欧州委員会は4月17日、域内諸機関のデジタル主権強化を目的とした、今後6年間で最大1億8,000万EUR規模となる主権クラウドサービスの調達に係る落札結果を発表した。欧州のデジタル主権の推進におけるマイルストーンとされる今回の調達は、単一ベンダーへの依存を避けるため、以下の欧州系企業4社が選定された。
- Post Telecom(同社が主導するルクセンブルク・フランス連合、パートナーにOVHCloudおよびCleverCloud)
- STACKIT(ドイツ企業、Schwarzグループ)
- Scaleway(フランス企業、Iliaグループ)
- Proximus(同社が主導するベルギー・フランス・ルクセンブルク連合、S3NS(ThalesとGoogle Cloudの合弁会社)、Clarence、Mistralのサービスを利用)。
選定プロセスにおける評価基準には、これまであいまいだったデジタル主権という概念を、戦略的・法的・セキュリティを含む8項目として数値化し、客観的かつ測定可能な基準に落とし込んだ「クラウド主権枠組み」が用いられた。具体的には、主権レベルを以下の5段階で評価する「SEAL(Sovereignty Effectiveness Assurance Levels)」が導入されている。
- SEAL-0:プロバイダが主権を全く有しない。
- SEAL-1:EU法は形式的には適用されるものの、実務上の執行力は限定的で、サービスや技術、事業運営は、EU域外の第三者が独占的に管理している。
- SEAL-2:顧客がデータ保護のために追加の技術的措置を講じる必要なく、EUの法律および規制を遵守する。
- SEAL-3:主に欧州の技術を使用しEU域外の影響から保護されている。
- SEAL-4:チップからソフトウェアに至るまで完全なEUサプライチェーンを要求する。
今回の調達における入札企業は、SEAL-2以上の水準に達する必要があったが、Proximus/S3NS以外の3社はSEAL-3水準に達していたとしている。Proximusが利用するS3NSは、米国のクラウド大手Googleとの合弁会社であり、米国企業の技術的影響下にあることが評価を下げた要因と考えられる。欧州委員会は、今回の事例について、公共部門全体における安全で信頼性の高い主権的なクラウド導入の指針になるとの考えを示している。