NECNECソリューションイノベータ

スマートワークの推進を支援

電話でのお問い合わせ

03-5534-2626(共通商材Gまで)

営業時間:8:30〜17:00

スマートワーク推進&ワークスタイル変革・コラムDX時代の情報管理と
セキュリティ

DXを果たせなかった企業は活動できる領域が限られ、競争力も失われるという。生き残りをかけて急激に対応が進み始めているが、After DX(DX後の社会)とはどういうものか、何のためにDXを進めるべきなのか。また、膨大なデータ流通が予想されるDX時代の情報管理とセキュリティに必要なものとは。

1.After DX

DX(デジタルト・ランスフォーメーション)の必要性が喧伝され、企業だけでなく行政・医療・教育・交通・都市計画等、あらゆる分野で取り組みが活発化しています。その一方で、何のためにDXを進めるべきなのかという目的を忘れて、手段であるはずのDXが目的化している例も散見されるようになってきました。DXを進めるということは、社会がDXの後にどう変化していくかを前提にしなければ、無意味で無駄なものとなってしまいます。そこで、まずはAfter DX(DX後の社会)とはどういうものか、その光と影も含めて概観してみましょう。

あらゆるものがIoTで繋がり、あらゆるものがデジタル化されてネット上をデータとして流れる世界。こう表現すると、まるで「攻殻機動隊」や「ブレードランナー」のような世界観を持たれるかもしれませんが、現実の人の社会行動までがデジタル化するわけではありません。人は変化と経験を求めるため、リアルの行動が無くなっていくことはほとんどないでしょう。

では、DXで何が変わるのか?DXは単にサイバー空間が発達するというものではなく、フィジカル空間とサイバー空間が繋がることで、フィジカル空間の事象をサイバー空間において再現、あるいは拡張していくことができます。さらにこれをフィードバックすることで、フィジカル空間をより良いものに変えることができます。例えば、トラックやバスには位置情報の他にも、車自体やドライバーの状態を検知するセンサー類が搭載され、運航ルート上どこを走行しているのか場所を特定することはもちろん、車のメンテナンス状況やドライバーの健康状態をモニタリングすることも可能となるため、ルートの最適化や安全管理の質が向上していきます。今後、これが自家用車にまで広がれば、リアルタイムの交通状況の可視化とドライバーへの注意喚起等が可能となるため、渋滞や事故の劇的な減少が実現されます。

このようにフィジカル空間のリアルな事象をサイバー空間に再現することをデジタル・ツインと呼びます。様々な業界において、フィジカル空間で集めた情報を基にサイバー空間上でシミュレーションや予測をし、参考にすることで、フィジカル空間の最適化を実現しようとしています。IoTや人工知能といった先端的テクノロジーの活用によって都市の諸問題を解決するようなスマートシティやMaaS(Mobility as a Service:移動をひとつのサービスとして最適化すること)は、まさにデジタル・ツインの定義に当てはまります。
人の生活や行動に最適な環境を構築するためにサイバー空間を利用すること、そのためにフィジカル空間のリアルをデジタル化すること、これがDXの主要な目的の一つです。企業に置き換えると、最適なビジネス環境を構築することであり、職場環境、働き方、事業推進、さらには企業価値まで含めて、内向き外向きに関わらず、従業員だけではないステークホルダー、さらには法人としての活動の最適化を図るためにDXが行われるということです。

その一方で、フィジカル空間の事象をサイバー空間で再現することは、リアル社会で起きる様々な問題も再現してしまいます。情報漏えいの事件や事故はその代表例といってもいいでしょう。また、「サイバー空間で再現されたモノが真正で完全なものであるか?」といった問題提起に対しても答えを用意しなければなりません。仮に間違ったデータを基にシミュレーションしたり、間違った結果をフィジカル空間へ還元し続けたとしたらどうなるでしょうか。

さらに、サイバー空間での再現性が革新的に進み、高度化されていくことで、考えなければならない課題も出てきます。フィジカル空間の人格や物が、サイバー空間で高度にモデリングされ再現されることをデータ・ダブルといいます。人格におけるデータ・ダブルは、ネットの行動記録から推知してプロファイリングすることが想定されていますが、その際に、プライバシーの問題をどのように取り扱うのか注目されています。法人格としての企業情報を高度に分析しようとする際にも、この問題は同様に発生するものです。ただし、このデータ・ダブルを積極的に利用する、つまりサイバー空間上で意図的に個人や企業が複数の存在として活動する、といった活用方法を考えることもできます。「自分の分身が欲しい」と思った経験を持つ人は少なくないと思いますが、例えばフィジカルな自分が寝ている間に、自分と同じ【はず】の意志を持ったもう1つの人格が、サイバー空間上のSNSでコメントしたり「いいね」をしているところを想像してみると少しイメージが湧くでしょうか。データ・ダブルの利用は一歩間違えると、近年問題となっているフェイクニュース(Disinformation)になってしまいますが。

