一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　次長　松下　尚史

政府は2025年6月、「データ利活用制度の在り方に関する基本方針」をデジタル行財政改革会議で決定し、その内容を含む「デジタル社会の実現に向けた重点計画」を同日閣議決定した¹。同方針はデータを「社会の共通資源」として位置づけ、「制度・システム・運用の全体を再設計していく」と明記した。その背景には、急速な人口減少が進む日本において、データとAIの社会実装によってこそ、限られた人的資源を補いながら新たな価値を創出できるという認識がある。DFFT²に代表される国際的な議論も同じ方向を向いており、データ駆動社会の実現は今や日本の国家方針として定着している。

データが持つ経済的特性を考えれば、なぜそれが国家方針となるかは理解しやすい。データは単体では価値が限定的でも、他のデータとの組み合わせや蓄積によって価値が飛躍的に高まる場合がある。この「集合による価値生成」という性質ゆえに、企業間でデータを持ち寄り、AIで分析・活用するという連携は、データ駆動社会の実現に向けた重要な条件の一つとなる。

なお、データの「集合による価値生成」の経済学的・統計学的メカニズムについては、拙稿「パーソナルデータはなぜ『集めるほど価値が増す』のか」³を参照されたい。

しかし、現実はどうか。IPA「DX動向2025」（2025年6月）によれば⁴、他社とのデータ連携やデータ提供を「行っていない」と回答した日本企業は75.1%に上る。米国の19.8%、ドイツの27.0%と比較して際立って高い数値であり、サプライチェーン内での連携を実施している企業に至っては17.2%にとどまる（米国44.6%、ドイツ28.5%）。同報告書はこの状況を「内向き・部分最適」と診断し、部門間連携・外部組織との連携・ステークホルダー共有が米独に比べて著しく弱く、サイロ化が進んでいる状況を指摘している。国が掲げるデータ駆動社会の実現と企業行動の間には、大きな乖離がある。

なぜ連携は進まないのか。同調査においてサプライチェーン内や異業種間でのデータ連携の課題を問うと、「データ連携のルールがないためデータの提供が難しい」が31.6%、「提供データが標準化されておらず連携が難しい」が30.4%、「データ連携のメリットが感じられない」が25.5%である。このうち「ルールがない」は米国（28.3%）、ドイツ（27.6%）でも同程度の課題として認識されているが、「標準化されていない」（米国14.7%、ドイツ12.7%）と「メリットが感じられない」（米国9.4%、ドイツ17.1%）は日本だけが際立って高い。これらに加え、「他社のデータ管理方法等が不明でデータ提供が不安」も20.2%を占め、相手企業のデータ管理に対する信頼の不確かさも障壁として存在することを示している。注目すべきは、これらの回答が「つなぐ技術が存在しない」ことを直接の課題として示しているわけではない点である。問題は、単に技術の有無にあるのではなく、共通のルールと標準が整っていないこと、相手企業を信頼するための情報が見えないこと、連携による価値創出そのものへの確信が形成されていないこと、そして後述するように、連携に必要なセキュリティ水準を実装できる企業とできない企業の間に大きな断絶があることにある。すなわち、制度・信頼・確信に加え、技術水準の実装可能性という層の障壁が、企業間データ連携を妨げている。

また、DX取組状況の規模別の格差も見逃せない。同調査では従業員1,001人以上の大企業のDX取組割合が96.1%に達する一方⁵、100人以下の企業では46.8%にとどまり、2倍以上の差がある。大企業が参加する連携基盤に中小企業が加わることができなければ、データの集合による価値生成という恩恵はごく一部の企業にしか届かない。国家方針としてのデータ駆動社会の実現は、中小企業を含む広範な企業への連携の拡大なしには成立しない。

本稿は、企業間データ連携が広がらない構造的な理由を、まず技術的障壁と制度的障壁という二つの軸から分析する。そのうえで、制度的補完の方向性と、それを支える技術的前提を提示する。第1章で示した制度・信頼・確信という障壁のうち、制度の問題は第3章・第4章で、信頼の問題は第5章の追跡可能性の議論で扱う。これらの障壁の除去は、連携を駆動するための必要条件ではあるが十分条件ではない。最終的に連携を動かすのは、価値創出への企業家的確信であるという点も、結語において論じる。データ駆動社会実現に向けた議論の一助とすることを本稿の目的とする。

• 1. デジタル行財政改革会議「データ利活用制度の在り方に関する基本方針」（2025年6月13日決定）。同日、同方針の内容を含む「デジタル社会の実現に向けた重点計画」が閣議決定されている。別ウインドウで開く
• 2. DFFTはData Free Flow with Trust（信頼性のある自由なデータ流通）の略称。2019年1月の世界経済フォーラム（ダボス会議）で日本が提唱し、同年6月のG20大阪サミットの首脳宣言に盛り込まれた概念であり、個人情報保護や知的財産権、安全保障に関するルールを尊重しながら、データが国境を越えて自由に流通できる環境の整備を目指すものである。デジタル庁「Data Free Flow with Trust（DFFT）」参照。別ウインドウで開く
• 3. 「パーソナルデータはなぜ『集めるほど価値が増す』のか」
• 4. IPA（独立行政法人情報処理推進機構）「DX動向2025」（2025年6月26日公表）。調査期間は2025年2月〜3月、対象は日本・米国・ドイツの企業。別ウインドウで開く
• 5. 前掲注4「DX動向2025」データ集参照。別ウインドウで開く

