なぜこのような情報がCUI指定されるのか? それは、米国政府が民間企業の知的財産を中心としたデータの保護を、安全保障に不可欠な米国経済の強さを維持するうえで重要視しているからだ。企業秘密であっても、米国企業がサイバー攻撃によって競争力を失わないように、徹底した管理を促しているのである。
これは日本にも多大な影響を与える。米国政府はCUIを取り扱う場合はサプライチェーン全体において当該の情報システムでの管理を求めているからだ。もちろん、それには中小企業も含まれる。米国企業のサプライヤーとなっている多くの日本企業は米国企業のCUIを無意識に保有している。そうした企業も、どの部門がCUIを取り扱っているのかを特定し、米国政府の基準に適応したシステムへの移行を迅速に行わなければ米国企業と取引ができなくなる。
当該システムの構築には、クラウドへの移行が必須だ。要件を満たそうとすると、クラウドの利用なしでは膨大なコストがかかるからだ。ちなみに、日本のITベンダーでこの基準を満たすクラウドを有しているのはまだ1社しか存在しない。その理由はITベンダーにとって、クラウド化はビジネスモデルを破壊する「イノベーションのジレンマ」そのものだからだ。彼らはハードをクライアントに販売し、SEを現場に張り付けて異なるスペックの大量のハードウェアとソフトウェアをつなぎ合わせ、クライアント独自仕様のシステムを構築して儲けている。
米国にはCUIに関する規則とは別に機密情報を取り扱うために必要な技術体系も存在し、米国はこれをISOにしようとしている。この基準では、クラウドの仕様を決め、データを処理するCPUや格納するメモリー、ディスクの物理的な場所をリアルタイムで特定し続けられることを求めている。推奨商品例としてNISTはインテルのTXTチップが搭載されたクラウドをあげている。こうした推奨製品には米国企業のものが多い。
米国がクラウドシフトをする背景には、サイバーセキュリティ人材を企業ごとに集めることが困難な事情がある。そのためサイバー攻撃に対処する人材をクラウドサービスの提供会社に集約し、セキュリティレベルの高いサービスを普及させることで民間企業への攻撃にも対応できる体制をつくろうとしている。
これらを認識して対抗したのが中国だ。中国は法律で中国国内で事業展開する企業が利用する情報機器や情報サービスは中国の国家安全審査を受けることを義務付けた。つまり、中国政府の定めた規格でなければ審査が合格しない仕組みを法的に確立したのである。中国は今後、AIIBの投資対象国に対し、資金力を梃子にして中国の審査基準を認めさせ、中国IT製品の普及を目指すと見るべきである。