---
title: Copilot in EU Recent Updates &amp; Flex Routing —  What Japanese Organizations Must Know
tags: 
author: [ニシ サダオミ](https://www.docswell.com/user/4997286788)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/4JMYYG8NJW.jpg?width=480
description: Copilot in EU Recent Updates &amp; Flex Routing —  What Japanese Organizations Must Know by ニシ サダオミ
published: May 07, 26
canonical: https://www.docswell.com/s/4997286788/ZPR4Y7-2026-05-07-214155
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/4JMYYG8NJW.jpg)

Copilot in EU
Recent Updates &amp; Flex Routing —
What Japanese Organizations Must Know
Presented By
SADAOMI NISHI


# Page. 2

![Page Image](https://bcdn.docswell.com/page/PJR99Z5479.jpg)

Agenda
なぜ日本で大切か
01
Why This Matters for Us in Japan
02
The EU Landscape: GDPR &amp; AI Act
03
What is Flex Routing? Flex Routingとは？
04
Actions to Take
05
Wrap-up
まとめ
取るべきアクション
EUを取り巻く環境：GDPRとAI法
ピンポイントアドバイス
“matter”は動詞の場合、
「大切である」という
意味になります！
It doesn’t matter what they say.
（彼らが何と言おうとどうでもいい）


# Page. 3

![Page Image](https://bcdn.docswell.com/page/PEXQQ9KZJX.jpg)

Disclaimer
The views expressed here are purely personal and do not constitute legal
advice. The author is not a GDPR or EU AI Act specialist, nor someone
responsible for AI adoption within an EU-based organization. Please consult
your legal team or a qualified expert before taking any action.
本記事の内容はあくまで個人の見解であり、法的アドバイスではありません。筆者はGDPRやAI法
の専門家ではなく、EU拠点を持つ企業でのAI推進を担う立場でもありません。実際の対応につい
ては、専門家や法務部門にご確認ください。


# Page. 4

![Page Image](https://bcdn.docswell.com/page/3EK99P5VED.jpg)

Why This
Matters for Us
in Japan
なぜ日本で大切か
以下のいずれかに該当する日本企業はGDPRの適用対象：
Japanese companies are
subject to GDPR if any of the following apply:
They have offices
or subsidiaries
within the EU
They provide products or
services to customers
residing in the EU
They have employees
or staffs residing in
the EU
EU域内に拠点・子会社がある
EU在住の顧客に商品・サービスを提供している
EU在住の従業員・スタッフがいる


# Page. 5

![Page Image](https://bcdn.docswell.com/page/L73WWX1Q75.jpg)

The EU
Landscape:
GDPR &amp; AI Act
EUを取り巻く環境：GDPRとAI法
GDPRはデータを規制します。AI法は使い方を規制します。
GDPR controls the data.
The AI Act controls the use. Together, they govern Copilot in Europe.
GDPR：General
Data Protection
Regulation
EU AI Act：Regulation of the European
Parliament and of the Council laying down
harmonised rules on Artificial Intelligence
GDPR:一般データ保護規則
AI法：人工知能に関する統一規則に関する欧州議会および理事会の規則


# Page. 6

![Page Image](https://bcdn.docswell.com/page/87DKK2XWJG.jpg)

GDPR
What GDPR Demands:
GDPR (General Data Protection
Regulation) came into effect on May 25,
2018. Its purpose is to strengthen the
protection of EU citizens&#039; personal data
and privacy rights, and to harmonize
personal data protection standards
across the EU.
GDPR（一般データ保護規則）は2018年5月25日に施行さ
れました。EU市民の個人データ保護とプライバシー権の強化
と、EU域内における個人データ保護基準の統一が目的です。
Strict requirements for transferring
personal data outside the EU
EU域外への個人データ移転には厳格な要件が必要
Mandatory breach notification to
authorities within 72 hours
データ漏洩発生時は72時間以内に当局への報告義務
Fines of up to €20M or 4% of global
annual turnover for violations
違反時の制裁金は最大2,000万ユーロ
または全世界年間売上の4%
すべての言葉ではないですが、形容詞の末尾に
“en”をつけると動詞になることもあります。
strong（強い）→strengthen（強化する）
weak（弱い）→weaken（弱める）
ピンポイントアドバイス
sharp（鋭い）→sharpen（尖らせる）


# Page. 7

![Page Image](https://bcdn.docswell.com/page/VJPKK1PXE8.jpg)

GDPR × Japanese Company:
The First Penalty Case
NTT Data Spain (2022)
NTT Data&#039;s Spanish subsidiary (EVERIS) provided a
customer management system to a Spanish insurance
company. When a data breach occurred at the insurance
company, an investigation found that EVERIS had
inadequate security measures in place. The Spanish
Data Protection Agency (AEPD) imposed a fine.
スペインの保険会社に顧客管理システムを提供していたNTT
データのスペイン子会社（EVERIS）で、取引先の情報漏洩に
関してセキュリティ対策の不備が認定され、スペインデータ保
護当局から制裁金が科された。
“fine”には“罰金”という
意味があります。
Singapore is a fine city.
ピンポイントアドバイス
※ダブルミーニングです。


