Microsoft の欧州向け「データ主権」の約束には但し書きがあります。2026年4月17日から、同社は処理のために Copilot のデータを海外のサーバーへ送信し始めます。

Microsoft 365 Copilot にフレックス ルーティングが導入されたことで、大規模言語モデル(LLM)の推論処理、つまりお客様のデータが実際に処理される段階が、欧州のデータセンターの処理能力が不足した際には、米国、カナダ、またはオーストラリアで行われる可能性があります。

これらの変更はデフォルトで適用されています。2026年3月25日以降に作成された新規顧客アカウントでは、フレックス ルーティングはすでに有効になっています。それ以外のお客様についても、オプトアウトしない限り自動的に有効になります。(その方法は以下でご説明します。)

お客様の企業が欧州連合(EU)または欧州自由貿易連合(EFTA)に拠点を置いている場合、これは小さな技術的更新ではありません。フレックス ルーティングによって、AI ワークフローが EU 域内にとどまるのか、それともお客様が気づかないうちに域外へ出るのかが変わります。そしてこれは、Big Tech 版のデジタル主権が欧州にとって実際に何を意味するのかを浮き彫りにしています。つまり、主導権は依然として彼らにあるということです。

フレックス ルーティングとは何ですか?

推論処理とは、AI モデルがお客様のプロンプトを処理して応答を生成する瞬間を指します。たとえば、ドキュメントの要約、質問への回答、コンテンツの下書き作成などです。この時点では、お客様のデータはすでに集約されています。たとえデータが欧州に保管されていても、今後は EU 域外の法域の下で、自動的に別の場所で処理される可能性があります。

EU でホストされていることは、EU で処理されることを意味しません

Microsoft は、データが転送中も保存時も暗号化(新しいウィンドウ)されたままであることを明確にしています。これは一部のお客様には安心材料になるかもしれません。しかし、一般データ保護規則(新しいウィンドウ)(GDPR)、ネットワークおよび情報システム指令(NIS2)、またはデジタル運用レジリエンス法(DORA)のような枠組みの下で事業を行っている場合、ストレージ内と送信中のデータを保護するだけでは不十分です。

データがさらされる可能性があるのは、処理(つまり推論)が行われる場所です。そしてフレックス ルーティングでは、その場所が変わる可能性があります。

AI モデルが推論を実行するには、計算のためにデータにアクセスできる状態にする必要があります。お客様のプロンプト、メール、ファイル、メタデータは収集され、モデルに送信されます。フレックス ルーティングでは、その一式が EU 域外で処理される可能性があります。

データがどこで処理されるかは重要です。送受信の過程で暗号化されていても、それは変わりません。

コンプライアンスの負担はお客様にあります

Microsoft がフレックス ルーティングをデフォルト機能にしたという判断は、危険信号です。調査によれば、ほとんどの人はデフォルト設定を確認したり更新したりしません。もし同社が欧州の顧客にとってのデータ主権を本当に重視していたなら、フレックス ルーティングを自動で実装することはなかったはずです。

またこれは、ベンダーが重要なポリシーを突然変更することがあり得ると、お客様のコンプライアンス部門に警告するものでもあります。これからは、ベンダーの更新を監視し、その影響を解釈し、コンプライアンスを維持するために設定を調整する責任をお客様が負うことになります。米国に拠点を置くベンダーを、データ主権を重視してくれるという認識のもとで選択していた場合、これは不公平に思えるかもしれません。

EU 企業が今できること

  1. フレックス ルーティングを無効化してください。 お客様のポリシーで EU のみでの処理が求められる場合は、デフォルトに頼らないでください。
    • Microsoft 365 管理センターに、 AI Administrator の役割(新しいウィンドウ)が割り当てられている管理者としてサインインします。
    •  Copilot -> 設定 -> ピーク負荷時の柔軟な推論に移動します。
    •  フレックス ルーティングを許可しないを選択します
  2. 越境に伴う影響を理解してください。 現在のセットアップは、お客様の事業要件を満たしていない可能性があります。以下をご検討ください。
    • GDPR および業界固有の規則に基づくデータ移転義務
    • 社内のデータ所在地ポリシーおよび契約上の確約
    • 非 EU 法域における法的アクセスと監督
  3. AI 特有のデータフローを綿密に監査してください。 ほとんどの企業は、データがどこに保管されているかは把握しています。しかし、それがどこで処理されるかまで把握している企業はそれほど多くありません。次の点を問い直してください。
    • データがどこで処理されるか
    • サードパーティによるデータ開示を強制し得る法律があるかどうか
    • 処理中のデータに誰がアクセスできるのか、またそれが変わり得るのか
  4. お客様のデータをどのように処理するかについて透明性のあるベンダーを選んでください。 Proton のAI アシスタント(新しいウィンドウ)は、欧州のサーバーでのみデータを処理し、そのセキュリティ モデルの詳細な説明を公開しています。

フレックス ルーティングは、データガバナンスに関するより深い問題を浮き彫りにします

お客様のベンダーが米国に拠点を置いている場合、お客様は異なる規制環境を前提に構築されたシステムに依存していることになります。しかも、その環境をお客様自身でコントロールすることはできませんが、それでも説明責任は負わなければなりません。

ソフトウェアの更新、サポート、法的ポリシー、価格決定は、シリコンバレーやシアトルで行われます。お客様のベンダーが従うルールはワシントンで定められます。しかし、お客様の企業には欧州の基準が求められます。

だからこそ、より多くの企業がBig Tech に代わる欧州の選択肢(新しいウィンドウ)に目を向け始めています。お客様のインフラ、ポリシー、法的枠組みが事業を行う地域と一致していれば、データ主権は条件付きのものではなく、実効性のあるものになります。