一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　調査グループ　グループリーダ　松下　尚史

• 「IT-Report 2025 Winter」全文はこちらから別ウインドウで開く

デジタルトランスフォーメーション（DX）の進展により、私たちの生活やビジネスは新たな価値や利便性を享受しています。その一方で、サイバー攻撃の洗練化・巧妙化は一層進展し、フェイクニュースに代表されるような真偽が定かではない情報が飛び交うデジタル社会においては、サイバーセキュリティやプライバシーに関する懸念も社会全体の共通課題となりました。

このような状況にあるデジタル社会において、特にデジタル製品・サービスを展開する企業が持続的に成長していくためには、自社のデジタル製品・サービスを顧客から選択してもらう必要があります。顧客は、価格・サービス内容・使い勝手・ブランド力などさまざまな要素を検討しますが、その検討の大前提にあるものが安心できるデジタル製品・サービスかどうかという観点です。なぜなら、買い手側の視点では売り手の顔も見えず、企業の実在性も不透明な中で、顧客がデジタル製品・サービスに対して抱く安心感は、単なる技術的な安全性だけでなく、サービス提供者への信頼、個人情報の適切な取り扱いに対する確信など、複合的な要素から構成されていることは言うまでもありません。

この安心というキーワードについて、日本学術会議の報告書¹では、“「安全」の視点から「安心」を考えたときに、その両者をつなぐのは「信頼」であると考え、「安心」＝「安全」×「信頼」というモデルを仮定”しています。このモデルに、デジタル社会において重要な観点である「プライバシー保護」を加え、「安心＝安全×信頼性×プライバシー保護」（以下、「デジタル社会の安心方程式」という。）という形が、デジタル社会における安心感醸成の一つの切り口になるのではないかと考えられます。このモデルは乗法で表現されているとおり、どれか一つの要素が欠けても、顧客の安心は得られないことを示唆しています。

• 1　「 見解 工学システムに対する「安心感」の醸成」（日本学術会議）別ウインドウで開く

デジタル社会における安心は、個人や組織が自己の活動・意思決定を行う際に、外部の脅威や不確実性による不安から解放され、自由かつ安全に振る舞える状態を指すと言えます。安心は、以下の三つの要素が相互に補完し合うことで初めて成立します。三つの要素が揃うことで、ユーザーは「このデジタル環境なら安心して使える」という精神的な安定と行動の自由を獲得できるのです。

デジタル社会の安心方程式に含まれる三つの要素について、少々掘り下げます。

（1）安全

デジタル社会の安心方程式における安全は、SafetyとSecurityの両方を包含します。SafetyおよびSecurityについては、国際標準規格等でさまざまな定義がされています。例えば、SafetyはISO/IEC Guide 51：2014²において「許容不可能なリスクがないこと」とされており、SecurityはISO/IEC 27000：2018³において「情報の機密性、完全性および可用性を維持すること」とされています。企業は、それぞれの目的を実現するために、さまざまな要件が求められていますが、デジタル社会においては各システムやサービスが高度に相互接続されており、新たな脅威が継続的に出現するため、SafetyとSecurityを独立した概念として捉えるのではなく、技術・運用・管理を統合した多層的な概念として捉える必要があります。企業は、自社の業界・デジタル製品・サービス特性、法規制要件を踏まえた多層的な概念として安全（Safety＆Security）に取り組むことによって、システムやサービスが意図したとおりに動作し、偶発的な故障や悪意ある攻撃などの物理的・技術的なリスクが抑制され、不意の障害による顧客やステークホルダーの不安を低減し、安心を醸成します。

（2）信頼性

科学技術振興機構の研究開発戦略センター（CRDS）では、信頼（Trust）を「相手が期待を裏切らないと思える状態」と定義⁴し、独立行政法人情報処理推進機構（IPA）もこの定義を「トラスト入門」⁵において採用しています。この定義で相手が期待を裏切らないと思う主体（信頼する側）に信頼してもらうためには、信頼される側が信頼に足る能力等を具備していることを信頼する側に伝えることが重要であり、特にデジタル社会においてはそれが検証可能な状態で具備されていることが望ましいと言えます。このような信頼される側が具備すべき能力をTrustworthiness（信頼性）といい、ISO/IEC TS 5723：2022⁶では「ステークホルダーの期待に対して検証可能に応える能力」として定義されています。他方で、Trustworthinessは、EU・NIST・OECD・WEFなどの文献によってさまざまな定義がなされており、Availability（可用性）、Reliability（故障なく機能を維持する能力）、Resilience（障害からの復旧能力）、Maintainability（容易に点検・修理・更新できる能力）などの機能要素と、Transparency（透明性）、Accountability（説明責任）、Fairness（公平性）などのコミュニケーション要素などを含んだ形で構成される場合があります。Trustworthinessを具備することは、透明性を確保しながら期待どおりの価値を一貫して提供し、問題発生時には説明責任を果たして是正措置を講じる能力、さらに製品やサービスが継続的に点検・保守・改善される体制を備えることになり、顧客やステークホルダーの裏切られるかもしれないという心理的不安の軽減につながります。よって、ここでは上記の機能要素やコミュニケーション要素を含む包括的な意味合いでのTrustworthinessを信頼性と捉えます。

（3）プライバシー保護

デジタル社会を推進していく上で、個人の情報やプライバシーを保護する必要性は、OECD Privacy Guidelines⁷やNIST Privacy Framework⁸にも示されているとおりであり、個人の権利利益を保護していく上でも重要な取り組みです。他方で、日本では個人情報保護法、EUであればGDPR（一般データ保護規則）というように法域によって求められる要件は異なりますので、自社の事業領域・法規制・リスクシナリオに応じ、プライバシー保護に取り組むことが重要です。プライバシー保護に取り組むことによって、個人の権利利益（アクセス権、訂正権、消去権など）が適切に守られ、データの収集・利用が透明かつ制限された範囲で行われることになり、自己情報の不当利用のリスクを低減し、心理的不安の緩和につながります。