2.DXを推進するプラットフォーム連携

DXを推進する場合、様々なツールやソリューションを利用することになります。その際、オンプレミスで自社独自のシステムを一から構築するということは、実装までのスピード感やコスト面を考慮すると、もはや選択肢として考えられないのではないでしょうか。そうなると、自社に最適なツールやソリューションを選ぶということになるわけですが、これらはクラウド上にあり、SaaS(ソフトウェア・アズ・ア・サービス)として提供されるのが一般的になってきており、目的に応じて様々な機能を選択していくことになります。

そして、それぞれのデータをプラットフォーム間で連携させることで、さらに高度化・最適化された職場環境の構築や業務支援が可能となります。また経営や管理層においても同様に、現場の様々な稼働状況や業務上収集されたデータから、人事計画、事業計画、経営判断のための高度化・最適化された分析支援が可能となります。これはスマートシティの企業版といえるものです。

企業活動を最適化する一方で、コピーや持ち運びが簡単なデジタル・データが激増するため、情報管理やセキュリティ対策も重要になります。従来の書類上のデータだけではなく、センサーの情報も企業独自の情報になります。特に分析されたデータ(例えば、工場内の工程管理や機器の稼働状態などが分析されたデータ)は、高度な企業活動に伴う重要な秘密情報になり得ます。製造、研究、営業における熟練の勘やノウハウが企業内で広く共有できるようになる半面、あらゆるデータを最適化された情報として活用できるように整備しようとすると、これまでは守秘義務の徹底や給与・待遇等による対応など、属人に対する人事的対処で行われてきたことを、新たにデータとして管理しなければなりません。

このように、DXは管理すべき情報が増えるだけではなく、管理や活用方法も変わるという点に注意が必要です。また、プラットフォーム間のデータ流通では、それぞれのプラットフォーム上の機能を利用している部署や人員が異なるため、アクセス権などの情報管理上の注意も必要です。

DXの最終段階ではあらゆるフィジカル空間がサイバー空間に再現されるということから考えると、本社、支社、製造・輸送・販売現場、あるいは仕入先や納入先や協力企業といった外部企業とのプラットフォーム連携へと進んで行くことになります。これにより、全てのビジネスの流れが可視化され、俯瞰した施策が即座に実行できるようになります。帳票やワークフローなどもサイバー空間に移すことになりますので、コストと手間は劇的に減少します。これらを踏まえると部門や自社だけではなく、サプライチェーン全体で情報管理やセキュリティを考える必要があるということです。

3.DXは信頼(トラスト)の上に成り立つ

After DXの社会はフィジカル空間とサイバー空間が繋がり連続した社会になるわけですが、これは大量のデータが流通することを意味します。データが流通しなければ単なるコピーが作られるだけです。あらゆる側面において、データを活用し、シミュレーションや分析をすることで、代替(これまでにできていたことが安価に楽にできる)、補完(これまでに足りなかったことができる)、新規(これまでになかったことができる)が可能になります。つまり、データが流通しなければ価値は生まれない、したがってデータを流通させることがDXにおいては必須になります。

データを流通させる際の注意点として、そのデータは真正なものか、利用しているシステムに脆弱性はないか、安全なネットワークであるか、そしてこれらの管理は適正になされているか、が重要になります。間違ったデータでは間違った結果がもたらされることになるのは当然ですが、適正な取り扱いによるものか、例えば個人情報は取得が適正でなければその後の処理も違法になりかねません。当然その後の処理においても適正な取り扱いが求められます。システムやネットワークが堅牢であることは論を待ちませんが、これらの管理も重要です。アクセス権限や責任者の設置など、組織的なマネジメントも含まれます。1か所でもほころびがあると、サプライチェーン全体の安全・安心の信頼が損なわれてしまいます。