企業間データ連携に用いられるセキュリティの技術的手段には、境界型セキュリティからゼロトラスト、さらにTEE（Trusted Execution Environment）に至るまで複数の水準が存在する。しかし、それぞれの水準には固有の限界があり、水準間には大きな断絶がある。問題は技術の有無ではなく、それを実装できる企業とできない企業が明確に分かれていることにある。

現在、多くの企業ではなお、社内ネットワークを一定の境界で囲い、外部からの侵入を防ぐ境界型セキュリティの発想が実務上の基本になっている。ファイアウォールやVPNがその典型であり、「社内は安全、社外は危険」という論理が根底にある。しかし、データ連携とは、この境界の外とつながる行為にほかならない。境界型セキュリティの発想のままでは、連携そのものが脅威となる。

それでも現実には、境界型セキュリティを前提とする多くの企業が企業間のデータ共有に実際に用いているのが、Teams、Slack、Boxといったコラボレーション型SaaSである。これらは境界の外とつながれる点で実用的であり、企業向けプランでは監査ログや管理機能が提供される場合もある。しかし、アクセスログや共有履歴の取得範囲、保存期間、分析可能性は、各SaaSの機能、契約条件、設定状況に依存する。このため、複数のサービスや企業をまたぐデータフローを、自社だけで一元的に再構成することは容易ではなく、問題発生時の起点特定が困難になりやすい。

こうした限界を超える方向性として、政府自身が国・地方のネットワーク基盤において、国のGSS（ガバメントソリューションサービス）におけるゼロトラストアーキテクチャの導入、および地方自治体システムにおける従来の三層分離（三層の対策）の段階的な見直し・廃止を含む方向性を示している⁶。これは、境界型セキュリティへの依存からゼロトラストへの段階的移行を示すものといえる。ゼロトラストは「社内であっても誰も信頼しない、常に検証する」という発想の転換であり、継続的な検証とログ管理を前提とするアーキテクチャである。境界型セキュリティとは根本的に異なる。

さらにその先には、TEEによる隔離実行環境という、より高度な隔離アプローチがある。TEEは、適切な鍵管理やリモートアテステーション等と組み合わせることで、処理環境内のデータや処理内容を保護しながら連携する選択肢となりうる。そのため、競合他社間でのデータ共有や高機密情報を含む連携において有効な場面があり、クラウドサービスとして提供される形態も登場している。もっとも、自前での実装・運用には専門的な知識を要し、中小企業が単独で導入するにはハードルが高い。

境界型セキュリティとゼロトラスト以上の水準との間の断絶は、単なる技術的難易度の差ではなく、三層の非連続性として現れる。第一に、境界型が信頼境界の存在を前提とするのに対し、ゼロトラストはその不在を前提とする。第二に、ゼロトラストはアイデンティティ基盤・継続的検証・包括的なログ管理を要件とし、システム全体の再設計を伴う。第三に、ゼロトラストはIAM・SIEM・ポリシー設計といった複合的な専門性を要する。この三層が同時に求められるため、平均的な境界型セキュリティの水準とゼロトラスト以上の水準との間には、広く利用可能な標準的中間層が十分に整備されているとは言い難い⁷。IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査」（2025年5月）によれば、約7割の中小企業でセキュリティ体制が組織的に整備されておらず⁸、この断絶が、大企業が参加する連携基盤に中小企業が加われない構造的な格差を生んでいる。

技術的障壁は解決不可能ではない。しかし、技術だけでは解決できない問題がある。次章では制度的障壁を論じる。

• 6. デジタル庁「国・地方ネットワークの将来像及び実現シナリオに関する検討会報告書」（2024年5月31日）。国のGSS（ガバメントソリューションサービス）ではゼロトラストアーキテクチャの考え方を導入済みであり、地方自治体については従来の三層分離（三層の対策）を段階的に廃止してゼロトラストアーキテクチャへ移行する方針が示されている。政府情報システムへのゼロトラスト適用の基本方針については、デジタル庁「ゼロトラストアーキテクチャ適用方針」（デジタル社会推進標準ガイドライン DS-210、2022年6月策定）も参照。
• デジタル庁「国・地方ネットワークの将来像及び実現シナリオに関する検討会報告書」（2024年5月31日）別ウインドウで開く
• デジタル庁「ゼロトラストアーキテクチャ適用方針」（デジタル社会推進標準ガイドライン DS-210、2022年6月策定）別ウインドウで開く
• 7. 近年は「ゼロトラスト・ジャーニー」として段階的移行の方法論も提示されているが（CISA Zero Trust Maturity Model等）、その初期投資（IAM基盤・ログ基盤の整備等）自体が中小企業の体制水準からは大きな飛躍を要求するため、断絶は実質的に解消されない。
• 8. IPA「2024年度中小企業における情報セキュリティ対策に関する実態調査」報告書（2025年5月公表）。Q22「貴社の情報セキュリティ対策はどのような体制で行われていますか」（n=4,191）。「組織的には行っていない（各自の対応）」との回答が69.7%を占めており、報告書本文は「7割近くの中小企業において体制が整備されていない実態が読み取れる」と解説している。全国の中小企業を対象としたWebアンケート調査。別ウインドウで開く

