システム開発や保守運用を海外の企業に任せる日本企業は少なくないし、外国企業のクラウドサービスを使っていない会社は皆無だろう。だが、こうした海外からのデータへのアクセスがガバメントアクセスに転じうるリスクがある。そうした事情もあり、経済安全保障推進法案(仮)では「基幹インフラの安全性・信頼性の確保」でも、運用委託先会社やクラウドサービスの事前審査が盛り込まれる見込みだ。
データ保管先選定には詳細な調査を
企業はガバメントアクセスをはじめとする安全保障リスクを考慮して、データの保管先や開発・運用委託先を選定すべきだ。
データ保存や委託先企業の所在国・地域という観点では、候補となる国が民主主義国家か否かという点は極めて重要だ。立法府に諜報機関の活動を監視・監督する権限はあるか、司法府は行政の活動をチェックできるか、メディアは自由に政府を批判できるかなどだ。
もちろん、どの国もガバメントアクセスを実施している。エドワード・スノーデン事件で明らかになったように、米国でも違法または不当な諜報活動は存在しうるが、少なくとも米国ではこれを公に論じることが許容され、一定程度、検証もなされた。
また、ある国が実際に違法な個人データ収集活動に従事しているかどうかも重要だ。中国政府は否定しているが、サイバー攻撃による個人データの収集量で中国を凌駕する国はない。
だが、データの保存「国」や委託先企業の所在「国」のみに依存した判断も危うい。委託先企業の資本関係や株主、経営者、創業の経緯、重要なビジネスパートナーに関する実態を詳細に調査するデューデリジェンスは必須だ。一部の重要インフラ事業者などでは、既にクラウドサービスを利用する際にそうしたデューデリジェンスがルール化されている。
企業に求められる適切なデータ管理と利活用
データの保管場所や委託先、クラウドサービスの選定にあたり、コストや利便性の観点に加えて、安全保障リスクを考慮することは必須であり、企業の責任だ。
こうした文脈も含めて、最近では民間企業で「データガバナンス」への注目が高まっている。
データガバナンスの定義について明確な合意はないが、米欧政府の公開文書や研究者らによれば、データガバナンスとはデータ管理そのものではない。データ管理やデータ利活用に関する意思決定・手順が適切であることを担保するための仕組みだ。
コーポレートガバナンスの要諦と同様に、データに関するビジネスの「業務執行」と「監督」を分離させて後者が前者を監督する仕組み、株主や顧客などのステークホルダーに対する説明責任・透明性の向上といった施策が含まれる。
デジタルトランスフォーメーション(DX)やデータ利活用への期待が高まる中、企業はリスクテイクを含む意思決定を行う。そうした意思決定の妥当性を内外に説明するのがデータガバナンスといえる。
いまやすべての人間と国家が、サイバー攻撃の対象となっている。国境のないネット空間で、日々ハッカーたちが蠢き、さまざまな手で忍び寄る。その背後には誰がいるのか。彼らの狙いは何か。その影響はどこまで拡がるのか─。われわれが日々使うデバイスから、企業の情報・技術管理、そして国家の安全保障へ。すべてが繋がる便利な時代に、国を揺るがす脅威もまた、すべてに繋がっている。
特集はWedge Online Premiumにてご購入することができます。
▲「Wedge ONLINE」の新着記事などをお届けしています。
