減らすことで、プロバイダーの障害による影響が少なくなり、セキュリティに関する責任の所在も明確になります。
  • コストの可視化: 主権を確保してもコストが自動的に下がるわけではありませんが、コストの透明性は確実に高まるので、状況に合わせてリソースと予算を調整できます。
  • AI ガバナンスとモデルの制御: AI を完全にアウトソーシングするのではなく、トレーニングデータ、モデルのアップデート、AI の展開方法を自社でコントロールします。これにより、AI システムをビジネスニーズに合わせて微調整したりカスタマイズしたりできるようになります。また、医療や金融といった規制の厳しい業界で重要となる追加のセキュリティレイヤーも確保できます。 

コントロールを強化することで、より高い柔軟性と明確なガバナンスを手に入れ、長期にわたる持続可能なテクノロジー戦略を実施できるようになります。

ただし、テクノロジーのあらゆる面を自ら完全にコントロールすることは、必ずしもすべての組織にとってメリットとなるとは限りません。プラットフォームによっては、パブリッククラウドを利用したほうがうまくいく場合もあります。多くの場合、意思決定の権限を保持し、デジタル主権を維持すべき対象となるのはワークロードです。

デジタル主権の課題とは

自社のあらゆるテクノロジーを管理できる機会があっても、必ずしもすべての組織がそれに飛びつかないのには理由があります。それは、どのような規模の企業にとっても、重荷になりかねないからです。 

デジタル主権を確立することは、コンプライアンス、サプライチェーン、データレジデンシー、AI などに対し全責任を負うということを意味します。それらすべてを一度にコントロールしようとすると、次のような障害が立ちふさがります。 

  • コスト:デジタル主権を確立するには、通常、自社のインフラストラクチャ、ソフトウェア、データガバナンス・プラットフォームへの初期投資と、その後の管理が必要になります。ハイブリッドクラウドやマルチクラウドのアーキテクチャはコストがかかりますが、テクノロジーの進化に柔軟に対応するのに役立ちます。 

    留意点として、主権を確立するのに、必ずしもすべてを再構築する必要はありません。ただし、インフラストラクチャを構築する際には、主権に関する要件を考慮に入れることになるでしょう。 

  • 人材: 最適なチームを編成すること、およびそれを運用していく資金を調達することは容易ではありません。デジタル主権を確立するには、自社のユースケースを熟知した、プラットフォームエンジニアやセキュリティエンジニアなどの専門家を国内で確保する必要があります。
  • 法令順守: データは多くの場合、それぞれが独自の法律を持つ複数の国から収集されます。各国の規制は、重なることもあれば相反する場合もあります。また、頻繁に変更されるため、対応の遅れやセキュリティリスクを避けるためには、常にその最新の内容を把握しておくことが重要です。
  • ベンダーロックイン: 進行中の業務を中断することなく、デジタル資産をプロプライエタリなベンダーから切り離すのは容易ではありません。移行にあたって新たなリスクの発生を回避するためには、綿密な計画と優れた設計のアーキテクチャが不可欠です。
  • 組織的な複雑さ:IT、セキュリティ、財務、法務の各部門と経営陣が互いに連携する必要があります。戦略を着実に進めるには、主権についての優先度をチーム間で一致させておくことが不可欠です。 

デジタル主権の戦略にはさまざまなレベルの管理と複雑さが伴うので、その課題はユースケースによって異なります。 

  • セルフマネージド・インフラストラクチャでは最大限のコントロールが得られますが、多くの場合、投資額や保守の負担も最大となります。
  • ソブリンクラウド・ソリューションも、初期投資が多くなり、プロバイダーによるさまざまな制限を伴う場合があります。
  • ハイブリッド/マルチクラウド・アーキテクチャは最も柔軟ですが、複数の環境を運用する複雑さとそれぞれに対するガバナンス要件が伴います。

ここで、先ほどの車の比喩を思い出してください。デジタル主権のソリューションにはトレードオフがあります。つまり、高度なコントロールと独立性を手に入れるか (車の所有)、あるいは複雑さを回避して初期投資を抑えるか (レンタル)、という選択です。

ソブリンクラウドとは

ソブリンクラウドは、データの保存場所、適用される法令、インフラストラクチャの運用担当という 3 つの階層でコントロールを適用するように構築されたクラウド環境です。 

  • データ主権は、データレジデンシーやデータ・ローカライゼーションと共に、データの保存場所と、現地の法的要件を順守する移動方法を規定します。
  • 法的管轄権は、データに適用される法律とデータへのアクセス権を規定します。 これにより、他国の政府や、基盤システムを管理するクラウドプロバイダーのスタッフなどの第三者によるアクセスを制限します。
  • 運用管理は、インフラストラクチャを誰が運用するかを決定します。これには多くの場合、国内で運用されるインフラストラクチャ、地域のサポートチーム、厳密な ID 管理とアクセス管理のコントロールなどが含まれます。 

主権はあるかないかの二択ではなく、その間にさまざまなレベルが存在します。ソブリンクラウドには、データレジデンシーに重点を置くものもあれば、厳密な運用や法的アクセス権を扱う階層を備えたものもあります。

マルチクラウドやハイブリッドクラウドといった他の一般的なクラウド用語と混同されがちですが、ソブリンクラウドの本質は、単なる柔軟性やコンプライアンスの維持、データの暗号化だけにとどまりません。 

ソブリンクラウドのインフラストラクチャでは、データ、運用、法的管轄権のコントロールを確立しつつ、柔軟でスケーラブルなクラウドコンピューティングのメリットも得られます。ソブリンクラウドは、データ保護やコンプライアンスをサポートしますが、ガバナンス、設定、社内のセキュリティプラクティスについては、引き続き組織が責任を担います。 