前章で論じた技術的障壁の根底には、より本質的な問いが潜んでいる。「何をどこまでやれば合理的な対策といえるのか」——この判断基準が制度的に確立されていないことを、本章では示す。

一般の民間企業がデータを安全に扱おうとする場合、参照すべき法令は一つではない。個人情報保護法は安全管理措置として「必要かつ適切な措置」を求め⁹、不正競争防止法は営業秘密の保護のために「秘密管理性」の維持を求め¹⁰、不正アクセス禁止法¹¹はアクセス管理者に識別符号の適正な管理および不正アクセス行為からの防御に必要な措置を講じる努力義務を課し、会社法¹²は内部統制システムの構築を取締役の責務として定める。さらにサイバーセキュリティ基本法¹³は、サイバー関連事業者・その他の事業者に対してサイバーセキュリティの確保に努める努力義務を課している。

これだけの異なる法令が企業にセキュリティを求めているという事実は、一見すると手厚い制度的保護のように映る。しかし、実態はそうではない。内閣官房内閣サイバーセキュリティセンター（NISC）は「サイバーセキュリティ関係法令Q&AハンドブックVer2.0」（2023年9月）において¹⁴、不正競争防止法に基づく営業秘密管理とサイバーセキュリティ対策は「いずれも情報に関するリスクマネジメントである点で共通する」としながらも、前者が漏えい後の法的保護（民事救済・刑事制裁）を目的とした事後的な情報管理であり、後者が漏えい・滅失・毀損を事前に回避することを目的とした情報管理であるという、目的の異なりを明示している。

同じ「データを安全に守る」という行為に対して、所管省庁ごとに異なる目的の法令が独立して存在している。個別の法令・ガイドラインはそれぞれ判断要素を示しているものの、企業間データ連携の場面で、複数の法益・リスク・技術水準を横断的に統合し、「何をどこまでやれば合理的か」を一義的に示す基準は十分に整備されていない。NISCがこの状況に対応するためにQ&Aハンドブックを作成していることは、各法令が求める情報管理の目的が多岐にわたり、企業が独自に整理することが容易でないことをうかがわせる。

この判断基準の不在は、民事上の責任論とも重なる。善管注意義務は、デジタル・AI時代のセキュリティリスク管理について明文の判断基準を持つものではない¹⁵。インシデント発生時には、経営者が当時の状況に照らして合理的な対策を講じていたかが問われることになる。その際、明確な判断基準がなければ、実務上は「なぜ防げなかったのか」という結果責任に近い受け止め方が生じやすい。経済産業省の「営業秘密管理指針」（2025年3月31日改訂）は営業秘密として法的保護を受けるための「最低限の水準の対策」を示すガイドラインとして、具体的状況に応じた経済合理的な秘密管理措置という考え方を示している¹⁶。しかしながら、同指針は営業秘密該当性の判断に関する行政指針であり、デジタル・AI時代のセキュリティリスク管理に関する民事上の善管注意義務の判断基準を直接示すものではない。そのため、行政指針が示す柔軟な考え方と、民事上の責任判断における不確実性との間には、なお非対称性が残っている。

この判断基準の不在は、企業間の実務レベルでも確認できる。IPA「2024年度中小企業実態調査」によれば、発注元からセキュリティ対応を要請された際の課題として、「契約内容の明確化」を挙げる企業が47.0%に達する¹⁷。要請された対策の水準が何を意味するのか、どこまで対応すれば要件を満たすのかが分からないという実態が、この数値に表れている。

加えて、サイバー攻撃は高度化・多様化し続けており、「この対策をすれば十分」という固定的な基準を一義的に定義することは原理的に困難である。技術的な脅威の変化に法令・ガイドラインの整備が追いつかない構造的な問題もある。だからこそ、固定的なチェックリスト型の基準ではなく、リスクの性質や大きさに応じて、どの水準の対策が合理的かを判断する枠組みが必要となる。

結果として企業の経営者は、複数省庁が異なる目的で設定した基準を独自に解釈しながら、民事上のリスクも念頭に置きつつ「何をどこまでやれば合理的か」を判断しなければならない状況に置かれている。個別の法令・指針は存在するものの、企業間データ連携において、それらを横断的に統合する判断枠組みが十分に整備されていないことが、制度的障壁の本質である。

