DX（デジタルトランスフォーメーション）やAIの利活用が進む中、個人データ（パーソナルデータ）の取得経路や活用方法について、企業の説明責任や透明性に注目が集まっている。一方で企業が競争力を高めるためには、利用者からの信頼（トラスト）を得ることが以前にも増して重要となっている。こうした中で、企業はビジネスやサービスをどうデザインしていけばよいのだろうか。

DXビジネス／サービスをデザインする際に知っておきたい2つのキーワード

キーワードその1「Security By Design」

　自社のサービスをDXで進化させ、新たなビジネスを生み出そうとする際に、まず気に留めておきたいのが、情報セキュリティだ。膨大な個人データを扱うDX時代におけるセキュリティには、システムだけでなく、データを守るという発想が欠かせない。

　この”データを守る”セキュリティに必要となるのが、「Security By Design」という考え方だ。これは、内閣サイバーセキュリティセンターが定義したもので、「情報セキュリティを企画・設計段階から確保するための方策」という意味を持つ。NECでは企画からテストまでの全範囲を対象に、脅威を攻撃者の視点で分析し、対策レベルに応じたセキュリティ技術を実装する「Security By Design」に取り組んでいるという。

　なぜ「Security By Design」の考え方が必要となるのか。NECセキュリティ技術センター センター長の淵上 真一が、「デジタルシフト時代に求められる『Security By Design』とは」^※1と題されたセミナーの中で、その理由と背景を次のように解説している。

　DX時代に作られるシステムの典型が「マイクロサービス」だと述べる。マイクロサービスとは、膨大な数の小さなサービス（機能）を互いに連携させたシステム構造を指す。現在、多くのDX企業がこうしたシステム構成でサービスを構築するようになっている。

　マイクロサービスのようなシステム構成となると、これまでようにセキュリティを後付けで考えるのは非常に難しい。そこで、「情報セキュリティを企画・設計段階から確保するための方策」である「Security By Design」が必要になってくる。さらに、基本的なセキュリティに対する考え方も「ゾーニングをもとにしたアクセス制御や、社内やシステムなどの内側だけを守る従来型の『ペリメタモデル』ではなく、ゾーンを考慮しないでアクセス管理や、守る資産も脅威もあらゆるところに存在すると考える『ゼロトラストモデル』が主流になる」と淵上は説明する。

　いまや、社内ITだけでなくクラウドなどの外部サービス、BYODのデバイス、リモートワーク環境など、あらゆるところに資産が存在し守る対象が増えている。ゼロトラストモデルとは一言で言うと「データに注目するセキュリティモデル」だ。ビジネスやシステムを構築するときに、どのようなデータがどういった状況で生成され、どこを通るのかを注視する。つまり「データを守るためにどうすればよいか」から発想するセキュリティモデルというわけだ。

　さらに、「DX時代におけるシステム開発では、要件の変化に応じてより信頼性が高く、より早期にリリースすることが求められるため、企画、要件定義、設計、実装、テストへと一方向に進む従来型の手法だけで対応するのは難しい。システム開発のスタイルは、開発と運用などの各部門が一体のサイクルとなってまわる『DevOps（デブオプス）』型が主流になりつつあり、作られるシステム自体も変化していくと考えられます」

　淵上は、「こうした複雑な状況の中だからこそ重要となってくるのが、企画や要件定義といった開発プロセスの最初の段階からセキュアな状態を確保していく『Security By Design』の考え方なのです」と強調した。

キーワードその2「Human Rights By Design」

　もう一点、DX時代の企業が知っておきたいのが、「Human Rights By Design」だ。これは、人権やプライバシーの観点から社会に受容されるビジネスやサービスをデザインするという考え方で、特に慎重な対応が求められる個人データや生体認証技術の活用において重要だ。

　人権・プライバシーへの観点で企業が配慮すべきことについて理解を深められるのが、同日に行われたセミナー「パーソナルデータや生体認証技術の活用における競争力としての人権・プライバシー対応」^※2における登壇者の解説だ。

　同セミナーでは、まず慶應義塾大学院法科大学院 教授（兼KGRI副所長）の山本 龍彦氏が登壇し、「プライバシー」「差別」「民主主義」の3つの切り口から、生体認証の活用が人権に与えるリスクを解説した。