ツールやソリューションの提供者にも信頼が求められるのと同時に、導入する側にも正しく利活用するための信頼が求められます。信頼できないツールやソリューション、メンバーを同じ空間やサプライチェーンに加えることはできません。信頼できるか否かを判断するためには、例えば国際標準や法令に準拠した認証、トラストサービスの利用の有無など、第三者が介在する客観的な制度を設けているかをチェックすることが最も有効な方法です。その一方で、ツールやソリューションを利用する側が認証やトラストサービスに対応するのは負担が大きすぎる場合もあります。
政府や業界団体がDXに向けて企業や組織に求めていることは、ガバナンスの強化です。セキュリティについては経済産業省からガイドラインも発表され、コーポレート・ガバナンスに含まれるという認識が広まっていますが、プライバシー保護についても同様の議論がされています。ガバナンスとは信頼を得るための責任の仕組みを構築することですが、DX後の社会では、全ての参加者に一定以上のガバナンスが求められることになるでしょう。
ガバナンス強化による信頼確保とは、信頼を得るために行っていることを説明し、それを証明し、間違った場合には責任を取ることであり、これをアカウンタビリティと言います。一般にアカウンタビリティを説明責任と翻訳している場合が多いですが、証明と責任を取るところまでがセットです。

4.信頼を得るために必要なこと

After DXの社会は、シームレスにフィジカル空間とサイバー空間が繋がった社会ですから、DXを果たせなかった企業は活動できる領域が限られ、また競争力も失われます。そのため、生き残りをかけて急激に対応が進み始めています。しかし、大量のデータが多数のプレイヤーの間で流通する社会でもあるため、企業はますます信頼を求められることになります。DXが急務と言っても、信頼を得られないDXでは、After DXの社会の一員にはなれません。手段を目的化させないために、DXを進める際にはAfter DXにおける自社の位置づけや役割を明確にすると同時に、信頼構築を計画し実行することが重要であることを忘れないようにしなければなりません。

データが流通する社会における信頼の構築とは、端的に言えば、法やルールにもとづくセキュリティとプライバシーの保護を含む適正なデータ利用を確実に行うということです。そのためには組織的なガバナンス強化が必要であり、具体的には内部監査に情報セキュリティ、プライバシー保護に関する項目を設けることや、CIO(チーフ・インフォメーション・オフィサー)、DPO(データ・プロテクション・オフィサー)、CPO(チーフ・プライバシー・オフィサー)のような独立した責任者を置くことが求められています。また、セキュリティ・バイ・デザイン、プライバシー・バイ・デザインも重要です。

情報セキュリティやプライバシー保護について商品やサービスの企画、設計段階から確保するという考え方です。後付けでは、問題に気付いた時点で対応が間に合わなかったり、そもそも対応ができずに商品回収やサービス停止に追い込まれたり、再開発が必要になるなど結果的にコストの増大や時間の浪費を招いたり、場合によっては事業継続が困難になりかねません。

これまで、このような考え方や対応は、主にIT関連企業に対して求められてきましたが、ITを活用して大量のデジタル・データを取扱うすべての企業において、DXを推進するうえでは避けて通れないものです。リアルのビジネスで信頼を得るのと同じように、DXにおいても単に利便性や快適性のみを追い求めた商品やサービス提供ではなく、顧客やステークホルダーに信頼されることが重要です。DXの成功は信頼の上に成り立つということを認識しましょう。

執筆者プロフィール

寺田 眞治氏

寺田 眞治氏

1959年大阪府生まれ。甲南大学法学部を卒業後、音響・映像のエンジニアから神戸新聞、オムロンのハウスエージェンシー(広告)を経てモバイルコンテンツの(株)サイバードを共同起業しIPO。三菱商事(株)にてベンチャー支援、(株)インデックス執行役員、(株)オプト海外事業戦略本部長。主に経営戦略、M&A、国内外の子会社等の経営に従事。
並行してモバイル、コンテンツ、青少年保護関連等の団体役員を歴任。
総務省、経済産業省、消費者庁や関連機関の通信事業、海外進出、消費者保護、個人情報保護、データ流通、セキュリティ関連の有識者会議の委員等を歴任。
2015年、個人情報保護法改正の際には国会参考人として招致される。

【現在の職務等】
一般財団法人 日本情報経済社会推進協会 主席研究員
(所属:電子情報利活用研究部、認定個人情報保護団体室、セキュリティマネジメント室)
一般社団法人 モバイル・コンテンツ・フォーラム 常務理事
(コンテンツプロバイダー委員会副委員長、プライバシー対応WGリーダー)
一般社団法人 融合研究所 上席研究員
  • データ流通における個人情報を含むプライバシー保護に関する政策、法制度の研究
  • IoT、ITセキュリティに関する政策・法制度の研究
  • インターネット上のマーケティング、メディア、コンテンツビジネスに関する研究
  • ブロックチェーン、AI等の技術動向と標準化・ビジネス化に関する研究