• 9. 個人情報の保護に関する法律（平成15年法律第57号）第23条。個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」別添「講ずべき安全管理措置の内容」参照。別ウインドウで開く
• 10. 不正競争防止法（平成5年法律第47号）第2条第6項。経済産業省「営業秘密管理指針」（2025年3月31日改訂）参照。別ウインドウで開く
• 11. 不正アクセス行為の禁止等に関する法律（平成11年法律第128号）第8条。アクセス管理者に対し、識別符号の適正な管理および不正アクセス行為からの防御に必要な措置を講じる努力義務を定めている。別ウインドウで開く
• 12. 会社法（平成17年法律第86号）第362条第4項第6号および第5項。同条第4項第6号は、取締役の職務の執行が法令および定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制（内部統制システム）の整備に関する事項を規定し、同条第5項は、大会社である取締役会設置会社の取締役会に当該事項を決定しなければならない旨を定めている。別ウインドウで開く
• 13. サイバーセキュリティ基本法（平成26年法律第104号）第7条。サイバー関連事業者（インターネット等高度情報通信ネットワークの整備、情報通信技術の活用、又はサイバーセキュリティに関する事業を行う者）その他の事業者に対し、その事業活動に関し、自主的かつ積極的にサイバーセキュリティの確保に努めるとともに、国又は地方公共団体が実施するサイバーセキュリティに関する施策に協力するよう努める努力義務を定めている。
• 14. 内閣官房内閣サイバーセキュリティセンター「サイバーセキュリティ関係法令Q&AハンドブックVer2.0」（2023年9月公表、2024年12月HTML版公開）Q21「営業秘密管理とサイバーセキュリティ対策との異同」参照。なお、内閣官房内閣サイバーセキュリティセンターは、その後、国家サイバー統括室に移行しているが、本稿では同ハンドブック公表時の組織名に従う。別ウインドウで開く
• 15. 民法（明治29年法律第89号）第644条。「受任者は、委任の本旨に従い、善良な管理者の注意をもって、委任事務を処理する義務を負う」と定める。なお、企業経営者である取締役の善管注意義務は、会社法第330条が取締役と会社との関係を委任関係と定め、これに民法第644条が準用される構造による。デジタル・AI時代のリスク管理との整合については、制度上の明確な基準が未整備のままである。別ウインドウで開く
• 16. 経済産業省「営業秘密管理指針」（2025年3月31日改訂）。同指針は、営業秘密保有者の秘密管理意思が、具体的状況に応じた経済合理的な秘密管理措置によって従業員に明確に示される必要があるとの考え方を示している。また、同指針の性格については、経済産業省「営業秘密管理指針の改訂方針」（令和7年2月）による。別ウインドウで開く
• 17. 前掲注8参照。同調査では要請された対策の実施に向けての課題として、「対策費用の用意・費用負担の検討」（51.3%）に次いで「情報セキュリティ対策に関する販売先（発注元企業）との契約内容の明確化」（47.0%）が挙げられている。

前章で示した判断基準の不在は、現行制度が「何をすれば十分か」という問いに答えられない構造的な問題である。この問題を解くアプローチとして、リスクベースドアプローチという考え方がある。

リスクベースドアプローチとは、リスクをゼロにすることを目指すのではなく、リスクを適切に評価・管理するという発想である。その具体的な判断の枠組みの一つがALARP（As Low As Reasonably Practicable）であり、リスクベースドアプローチが方向性を示す概念であるとすれば、ALARPはその実装例の一つとして位置づけられる。ALARPの核心は、リスクを無制限に低減することではなく、リスク低減によって得られる効果と、それに要する費用・負担・実現可能性を比較し、合理的に実行可能な範囲までリスクを低減する点にある。

重要なのは、リスクベースドアプローチそのものは、既存制度にも広く見られる考え方だという点である。個人情報保護法第23条が安全管理措置として求める必要かつ適切な措置は、リスクの性質や規模に応じた弾力的な運用を前提としており¹⁸、個人情報保護委員会のガイドラインもそのように解説している。GDPRもまた「適切な技術的・組織的措置」という表現でリスクに応じた安全管理措置の考え方を採用している¹⁹。ALARPは元来、機能安全・リスク管理の分野で発展した判断枠組みであり、IEC 61508（電気・電子・プログラマブル電子安全関連系）がALARPを明示的な枠組みとして採用しているほか、ISO 12100（機械安全）、ISO 14971（医療機器リスク管理）など複数の国際標準が、ALARPまたはこれに類する合理的に実行可能な範囲でリスクを低減するという発想を採用しており²⁰、この考え方が産業安全の世界では定着している。個人情報保護法・GDPRが「ALARPそのもの」を採用しているという意味ではないが、リスクに応じて合理的な水準を判断するという点で、ALARPと構造的に近いものとして位置づけられる。経済産業省の「営業秘密管理指針」が示す具体的状況に応じた経済合理的な秘密管理措置も、リスクや状況に応じて合理的な対策水準を判断するという点で、ALARPと類似の構造を持つ。

ALARPが経営判断の文脈で持つ核心的な含意は、問いの立て方を変えることにある。「侵害を防げたか」という結果だけに着目するのではなく、判断時点において、リスクをどのように評価し、どのような選択肢を比較し、なぜその対策水準を合理的と判断したのかというプロセスを重視する発想である。この点でALARPは、経営判断において判断過程の合理性を重視する考え方と親和的である。もっとも、デジタル・AI時代の企業間データ連携において、その判断をどのような具体的基準で評価するかは、なお制度的に十分明確ではない。この枠組みが具体化されれば、経営者は「何をどこまでやれば合理的か」という判断の拠り所を持ちやすくなる。