お客様のクラウドに合わせてルールを作る:ソブリンクラウドに対する Red Hat の取り組みを読む

サイバーレジリエンスとは

サイバーレジリエンスとは、悪意のある攻撃やシステム障害、サプライチェーンの混乱を予防し、防御し、そこから復旧する組織の能力を指します。これはデジタル主権をサポートする重要な要素です。テクノロジーを自らコントロールしていなければ、それをどう保護するかを完全にコントロールすることはできないからです。 

サイバーレジリエンスを確立するための 3 つの主要なステップについて説明しましょう。

  • 予防: 脆弱性を、悪意のある人物に利用される前に特定することが重要です。プロアクティブなセキュリティ戦略をとる場合は、厳格なアクセス制御を適用し、ゼロトラスト・アーキテクチャを検討し、異常な挙動を継続的に監視します。リスクには、社外からのデータ侵害だけでなく、社内の脅威も含まれます。
  • 防御: サイバー攻撃が発生した際には、それを封じ込めることが最優先の目標となります。テクノロジーへの侵入口となったセキュリティの穴を埋めて、影響を受けたシステムを隔離します。重要なビジネス機能は、影響を受けていない領域で維持します。
  • 復旧:攻撃発生後の実施計画として、信頼できるバックアップからのシステム復旧、既存の脆弱性の解消、改ざん箇所の修復、攻撃者に悪用されたセキュリティギャップへの対策などが挙げられます。顧客からの信頼回復も、復旧に含まれます。 

ソブリン・インフラストラクチャを活用すれば、システムの保護、監視、復旧における権限を強化し、サードパーティに依存する必要をなくせます。

Red Hat と EU サイバーレジリエンス法について読む

ソブリン AI とは

ソブリン AI とは、プラットフォーム、モデル、ワークロード、データといった AI システムにデジタル主権の原則を適用するものです。ソブリン AI を実現すれば、AI システムの開発、デプロイ、運用を自らコントロールし、自社の価値観や法的要件を反映させることが可能になります。

これはいわば、AI のレンタルから所有への転換です。 

ソブリン AI を活用すれば、OpenAI や Google などの巨大テクノロジー企業に料金を支払って AI システムを利用するのではなく、自社の条件に合わせて AI を構築、所有、運用できるようになります。 

ソブリン AI では、必ずしも独自のモデルを所有する必要はありません。オープンソースモデルを社内でホストし、該当地域の法的要件を満たすインフラストラクチャで AI を稼働させたり、ソブリンクラウド内でデプロイしたりすることもできます。 

AI を所有することは最も高価な選択肢ですが、適切に管理できれば、プライバシー、ガバナンス、知的財産を完全にコントロールできるようになります。 

ただし、AI は常に変化し続けているため、それがデジタル主権の新たな課題となっています。この進化によって、ガバナンスの必要性が高まり、インフラストラクチャやデータ制御をどう優先付けるかも変わっていきます。

ソブリン AI の詳細はこちら

Red Hat でできること

Red Hat のオープンソース・ソリューションは、お客様によるコントロールを可能にすることでデジタル主権を支えます。当社のプラットフォームとサービスにより、データやテクノロジーを自ら管理する手段が得られます。 

Red Hat へのお問い合わせ

そのために Red Hat は以下の主要な領域に取り組んでいます。

  • 透明性:Red Hat® AI、Red Hat Enterprise Linux®、Red Hat OpenShift® といった製品により、お使いのソフトウェアの状態を可視化でき、システムの稼働状況を正確に把握できます。
  • ハイブリッドクラウド・アーキテクチャ:単一の一貫したプラットフォームで、オンプレミス、ローカルプロバイダーのクラウド、エッジなど、場所を問わずアプリケーションを実行できます。
  • 相互運用性:Red Hat では、ベンダーロックインはありません。Red Hat の基盤はオープンスタンダードであるため、必要に応じて、さまざまなベンダーの多様なツールを組み合わせて活用できます。
  • オープンソース・イノベーション:オープンソース・プロジェクトはグローバルな開発者コミュニティによって絶えず改良されており、それが Red Hat 製品の改善に役立っています。より多くのアイデアが得られ、単一の企業のロードマップによる限られた視点にとらわれることもありません。
  • 制御性:デプロイを自ら管理することで、より高度な運用主権を確立できます。デプロイとワークロードをニーズに合わせて調整すれば、自社のユースケースに最適な結果が得られます。 

オープンソースソフトウェアを活用すれば、場所を問わず、デジタル主権の取り組みを加速させることができます。Red Hat はデジタル主権のソリューションを世界中のお客様に提供しています。 

Red Hat が EU における主権をどのようにサポートしているかについて見る

戦略の主権をどの程度保持していますか?Red Hat Sovereignity Readiness Assessment ツールの概要

Red Hat Sovereignty Readiness Assessment ツールは、Web ベースのセルフサービス評価ツールであり、7 つの重要ドメインにわたる組織のデジタル管理についての明確で客観的なベースラインを提供します。
ブログを読む

関連情報

What is virtualization?

仮想化とは、コンピュータのリソースをハードウェアから切り離し、抽象化・ソフトウェア化された形で活用する技術。OS 仮想化など、仮想化の種類と仕組みを解説します。

What are predictive analytics

現在と過去のデータを分析し、将来のイベントを予測する手法。機械学習、統計モデリング、データマイニング等による傾向、行動、成果、ビジネス機会の特定を支援します。

Containers vs. VMs: Similarities, differences, and combined approaches

コンテナと仮想マシン(VM)は、コンピューティング・コンポーネントのパッケージ化と分離に対する2つの異なるアプローチですが、どちらも各種アーキテクチャで連携します。

Digital sovereigntyリソース

関連するコンテンツ