# Page. 8

![Page Image](https://bcdn.docswell.com/page/2EVVVY23EQ.jpg)

AI Act
Three Key Points:
The EU AI Act (Regulation on Artificial Intelligence)
was adopted in August 2024. It is the world&#039;s first
comprehensive law regulating artificial intelligence,
classifying AI systems into four risk levels and
imposing different obligations on each. Full
enforcement begins in August 2026.
Obligations apply not only to AI providers
but also to organizations that use AI
AIを提供する側だけでなく使う側（企業）にも義務が発生
2024年8月に成立しました。AIを規制する世界初の包括的
Required compliance varies by risk
classification — use of AI in hiring, HR
evaluation, healthcare, and legal decisions
may be categorized as &quot;high risk&quot;
リスク分類によって義務が異なり、人事・採用・医療な
な法律で、AIをリスクレベルで4段階に分類し、それぞれに異
どへのAI活用は「高リスク」に該当する可能性
AI法（Regulation on Artificial Intelligence）は
なる義務を課します。完全施行は2026年8月です。
not only A but also Bは、
「AだけでなくBにも」という意味です。
今回の例文は、上記の構文と、
完全施行は2026年8月で、EU現地法人・EU向けサー
ビスを持つ日本企業も対象
apply to ～（～に適用する）が
合体しています。
Full enforcement begins August 2026 —
Japanese companies with EU subsidiaries or
EU-facing services are also subject to the
law
ピンポイントアドバイス


# Page. 9

![Page Image](https://bcdn.docswell.com/page/57GLL9RYEL.jpg)

What is Flex
Routing?
Flex Routingとは？
A feature that automatically reroutes Copilot traffic to data centers outside
the EU (US, Canada, or Australia) when EU data centers are at capacity.
EUのデータセンターが混雑した際に、Copilotのトラフィックを
EU域外（米国・カナダ・豪州）に自動迂回させる機能


# Page. 10

![Page Image](https://bcdn.docswell.com/page/4EQYYWV6JP.jpg)

Microsoft Says &quot;Compliant.&quot;
Regulators Say &quot;Not So Fast.&quot;
日本語スライドが続きます
Microsoft&#039;s Position
• Flex Routing is an exceptional load-balancing measure covered within
the Data Processing Addendum (DPA) — not a GDPR violation
• Data rerouted to the US, Canada, and Australia is protected under
Standard Contractual Clauses (SCCs) and other appropriate
safeguards
• Microsoft&#039;s EU Data Boundary commitment remains in place
What Third Parties and Regulators Say
• German DSK (Federal and State Data Protection Conference):
Microsoft&#039;s DPA does not adequately meet GDPR requirements
• TechRadar: Flex Routing&#039;s default activation poses a GDPR compliance
risk for EU organizations from a data sovereignty perspective
• GDPR experts: The authority to interpret GDPR compliance lies with
national data protection authorities — not Microsoft


# Page. 11

![Page Image](https://bcdn.docswell.com/page/KJ4WWKMM71.jpg)

Microsoft Says &quot;Compliant.&quot;
Regulators Say &quot;Not So Fast.&quot;
Microsoftの見解
• Flex Routingはデータ処理補足契約（DPA）の範囲内における例外的な負荷分散
措置であり、GDPR違反にはあたらない
• 米国・カナダ・豪州に迂回されるデータは標準契約条項（SCC）およびその他の適切
な保護措置のもとで保護されている
• MicrosoftのEU Data Boundaryへのコミットメントは引き続き有効
第三者機関・規制当局の見解
• ドイツDSK（連邦・州データ保護会議）：MicrosoftのDPAはGDPRの要件を十分
に満たしていない
• TechRadar：Flex Routingのデフォルト有効化は、データ主権の観点からEU企
業にGDPRコンプライアンスリスクをもたらす
• GDPR専門家：GDPRへの準拠を判断する権限はMicrosoftではなく各国のデー
タ保護当局にある


# Page. 12

![Page Image](https://bcdn.docswell.com/page/LE1YYX8Y7G.jpg)

Actions to
Take
取るべきアクション
[Immediate]:
Verify and disable
Flex Routing in
the Microsoft 365
Admin Center
今すぐ：Flex Routingの設
定確認・無効化
[Short-term]:
Assess your
organization&#039;s GDPR
exposure and scope
[Strategic]:
Build a roadmap for EU
AI Act compliance
ahead of the August
2026 deadline
短期：自社のGDPR適用範囲の確認
中長期：AI法対応のロードマップ策定


# Page. 13

![Page Image](https://bcdn.docswell.com/page/GEWGGNZ1J2.jpg)