この転換が実務上重要なのは、経営者の意思決定構造に影響を与えるからである。インシデント発生後に「なぜ防げなかったのか」という結果からの評価が強く意識される環境では、経営者は善管注意義務違反を回避するために、社内に高い防御壁を築くという防御的投資を優先しやすい。言わば「箱を堅牢にする」方向の投資である。しかし、データ連携とは、その箱の内側から外部に向けてデータを流通させる能動的行為にほかならない。防御の論理だけを強調すれば、この外部との接続はリスクとして捉えられやすい。判断プロセスを重視する枠組みへの転換が意味するのは、適切なリスク評価と合理的な判断プロセスを経たデータ連携について、経営判断として説明しやすい環境を整えることである。日本企業のリスクテイクが国際比較で低水準にあることは過去の政府白書や学術研究も指摘されてきたが²¹、データ連携の分野においても、インシデント発生後の評価への懸念が防御的投資への偏りを生む要因として作用している可能性がある。データ連携においてこの考え方を適用するとどうなるか。連携するデータの性質・機微度・相手方の信頼性・連携の目的に応じて、求められるセキュリティの水準は異なってよい。公開データに近い非機微情報の連携と、営業秘密を含む高機密情報の連携とでは、合理的な対策の水準が異なることは自明である。例えば、低リスクの連携では契約・運用管理と既存SaaSの監査機能を組み合わせた対応が合理的となる場合があり、中リスクの連携ではアイデンティティ管理やログ管理などゼロトラストの一部要素を段階的に導入することが求められ、高リスクの連携ではTEEやデータクリーンルーム等の高度な技術的対策が必要となる場合がある。固定的な基準を全ての連携に一律に適用しようとすること自体が判断を困難にしている。リスクに応じた段階的な水準の設定こそが、第2章で示した境界型セキュリティ・ゼロトラスト・TEEの間に存在する大きな断絶を埋める制度的な手がかりになりうる。

もとより、ALARPをデータ連携に適用するための制度設計には、既存の法令解釈の整理から法令改正の検討まで複数の選択肢があり得る。その具体的な制度設計の詳細は本稿の射程を超える。また、リスクベースドアプローチは、インシデントが発生した場合の責任を免除する仕組みではない。あくまで、リスク評価、対策選択、記録、検証という判断プロセスを明確化し、事後的に説明可能にするための枠組みである。しかし、リスクベースドアプローチへの転換という方向性は、個人情報保護法やGDPRに見られるリスクに応じた安全管理措置の考え方、機能安全規格におけるALARP、営業秘密管理指針における具体的状況に応じた経済合理的な秘密管理措置といった既存の考え方とも整合する。データ連携においても、リスクに応じて合理的な対策水準を判断する制度的素地は存在する。この方向性の具体化こそが、データ連携における制度的補完の中心的な課題として検討されるべきではないだろうか²²。

そして、リスクベースドアプローチが実際に機能するためには、「合理的な判断を下したか」を事後的に検証できる技術的前提が必要である。

以上の関係を整理すると、図表３のようになる。

次章ではその技術的前提として追跡可能性を論じる。

• 18. 前掲注9参照。個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」（令和3年10月、令和7年改訂版）3-4-2安全管理措置では、個人情報取扱事業者が講ずべき安全管理措置の内容について、「本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況…等に起因するリスクに応じて、必要かつ適切な内容としなければならない」と解説している。
• 19. Regulation (EU) 2016/679（一般データ保護規則、GDPR）第32条第1項。「技術水準、実装費用、取扱いの性質・範囲・文脈・目的、ならびに自然人の権利及び自由に対する発生可能性及び深刻度の異なるリスクを考慮し、管理者及び処理者は、当該リスクに適切なレベルの安全を確保するため、適切な技術的・組織的措置を実施しなければならない」と定める（筆者要訳）。リスク考慮要素を明示的に列挙している点に、リスクベースドアプローチの構造が現れている。別ウインドウで開く
• 20. ISO 12100:2010（Safety of machinery — General principles for design — Risk assessment and risk reduction、機械安全－設計のための一般原則）、IEC 61508（Functional safety of electrical/electronic/programmable electronic safety-related systems、電気・電子・プログラマブル電子安全関連系の機能安全）、ISO 14971:2019（Medical devices — Application of risk management to medical devices、医療機器－リスクマネジメントの医療機器への適用）。またISO/IEC Guide 51:2014（Safety aspects — Guidelines for their inclusion in standards）では安全を「許容不可能なリスクがないこと（freedom from risk which is not tolerable）」と定義しており、ALARPの考え方と整合する。IPAデジタルアーキテクチャ・デザインセンター「SoS-CPS安全設計ディスカッションペーパー」（2025年3月31日）では、ALARPを「合理的に実現可能な範囲でリスクを最小限とする考え方」として、CPS・SoSの安全設計における許容リスクの判断基準として議論を提起している。別ウインドウで開く
• 21. 内閣府「平成20年度年次経済財政報告」第2章第1節「国際的にみた日本企業のリスクテイク」は、上場企業のROAのばらつきを指標として、日本企業のリスクテイクが国際的に低水準にあることを示している。一橋大学HQウェブマガジン「なぜ、日本企業はリスク回避的なのか？」（野間幹晴、2021年7月1日掲載）も、Acharya, V.V., Amihud, Y. and Litov, L., "Creditor Rights and Corporate Risk-Taking," Journal of Financial Economics, Vol.102, No.1, October 2011, pp.150-166（DOI: 10.1016/j.jfineco.2011.04.001）等の国際比較研究を引きつつ、日本企業のキャッシュフロー・ボラティリティが比較対象国中で最も低いことを報告している。
• 内閣府「平成20年度年次経済財政報告」第2章第1節「国際的にみた日本企業のリスクテイク」別ウインドウで開く
• 一橋大学HQウェブマガジン「なぜ、日本企業はリスク回避的なのか？」（野間幹晴、2021年7月1日掲載）別ウインドウで開く
• 22. 中小企業においては、自社の規模・リスクに応じた合理的水準の設定、業界団体による集団的な対応、共通基盤の利用といった複数の選択肢が考えられる。