　まずプライバシーについては、プロファイリングの問題を大きく取り上げる。「私はプロファイリングを現代の錬金術と呼んでいます。企業は、本人確認のために個人のデータを取得するわけですが、そういったデータも場合によっては単なる個人識別情報ではなく、他の情報を掛けあわせて非常にセンシティブなデータや予測が引き出される可能性がある。これがプライバシーの大きなリスクとして挙げられます」（山本氏）

　差別へのリスクについては、例えば人種と再犯率の相関が偏りとして内包された過去の統計データをAIが読み込むことで差別が助長されるなど、データの偏りやアルゴリズムのバイアスの問題を指摘。また、民主主義へのリスクとしては、中国の信用スコアを例に挙げ、自由に対して萎縮効果をもたらす超監視社会の危険性を挙げる。

　こうしたリスクがある中、企業はどう対応すればよいのか。山本氏は、プロファイリングやセンシングの限界や手続を設定することや、AIアルゴリズムの監査などにより人権やプライバシーに対する影響を事前にきちんと評価する仕組みを組み込むことなどを提案した。

　続いて登壇したサスティナビリティ消費者会議代表の古谷 由紀子氏は、消費者の視点から個人データや生体認証技術の活用について意見を述べる。

　現在消費者は、個人データを提供する代わりに享受できる企業のサービスについて、本当に価値があるのか、リスクはないのか、提供した個人データをコントロールできるのかなど多くの疑問を持っている。こうした中で企業は、日本国憲法13条の原則「個人尊重の社会」に則った事業活動を行うべきだと訴える。

　「個人が尊重される社会とはどういうものか。データや技術が生活に貢献し、人権やプライバシーへの対応がなされていることが基本としてあるべきです。もうひとつは、私たち消費者が、客体ではなく、あくまで主体として選択できることが大きなポイントになると思います」（古谷氏）

　その上で古谷氏は、企業に期待することとして、消費者・社会に有用な商品・サービスを提供する消費者の選択を実効性のあるものにする、個人データ活用についての説明を真摯に、丁寧に行う、信頼できる事業者になる、消費者の意見を深く傾聴し消費者とともによりよい社会をつくることなどを挙げた。さらに、ビジネスと人権に関する世界の動きにも目を配るよう求めた。

　最後に登壇したNECデジタルトラスト推進本部 本部長の野口 誠は、AIや生体認証による人権課題は、法律の整備が追いついていないグレーゾーンや、社会の受け入れ方（社会受容性）の変化によっても発生する特徴があることに言及。

　「（個人データや生体認証技術を扱う上で）何が受け入れられ、何が受け入れられないのか。国・地域や時代によって人々の意見は異なり、また、移ろいます。従って、顧客（ユーザ様）や消費者をはじめとした社会の声に常に向き合いながら人権課題の発生低減・防止に適切に対応していくことも、DX時代の企業に求められていることだと考えます」（野口）

DX時代の”信頼”の両輪

　「Security By Design」「Human Rights By Design」はDX時代の企業に欠かせない、競争力としての”信頼”を得るための両輪だ。DX時代は顧客がデータを安心して預けられるかがビジネス成功のカギとなる。自社のサービスをDXで進化させるならこの両輪への投資を惜しまないことが重要だ。

　最後に、NECの野口が、前述のセミナーの最後に語ったコメントを紹介する。

　「セキュリティや人権・プライバシーをめぐる世の中の動きは、今、法律も含めかなり流動的であり、企業は相当感度高くその動きを見極めながら対応方法を決めていく必要があります。これは決して容易なことではありませんが、DXやAIの利活用を進めるうえで不可欠なことです。そして、NECはこの課題に正面から前向きに取り組み始めています。

　DX時代のビジネスにおいて、顧客から信頼を得て、かつ、企業のリスク管理を適切に行うために、企業はこのような課題に積極的に取り組んでいく必要があると我々は考えています」

• ※1、※2 両セミナ—ともに「C＆Cユーザーフォーラム＆iEXPO2019」（2019年11月7日、8日）にて開催。

「C&Cユーザーフォーラム&iEXPO2019」特集ページに戻る