好むと好まざるとにかかわらず、実社会とサイバー空間は不可分のものになっている。日々の生活や業務でも、ネットを使わない日はない。インフラやサプライチェーンなど、目に見えないあらゆる業務のバックグラウンドも、サイバー空間との接点を持たないと立ち行かない現状がある。このような中、サイバー空間のデジタルデータについて適正な利活用については新しいフレームワークが求められている。

日々の人々の活動はスマートフォンやIoT機器、センサーを通じてサイバー空間にサンプリングされている。行政や企業はそのデータをもとに政策やビジネスを遂行する。人々の生活はいままでにない解像度でデジタル化されサイバー空間で共有される。そして、社会はそのデータを利用することで成立しているわけだ。

見方を変えれば、実社会（フィジカル空間）をデジタルデータで直接反映したサイバー空間では、同時にサイバー空間のデジタルデータが実社会に投影されることも起こりうる。これが「サイバーフィジカルシステム（CPS）」と呼ばれる概念だ。CPSは政府の「Society5.0」でも社会基盤のモデルのひとつとして採用されており、各種政策提言のベースにもなっている。 CPS対策のフレームワーク については、経済産業省は2019年4月にすでに策定しており、 「協調的なデータ利活用に向けたデータマネジメント・フレームワーク」 は、CPSにおけるデータ利活用の考え方をまとめたものだ。

今回のフレームワークは、サイバー空間全体で集まるデータが相互に連携し、それを活用できるようにするために作られた。以前は、国および企業や巨大プラットフォーマ―が集めたデータを、それぞれの組織や企業グループ内で利用することが一般的だった。

しかし現在では、それらのデータを広く利活用することで、行政サービスや企業の付加価値ビジネスを向上させるフェーズに入っている。Society5.0では、行政・ビジネスのバリューチェーンを3つの層にわけて考えている。第1層が企業間の従来のようなつながり。第2層がサイバー空間とフィジカル空間のつながり。第3層がサイバー空間におけるデータを基準としたつながり。当該フレームワークでは、第3層でのデータをいかに安全かつ正確に扱うのかに焦点を当てたものだ。

フレームワークが重要なのは、サイバー空間に集約されたデータを、提供者、収集者、利用者がばらばらに管理することで、効率が悪く、データの相互連携による効果が出にくいからだ。共通のルールやガイドライン（＝フレームワーク）があれば、相互利用が進み、ビッグデータの潜在価値を引き出すことにつながるからだ。

また、野放図なデータ連携や利活用は、不正な個人情報の利用、プライバシーや人権にかかわる問題も生む。企業と人材企業が被採用者や学生のプライバシーや人権を無視したサービスを展開したり、行政による学校や年齢を横断した学習データ管理の妥当性が疑われたりする。このような問題に対応するためにも、フレームワークは重要である。

「協調的なデータ利活用に向けたデータマネジメント・フレームワーク」では、

１：データマネジメントについて確立した定義はない
２：データを軸におく
３：データ関与の主体は複数

という3つの視点に立つ。サイバー空間での多様なデータを連携させるには、特定機関や組織のマネジメント手法を適用することは難しいため、サイバー空間上のデータを主軸に据え、CPSを基礎としたマネジメントを考えるものだ。データ主体となるので、それに関与するものは限定されない。

データを主軸に考えるので、そのデータが生成され破棄されるまでのライフサイクルを「イベント」としてとらえる。また、データにはカテゴリ、開示範囲、利用目的、権利者などの「属性」情報で分類される。そしてそれらが利用される場所（「場」：法令、組織の内規、契約、業界など）ごとに活用方法、管理方法を考える。

「イベント」には「生成・取得」「加工・利用」「移転・提供」「破棄」「保管」があり、これらをデータ利活用のライフサイクルとしている。

具体的なユースケースとしては、たとえば高齢者の生活支援でのデータ活用や一般的なクラウドサービスなどを想定している。

この事例は、老人ホームや高齢者住居において各種IoT機器ベンダーが製品とともにデータ収集を行っているものだ。データは自社利用のほか、サードパーティのDB事業者やクラウドプロバイダーでの保存管理が含まれる。データ保管基盤の事業者はそれらを加工（匿名化・統計情報化）し、別のサービスプロバイダに提供することで、高齢者支援のサービスやビジネスを拡充する。

この事例は一般的なクラウドプラットフォームを利用したポータルサイトとそれらと連携するバックエンドサービス事業者のビジネスだ。ネットビジネスではいまや当たり前のスキームでありビジネスアーキテクチャの基本ともいえる。だが、これらのデータ連携には、個人情報保護法他さまざまな制限や注意事項が存在する。巨大ポータルサイトや巨大プラットフォーマ―にデータが集中しやすく、競争原理が働きにくかったり、契約がグレーのまま利用することでコンプライアンスリスクを背負ったりすることになる。

フレームワークは、CPS（Society5.0の第3層）を前提としているため、特定の技術やサービス、業界に依存するものではない。したがって、セキュリティ対策も個々の対策技術の議論ではなく、運用上のガバナンスやコンプライアンスに寄った視点で考える必要がある。

データ保護、システム保護、ネットワーク保護、データの監視、利用者の認証、可用性の確保などは、実装システムや個別のサービスごとに変わってくる。ただ、ここには従来のエンタープライズセキュリティが適用できる。ISMSなど標準フレームワークに準拠したリスクマネジメントと対策を行うことになる。ここではその詳細は掘り下げない。

注意すべきは、データ連携を考えるとき、利用者や管理者を主体とした考え方からの脱却だ。CPSにおいてデータを軸に考えると、それに関与するステークホルダーはプラットフォーム事業者だけではない。データの提供者や加工者、利用者などさまざまなプレーヤーが存在する。イベントごとの管理責任や法的な制約は発生するので、どのプレーヤーも好き勝手にデータを使えるわけではない。

たとえばセキュリティ業界では、ばらばらに収集した匿名データや加工データを、サービス構築や利用の過程で突合、または結果的に個人を特定できる個人データとなる事象に対する議論がある。名前やIDなどが省略されていてもそのデータが特定個人と紐づいていると、他のデータとの組み合わせで個人が特定できる状況が存在する。

このような「突合」は、企業が半ば脱法的に行うこともあれば、意図せずそうなってしまうこともある。

近年ではプライバシーや人権にかかわるトラッキングの是非も問題となる。公共の福祉・社会の利便性と人権の兼ね合いになるが、従業員の行動監視やライフログデータの解析から、業務へのモチベーションや退職率を予想し人事や採用に利用するといった問題だ。児童・生徒の成績情報や内申書、調査票をクラウド管理し、虐待対策や生涯学習、学区や地域を超えた教育に生かすという取り組みも、利用者側の認識しだいでは、悪用・人権侵害につながる。

このレベルは、個人情報保護法など技術的な問題というより、文字通りのコンプライアンス（遵法精神）やガバナンス（企業統治）の問題だ。単一の法律や業界ルールで制御できるものでもない。

フレームワークはひとつの指標になりうるが、解決策そのものではない。利用する側は利用便益に対応するコストやリスクを正しく分析することが求められる。データを提供する個人も、そのデータの利用のされかたにも意識を巡らせる必要がある。