リスクベースドアプローチが「合理的な判断を下したか」という判断プロセスを問う枠組みである以上、その判断が事後的に検証可能でなければならない。問題が生じた際に「何が起きたか」「誰が関与したか」「どのデータが処理されたか」を再構成できる能力——追跡可能性（Traceability）——が、リスクベースドアプローチの技術的前提となる。

国内外の主要なAI・データガバナンスのガイドラインは、透明性・説明可能性・アカウンタビリティ（事実上・法律上の責任を負うための前提条件の整備）を共通して求めている。OECD AI原則、G7広島AIプロセス、日本の「AI事業者ガイドライン」（総務省・経済産業省）のいずれも、これらを中核的な要件として位置づけている²³。そして、これらの要請を実務上機能させるためには、事後的に何が起きたかを確認できる追跡可能性が不可欠である。追跡可能性とは、透明性・説明可能性・アカウンタビリティという規範的要請の事後検証を可能にする技術的基盤の一つである。

ここで重要な区別がある。AIそのものの内部動作の説明可能性と、データフローの追跡可能性は別の問題である。深層学習に代表される現代のAIは、その推論過程がブラックボックス化しており、「なぜその結論に至ったか」を完全に説明することは現時点では困難である。しかし、データフローの追跡は別の問題である。誰がどのデータをAIに投入し、AIが何を出力し、その結果がどこに連携されたか——このフローは、設計次第で記録・保全することができる。AIの説明可能性ではなく、データフローの追跡可能性こそが、企業間データ連携における現実的な技術的前提である。

EUはこの考え方をすでに制度化しつつある。GDPR第30条は、個人データの処理活動について記録を求める規定であり、その直接の射程は個人データの処理に限られる²⁴。ただし、処理活動を体系的に記録することで事後的な説明責任の基盤を整えるという制度設計の発想は、データ連携一般における追跡可能性を考えるうえでの先行事例といえる。さらにEU AI法（Regulation 2024/1689）第12条は、高リスクAIシステムについて、ライフサイクル全体を通じて自動的にイベントを記録できる技術的能力を求めており、第19条は、提供者に対し、自らの管理下にある自動生成ログの保持を求めている²⁵。その根拠は明快である——AIの動作や利用状況を事後的に再構成できなければ説明責任を果たすことが困難になるからである。EU AI法がログ生成・保存を求めるのは、高リスクAIシステムを中心とする規制上の枠組みであり、その射程をそのまま一般の企業間データ連携に拡張することはできない。しかし、AIやデータ処理の過程を事後的に検証可能にしておくことが説明責任の基盤になるという点は、企業間データ連携にも重要な示唆を与える。

では、追跡可能性はどのように担保されるか。第2章で論じたように、コラボレーション型SaaSでは、ログの取得・保存・分析が各サービスの機能、契約条件、設定状況に依存する。複数のサービスや企業をまたぐデータフローを自社だけで一元的に再構成することが難しい場合、問題発生時の起点特定も困難になりやすい。

追跡可能性を担保する技術的手段は複数存在する。SIEM（Security Information and Event Management）は、複数システムのログを集約・相関分析し、異常検知やインシデント対応を支援する技術であり、ゼロトラストアーキテクチャにおけるログ管理の中核を担う。データリネージュ（データ系譜）ツールは、データの生成元から加工・連携・消費に至るライフサイクル全体を可視化するものであり、データガバナンスの文脈で活用が広がっている。これらはいずれも組織内部のログ管理・可視化には有効であるが、企業間連携においては、記録の改ざん防止と第三者検証可能性という課題が残る。連携先を含む複数主体がログの正確性を相互に検証できる仕組みがなければ、「合理的な判断を下したか」の事後的な立証が困難になりうるからである。

この課題に対しては、タイムスタンプ、追記専用ログ、ブロックチェーンなど、記録の改ざんを検知しやすくする技術が選択肢となりうる。ただし、本稿の主眼は個別技術の優劣ではなく、企業間でデータを連携する場合に、記録の真正性をどのように担保し、第三者による検証可能性をどの程度確保するかという制度設計上の問いにある²⁶。これらは、記録の改ざんを検知しやすくし、第三者による検証可能性を高める点で、企業間データ連携における追跡可能性の技術的基盤として機能する可能性がある。