• 2　「ISO/IEC Guide 51:2014」（ISO）別ウインドウで開く
• 3　「ISO/IEC27000:2018」（ISO）別ウインドウで開く
• 4　「デジタル社会における新たなトラスト形成」（CRDS）別ウインドウで開く
• 5　「トラスト入門」（IPA）別ウインドウで開く
• 6　「ISO/IEC TS 5723:2022」（ISO）別ウインドウで開く
• 7　「 Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data」（OECD）別ウインドウで開く
• 8　「Privacy Framework」（NIST）別ウインドウで開く

デジタル社会の安心方程式だけでは、具体的に何をすべきかが分かりづらいと思います。デジタル社会の安心方程式の三つの要素を横軸に置き、縦軸にガバナンス（Governance）、体制（Organization）、技術（Technology）、運用（Management）、教育（Education）、制度等対応（Institutional Compliance）の六つの要素を置くことで、より具体的に考えることができます。この縦の六つの要素は、企業内の責任分界点を明確にすることにつながります。その整理は、以下のとおりです。（表1）

このように縦軸・横軸を置くと、次のマトリックス表になり、自社の取り組みの全体像を俯瞰することができます。（表2）

このマトリックス表において、どのセルに、どのような内容を入れることが適切か、判断に迷った場合には、自社の業界、デジタル製品・サービスの特性、法規制要件を踏まえ、自社の目的と対象を吟味することで最適な基準を設定することが可能です。例えば、縦軸の「技術（Technology）」において、横軸の安全・信頼性・プライバシー保護について自社の目的を吟味すると、安全の目的はシステム・製品において「顧客が許容できないリスクがない」こと、信頼性の目的はシステム・サービスが「仕様どおりに故障なく継続稼働」すること、プライバシー保護の目的は個人情報が「適法かつ意図どおりに収集・利用・保存・廃棄」されることと定義することが可能です。

マトリックス表は、企業としての全体方針を示す経営レイヤーでも活用可能であり、デジタル製品・サービスごとに顧客に対して実施すべき事項の漏れや抜けがないかを現場レベルで確認する際にも活用可能です。また、新規顧客開拓の際に必要な要件や既存顧客への提供価値向上施策を検討する際にも活用可能です。実際の活用にあたっては、次のような順で進めることが現実的ではないかと考えられます。

• ①　必要と思われる事項を網羅し、自社のデジタル製品・サービスや経営戦略に応じた重み付けを行う。
• ②　全体の実施事項を俯瞰しながら、重み付けを行った重点項目に対する投入リソースを検討するとともに、作成した際に漏れや抜けが確認されたセルについても打開策を検討する。
• ③　土台的要素である安全やプライバシー保護に関する取り組みを行った上で、顧客やステークホルダーとの信頼関係構築のため、透明性を担保するためのコミュニケーション・マーケティング・広報などの施策を推進する。

また、現場レベルで使用する際には、「統治（Governance）」の部分に、デジタル製品・サービスごとの達成目標等を置くと利用しやすいと思います。

加えて、全ての項目において、完璧を目指してしまうと、プライバシー保護と利便性、セキュリティとコスト、透明性と機密性というようにトレードオフが生じる可能性があります。そのため、それぞれのバランスは経営戦略や事業方針と照らし合わせ、最適な取り組み方を選択すればよいでしょう。

さらに、政府よりさまざまなガイドライン等が公表されていますが、その内容の整理に、このマトリックス表を活用することも可能です。例えば、経済産業省が公表している「サイバーセキュリティ経営ガイドライン3.0」⁹と「DX時代における企業のプライバシーガバナンスガイドブックVer1.3」¹⁰の主要な内容をマッピングしてみると、以下のように整理できます。（表3）

このように複雑なガイドラインもおおよそ整理が可能になり、各ガイドラインに示されている内容について、どの部署が何に対応すべきかが明確になります。

• 9　「サイバーセキュリティ経営ガイドライン Ver3.0」（経済産業省）別ウインドウで開く
• 10　「DX時代における企業のプライバシーガバナンスガイドブックver1.3」（経済産業省）別ウインドウで開く

この取り組みは、一朝一夕に成果が出るものではありません。しかし、顧客一人ひとりの安全を守り、プライバシーを尊重し、社会からの信頼に応えようとする地道な努力の積み重ねこそが、デジタル社会における企業の最も確かな礎になります。

また、デジタル社会の安心方程式は、企業が安全・信頼性・プライバシー保護という見えにくい強みを整理・比較できるフレームワークでもあります。自社にしかない高度な取り組み、独自の運用ノウハウ、透明性の高いコミュニケーション能力などを棚卸しすることで、競争力の源泉となる自社の独自資源を発見し、戦略的な差別化につなげることもできます。

さらに、これまで、問題を防ぐための「守り」のコストと見なされがちであったセキュリティやプライバシー対策は、安心感を醸成し、自社のデジタル製品・サービスが顧客から選ばれる下地を作ることにつながります。そういう意味では、「守り」の取り組みが「攻め」の取り組みの第一歩であると捉えることもできます。

「安心」への投資は、未来への投資です。このフレームワークを羅針盤として、自社のデジタル製品・サービス、そして企業活動そのものを通じて「安心」という価値を社会に提供し、それを顧客に正しく伝える努力を続けることこそが、予測困難な時代を乗り越え、顧客や社会から真に必要とされ続ける企業となるための着実な道筋であると考えています。