日本セキュリティ・マネジメント学会　会長　大木榮二郎

ホーム
週刊BCN
KeyPerson
日本セキュリティ・マネジメント学会　会長　大木榮二郎

KeyPerson

データ活用は社会の合意形成の促進がカギ

日本セキュリティ・マネジメント学会会長

大木榮二郎

取材・文／安藤章司撮影／馬場磨貴

2019/02/26 09:00

#東京都 #関東地方

週刊BCN 2019年02月18日vol.1764掲載

　日本セキュリティ・マネジメント学会（JSSM）は、情報セキュリティー技術を起点に、企業活動にとって欠かすことのできないデータ保護やデータ活用の枠組みの研究に力を入れる。JSSMには、学術界だけでなく、IT業界からも多くの研究者が参加。企業経営にまで踏み込んだ研究を行っているのが特徴だ。IT業界からの積極的な参加を呼び掛けるJSSMの大木榮二郎会長に話を聞いた。

企業経営と密接した研究を重視

――JSSMは、どのような活動をしているのですか。

　学会というと、純粋に学問の探究をしているというイメージがありますが、JSSMでは情報セキュリティーと企業経営を結びつけて研究している特徴があります。主要メンバーは学術界からの参加だけでなく、日立製作所やNTT、NEC、伊藤忠テクノソリューションズ、富士通などIT業界からも参加しています。

――最先端の情報セキュリティーを研究しつつ、それを企業経営にどう落とし込んでいくかを重視しておられるということですか。

　そうです。例えば、企業が情報セキュリティーにかけられるコストには限りがあって、どこまでコストを費やせば最も経済合理性がよいのか。企業経営にとって、線引きはどこにあるのかは、古くて新しい課題ですよね。また、近年はデータが富を生み出すようになりました。一つ一つのデータにはそれほど価値がなくても、GAFAのように集積していくことで莫大な富を手にできる時代です。

　では、そのデータは誰のものなのでしょうか。具体例を挙げると誰かが近所のスーパーに行ってパンを買いました。これに特定人物を指す「Aさんが――」という情報が加わると、Aさんがデータの“所有権”を主張してくる可能性があります。常時ネットにつながるコネクティッドカーはどうでしょう。自動車の所有者は明らかでも、コネクティッドカーから集まるデータは誰のものかの線引きは、実はとても難しい課題なのです。

――何年か前に鉄道会社の交通系ICカードの購買情報を販売する話が持ち上がったとき、予想外に議論を呼んで、半ば“炎上”したことがありましたね。

　電子マネーやポイントカード、スマートフォンのアプリなど、企業はさまざまな手段でデータを集めて、ビジネスに生かそうとしています。でも、実際は、よほどのメリットがない限り、ユーザーが自らの個人情報を快く提供することはありません。

　ただ、データは流通させてこそ価値を生み出すものです。利用者はデータを提供した以上のメリットを享受でき、企業はデータ活用で富を得て、国や社会にとってはデータを適切に分析することで安心・安全な暮らしを実現できるとか、そういう仕組みをつくらなければ、データの流通はうまくいかないでしょう。

　JSSMはセキュリティーの技術を使いながら、個人や企業、社会全体が納得できるデータ流通の仕組みをマネジメントする研究に積極的に取り組んでいます。

一筋縄ではいかないデータ活用

――確かにせっかく集めたデータを寝かしたままにしておいては意味がありません。

　一般的に情報セキュリティーは「機密性」「完全性」「可用性」で定義できるとされています。機密性と可用性は相反する概念ですが、可用性によってデータを流通させてこそ価値を生み出すのも事実。流通させるに当たって、大きな課題となるのが社会全体の納得感の醸成です。

　直近のセキュリティー関連のニュースを俯瞰してみると、社会全体の合意形成に苦慮する側面が散見されます。漫画などの海賊版サイトをブロックするか否かは、憲法の通信の秘密の兼ね合いから議論が紛糾。仮想通貨の採掘スクリプト「Coinhive（コインハイブ）」を巡って逮捕者が出た件でも、P2Pの「Winny事件」を彷彿させるなど、新しい技術と法執行の関係に疑問の声が上がりました。また、サプライチェーンのセキュリティー対策が進まない背景にも、合意形成が一筋縄ではいかない実情が垣間見れます。

――どうすれば合意形成がスムーズに進みますか。

　JSSMの研究課題の一つでもあり、難しい課題です。世界大手のネット系企業を見ると、データを“集めたもの勝ち”になっている側面はあります。国内企業は仲間意識が強く、護送船団方式を好みますので、個人の一存でぐいぐいと経営判断をして、あっという間に世界大手企業になる米国のネット企業とは単純な比較はできないのかもしれません。

　逆に、富の源泉となるデータを、外国企業に好き勝手に集められたら我慢ならないとして、EUや中国のデータ保護規則、日本の個人情報保護の議論が活発化。データ活用に一定の規制をかける動きも出はじめています。データ流通は、突き詰めるとみんなが納得できる仕組みをつくるしか方法はありません。

――SIerやITベンダーがユーザー企業と協業して、新しいデジタルビジネスを立ち上げるケースが増えています。

　プロジェクトが立ち上がったのちにデータ保護での問題が露見し、設計段階から見直すケースも実際にあります。SIerとユーザー企業の協業案件だけでなく、単純にシステム開発を受託するときも、個人情報保護やデータの活用を織り込んだ契約内容にすることがポイントです。実際にサービスを始めてみたものの、セキュリティーに重大な不備があったり、データの取り扱いを巡る合意形成がうまくいかないとなれば、やり直しが発生するなど、プロジェクトそのものが失敗してしまうことになりかねません。