ただし、これらの技術が備える改ざん耐性は、削除要請との間で構造的な緊張を生む場合がある。忘れられる権利や取引終了後の営業秘密削除義務は、一定の場合にはデータの消去が求められる。しかし、追記専用ログやブロックチェーンに記録された情報は、設計上、後から直接削除することが困難である。この緊張への実務的対応として、実体データはログ外に保持し、ログにはそのハッシュ値とタイムスタンプなど、実体データそのものを復元しにくい情報のみを記録する設計が採られる場合がある。実体データは削除可能である一方、ログ側には「何がいつ処理されたか」の検証可能な痕跡だけが残る。ただし、この設計や暗号鍵の破棄といった緩和策は、削除要請との緊張を一定程度緩和するものであって、完全に解消するものではない。さらに、ログがどれほど精緻に記録されても、ログ上の記録と実世界で実際に行われた処理との対応関係の正確性は、技術だけでは解決できない。「記録された内容が実際に行われた処理と一致しているか」という問いへの答えは、契約・運用・監査という制度的な手段によって担保されなければならない。

追跡可能性の確保は、リスクベースドアプローチが機能するための技術的前提として不可欠である。しかし、その実装には、改ざん耐性ログの不可変性と削除要請との緊張、および記録と実世界の対応問題という二つの未解決の課題が残る。これらをどのように制度設計に組み込むかは、データ連携に関わる技術・法務・政策の各領域が連携して取り組むべき喫緊の課題として残されている。

• 23. OECD「人工知能に関するOECD原則」（2019年採択、2024年改訂）。　G7広島AIプロセス「全てのAI関係者向けの広島プロセス国際指針」および「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」（いずれも2023年）。総務省・経済産業省「AI事業者ガイドライン（第1.2版）」（2026年3月31日）。
• OECD「人工知能に関するOECD原則」（2019年採択、2024年改訂）別ウインドウで開く
• G7広島AIプロセス「全てのAI関係者向けの広島プロセス国際指針」(2023年)
  別ウインドウで開く
• G7広島AIプロセス「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」(2023年)別ウインドウで開く
• 総務省・経済産業省「AI事業者ガイドライン（第1.2版）」（2026年3月31日）別ウインドウで開く
• 24. Regulation (EU) 2016/679（一般データ保護規則、GDPR）第30条「処理活動の記録」。同条は、管理者および処理者に対し、個人データの処理活動に関する記録を求める規定である。従業員数250名未満の組織については一定の除外規定があるが、データ主体の権利および自由にリスクをもたらすおそれのある処理、散発的ではない処理、または要配慮データ（GDPR第9条第1項）もしくは犯罪歴等に関するデータ（同第10条）の処理を含む場合には適用される。別ウインドウで開く
• 25. Regulation (EU) 2024/1689（EU AI法）第12条（記録保持）および第19条（自動生成ログ）。第12条は、高リスクAIシステムについて、ライフサイクル全体を通じて自動的にイベントを記録できる技術的能力を求める規定であり、第19条は、高リスクAIシステムの提供者に対し、自らの管理下にある自動生成ログを少なくとも6か月保持することを求めている。なお、高リスクAIシステムに関する規定の適用時期については、2026年5月7日に欧州議会とEU理事会がAI法の簡素化・合理化に関して暫定合意し、Article 6(2)およびAnnex IIIに基づく独立型高リスクAIシステムについては2027年12月2日、Article 6(1)およびAnnex Iに基づく製品組込み型の高リスクAIシステムについては2028年8月2日を新たな適用時期とする案が示されている。本稿執筆時点では最終的な法令文の確認が必要であるが、データフローの追跡可能性が説明責任の基盤となるという本稿の論旨自体は、適用時期の前後に左右されない。別ウインドウで開く
• 26. 改ざん検知可能な追記専用ログの例として、Certificate Transparency（Laurie, B., Langley, A., Käsper, E., "Certificate Transparency," RFC 6962, IETF, June 2013）やSigstore Rekor（The Linux Foundation, Sigstore project,）がある。Certificate Transparencyは、Web PKIにおける証明書発行記録を公開・追記専用ログに記録し、第三者による改ざん検知を可能にする仕組みである。Sigstore Rekorは、ソフトウェアサプライチェーン向けに透明性ログを提供する仕組みである。また、RFC 3161はIETFが定めるタイムスタンププロトコルであり、信頼できる第三者機関が時刻情報を付与する枠組みを定めている（Adams, C., Cain, P., Pinkas, D., Zuccherato, R., "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)," RFC 3161, IETF, August 2001）。別ウインドウで開く

本稿は、企業間データ連携が広がらない理由を、技術的障壁と制度的障壁という二つの軸から分析し、制度的補完の方向性とそれを支える技術的前提を論じた。

技術的障壁の本質は、多くの企業ではなお「境界型セキュリティ」——社内ネットワークを境界で囲い外部からの侵入を防ぐ——の発想が実務上の基本になっており、境界の外とつながるデータ連携という行為との間に根本的な発想の齟齬があることである。ゼロトラストへの転換が方向性として示されているものの、その実装は中小企業には重く、境界型セキュリティの平均的な水準とゼロトラスト、さらにTEEという高度な隔離アプローチとの間に大きな断絶が存在する。この断絶が、大企業が参加する連携基盤に中小企業が加われない構造的な格差を生んでいる。

