何が起きたか
Microsoftは、イスラエル国防省との取引を巡る社内外の調査を受けて、紛争地域での顧客対応に関する新方針を発表しました。具体的には、安全保障機関との契約の事前レビュー強化、特定の非米国市場における身元調査の見直し、政治情勢の変化に応じた定期的なポリシー見直し、そして社内向けの匿名通報窓口「Trusted Technology Review」の新設などです。Microsoft Israelのカントリーゼネラルマネージャーであるアロン・ハイモビッチ氏は4年の任期を経て退任し、ガバナンス部門の複数のマネージャーも会社を去ったと報じられています。当面、Microsoft IsraelはMicrosoft Franceの管轄下に置かれます。
調査が浮かび上がらせたもの
The Guardianの報道によれば、イスラエル軍の諜報機関Unit 8200は2022年以降、ガザとヨルダン川西岸地区から1日数百万件規模の通話記録をAzure上の「カスタマイズされ隔離されたエリア」に保管していたとされます。漏洩したMicrosoft文書には、オランダのAzureデータセンターに11,500テラバイトの軍事データが置かれていた旨が言及されていたと報じられています。Microsoft社長のブラッド・スミス氏は2025年9月、Guardianの報道の一部を裏付ける証拠が見つかったとし、イスラエル国防省内の特定ユニット向けに一部のクラウドストレージとAIサービスを停止したと表明しました。CEOのサティア・ナデラ氏はUnit 8200が何を保管する予定かを知らされていなかったとされます。
Nimbusに入らなかったことの意味
GoogleとAmazonがイスラエル政府との大型契約「Nimbus」に参加する一方、Microsoftはこれに加わっていません。Globesによれば、専用契約がないことが逆にMicrosoftを「脆弱」な立場に追い込み、軍事利用の一部がオランダなど欧州側のサーバー経由で行われたことで、欧州の規制リスクも抱える構造になっていました。イスラエル国防省は2026年末のMicrosoft契約更新を縮小し、Office・Windowsなどデスクトップ用途に絞ってAWS・Googleへ重心を移す方針と報じられています。
💼 事業会社視点:これは自社にどう効くか
日本の事業会社にとって、この件は「クラウド契約の利用範囲が、ベンダーのレピュテーション・規制リスクと一蓮托生になる」現実を突きつけます。とりわけ防衛・公安・インフラ向けに受託開発を行うSIerや、海外子会社経由で機微データを扱う商社・メーカーは、現地法人と本社の情報共有が「Microsoftの本社が知らなかった」と同じ構造になっていないか、棚卸しが必要です。
また、Azure・AWS・Google CloudのいずれかにロックインしているSaaS企業や生成AIスタートアップは、ベンダーが地政学的判断で特定機能を遮断するリスクを契約レベルで想定しておくべきです。Microsoftが特定ユニットに対しストレージとAIを停止した事例は、「利用規約違反の疑い」が即サービス停止につながる前例となりました。経営者は、(1)海外子会社のガバナンス独立性、(2)単一ベンダー依存度、(3)機微業務でのリージョン選定方針、の3点を取締役会レベルで点検し、特に欧州データセンター利用時の「越境利用リスク」を法務と合議で再定義する必要があります。「Trusted Technology Review」のような内部通報経路の存在も、自社で類似のエスカレーション設計があるかを問う契機になります。