Wrap-up
まとめ
EU compliance is no longer someone else&#039;s problem.
It&#039;s in your settings. It&#039;s in your data. It&#039;s on your agenda.
EUの厳格なコンプライアンスは、もはや他人事ではありません。
思わぬ罰金を食らわないためにも、しっかり対応を進めましょう。


# Page. 14

![Page Image](https://bcdn.docswell.com/page/47ZLL31XJ3.jpg)

FAQ
Q1. なぜEUはここまで厳しい法を設けているのか？
EUには世界的なテック企業が存在しません。GoogleもAmazonもMicrosoftも米国企業です。
技術で競えない分、ルールで市場の主導権を握るというのがEUの戦略だと思われます。
Q2. NTTデータはその後どうなったか？
制裁金の支払い後、EVERISはNTT Data Spainとして事業を継続しています。
Q3. なぜMicrosoftはFlex Routingを行ったのか？批判をくらうのは分かるはず。
EUデータセンターの容量不足への対応です。Copilotの急速な普及により需要がインフラ整備を
上回った結果、やむを得ない措置として導入したとされています。


# Page. 15

![Page Image](https://bcdn.docswell.com/page/YJ6WWXLPJV.jpg)

FAQ
Q4. Flex Routing、様々な意見がある中で無効化が妥当なのはなぜか？
GDPRの解釈権はMicrosoftではなく各国のデータ保護当局にあります。Microsoftが「合法」と
主張しても、ドイツDSKをはじめとする規制当局が「違反」と判断した場合、制裁を受けるのは
Microsoftではなくデータ管理者である企業自身です。リスクの所在が自社にある以上、無効化し
ておくことが最もリスクを低減できる現実的な選択と言えるでしょう。
Q5. GDPRやAI法は日本も取り入れているのか？あるいは一定の距離を置いているのか？
完全に取り入れているわけではありませんが、影響は受けています。日本の個人情報保護法は
GDPRを参考に改正が重ねられており、2019年にはEUから十分性認定を受けています。


# Page. 16

![Page Image](https://bcdn.docswell.com/page/GJ5MMX1PJ4.jpg)

FAQ
Q6. EUと言っているがUKなどEU圏外はどうなのか？
UKは2020年のBrexit後にEUを離脱しましたが、UK GDPRというGDPRとほぼ同等の法律を
独自に施行しています。
また、MicrosoftのEU Data Boundary（データの処理・保存における地理的な境界線）は、EU
加盟国とEFTA（欧州自由貿易連合）加盟国で構成されており、EFTA加盟国はリヒテンシュタイン・
アイスランド・ノルウェー・スイスが含まれます。
Microsoftのメッセージセンターなどにも頻出する通り、「EU＋UK＋EFTA」をセットで対応する
のが良さそうです。


# Page. 17

![Page Image](https://bcdn.docswell.com/page/LE3WWX16E5.jpg)

References
GDPR &amp; EU Regulation
• GDPR Article 3 — Territorial Scope (Official Text)
https://www.ppc.go.jp/enforcement/infoprovision/EU/(Japanese Personal
Information Protection Commission — official Japanese translation)
• GDPR Compliance Guide for Microsoft Copilot
https://gdprlocal.com/microsoft-copilot-compliance/
• NTT Data Spain (EVERIS) — First GDPR Fine on a Japanese Company (2022)
https://privtech.co.jp/blog/law/gdpr-penalties-japan.html
• Flex Routing &amp; GDPR Risk https://www.techradar.com/pro/this-new-microsoft365-copilot-feature-could-throw-your-gdpr-compliance-into-question-hereshow-to-check-and-how-turn-it-off


# Page. 18

![Page Image](https://bcdn.docswell.com/page/8EDKK2XM7G.jpg)

References
EU AI Act
• EU AI Act — Official Text (EUR-Lex) https://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=CELEX:32024R1689
• EU AI Act — Risk Classification Overview (European Commission)
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai


# Page. 19

![Page Image](https://bcdn.docswell.com/page/V7PKK1PQJ8.jpg)

References
Microsoft Official — EU Data Boundary &amp; Flex Routing
• What is the EU Data Boundary? (Microsoft Learn) https://learn.microsoft.com/enus/privacy/eudb/eu-data-boundary-learn
• EU Data Boundary — Continuing Data Transfers (Microsoft Learn)
https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-transfers-forall-services
• Microsoft Completes EU Data Boundary (Microsoft Blog, February 2025)
https://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completeslandmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency/
• EU Data Boundary FAQ (Microsoft PDF) https://cdn-dynmedia1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-productand-services/security/pdf/eu-data-boundary-for-the-microsoft-cloud-frequentlyasked-questions-updated-february-2025.pdf


# Page. 20

![Page Image](https://bcdn.docswell.com/page/2JVVVY2PJQ.jpg)

Copilot in EU
Recent Updates &amp; Flex Routing —
What Japanese Organizations Must Know
Presented By
SADAOMI NISHI