制度的障壁の本質は、判断枠組みの不十分さである。個人情報保護法・不正競争防止法・不正アクセス禁止法・会社法・サイバーセキュリティ基本法という複数の法令が、所管省庁ごとに異なる目的でそれぞれ独立してセキュリティを求めている。個別の法令・指針はそれぞれ判断要素を示しているものの、企業間データ連携の場面で、複数の法益・リスク・技術水準を横断的に統合し、「何をどこまでやれば合理的か」を一義的に示す基準は十分に整備されていない。NISC自身が明示しているように、不正競争防止法に基づく営業秘密管理（事後的な法的保護の準備）とサイバーセキュリティ対策（事前的な漏えい防止）は、目的が異なる。これに個人情報保護法が求める個人の権利利益の保護という目的が加わる。これらの法令が求める情報管理の目的が異なるという制度的事実が、統合的な判断基準の不在の根底にある。加えて、行政指針が示す方向性の柔軟さと民事上の責任基準が持つ硬直性という非対称性が重なり、経営者が合理的な判断の拠り所を持てない構造が生まれている。

この二つの障壁は独立した問題ではなく連動している。なぜなら、技術的障壁の解消には「何をどこまでやれば合理的か」という制度的な判断基準が必要であり、制度的障壁の解消にはリスクに応じた技術的対策の水準設定が必要だからである。

制度的補完の方向性として、リスクベースドアプローチ、とりわけALARPという判断の枠組みへの転換が示唆される。「侵害を防げたか」という結果からの遡及的評価から「合理的な判断を下したか」という判断プロセスの評価への重心移動である。個人情報保護法やGDPRにはリスクに応じた安全管理措置という発想が見られ、機能安全規格や営業秘密管理指針にも、リスクや具体的状況に応じて合理的な対策水準を判断する考え方が示されている。もっとも、個人情報該当性の判断やPETs（プライバシー強化技術）の制度上の位置づけには別途の論点があり、この点は別稿「プライバシー強化技術（PETs）と個人情報保護法」²⁷で論じている。リスクに応じた段階的な水準の設定は、境界型セキュリティ・ゼロトラスト・TEEの間に存在する断絶を埋める制度的な手がかりとなりうる。

そして、リスクベースドアプローチが機能するためには、「合理的な判断を下したか」を事後的に検証できる追跡可能性が技術的前提となる。AIそのものの説明可能性は現時点では困難であっても、データフローの追跡可能性——誰がどのデータをAIに投入し、何が出力され、どこに連携されたか——は設計次第で担保できる。EUがGDPR第30条における処理活動の記録や、EU AI法第12条・第19条における高リスクAIシステムの記録保持関連規定を制度化していることは、事後的な検証可能性を確保するという発想の重要性を示している。ただし、改ざん耐性ログの不可変性と削除要請との緊張、および記録と実世界の対応問題という未解決の課題が残り、これらは技術だけでは解消できない制度設計上の問いである。

もっとも、技術と制度の補完が機能したとしても、それだけでデータ連携が進むとは限らない。企業間データ連携は、本質的には「連携することで価値が生まれる」という企業の確信によって駆動される投資行動である。連携の成果は事前に精密に計算できるものではなく、ケインズが投資行動を駆動する力として論じた自生的な衝動——いわゆるアニマルスピリット²⁸——に依存する側面が大きい。本稿が論じた技術と制度の補完は、こうした企業家的確信が形成されるための必要条件であって、十分条件ではない。データ駆動社会の実現には、障壁の除去と並んで、連携による価値創出への企業家的確信をいかに育てるかという問いが、独立した課題として残されている。

データ駆動社会の実現は日本の国家方針として掲げられているが、IPA「DX動向2025」が示すように他社とのデータ連携を行っていない企業が75.1%に達する現実との乖離は大きい。この乖離を埋めるためには、技術と制度が補完し合う設計が必要である。何を技術で解き、何を制度で補完するか——この問いに対する答えの設計こそが、データ駆動社会実現に向けて今まさに取り組むべき中心的な課題である。その補完が機能し、さらに連携による価値創出への企業家的確信が形成されるとき、データ駆動社会の実現は現実の射程に入る。

• 27. 「プライバシー強化技術（PETs）と個人情報保護法～データ連携の制度的課題～」
• 28. Keynes, J.M., The General Theory of Employment, Interest and Money, Macmillan, 1936, Chapter 12 "The State of Long-Term Expectation."（邦訳：間宮陽介訳『雇用、利子および貨幣の一般理論』岩波文庫、2008年、第12章「長期期待の状態」）。ケインズは、企業の投資活動が数学的期待値（quantitative benefits multiplied by quantitative probabilities）ではなく、「行動への自発的衝動（spontaneous urge to action rather than inaction）」——いわゆるアニマルスピリット——に依存する側面を論じた。

本内容は、筆者自身の調査分析に基づく個人的見解で、JIPDECの公式見解を述べたものではありません。