デジタル・トランスフォーメーション後の社会がどうなるかに強い関心がある。
IPAが「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版」を発行という記事に刺激を受けて考え直してみた。
私にとって一番インパクトがあったのはエストニアの電子政府の取り組みだ。e-residentになってそのサービスを享受するようになって、政府は民のためにあるということを実現しようとしたらこうなるのか?という経験に驚かされている。何と言っても、個から考える考え方が革命的だ。
ウクライナ戦争で改めてプロパガンダの恐ろしさを感じている人は少なくないだろう。実際に越境避難している人が少なくないのは間違いないだろうし、ウクライナの人たちの多くがロシアより西側社会に魅力を感じているのも間違いないと思う。もちろん、同じ国の中にも様々な考え方を持っている人はいて、「みんな」という表現を使うのは適切ではない。アメリカから発せられる情報にも意図的な誘導があるものは含まれているだろうし、ウクライナ政府の発信も民による情報発信も単純に信じるわけにはいかない。至るところに隠されている事があり、本当に何が起きているかを知ることはできない。ただ、発信源が多ければその情報を比較分析することが可能になり、確からしさは高まると考えて良い。Fakeもあるから、事実の確認が重要で、事実の確認を妨げようとする情報源は腐敗の危機にさらされることになる。
日本のサイバーセキュリティ基本法では、
この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていることをいう。
とある。わかりにくい。えいやっと捨象すれば、情報の安全管理が機能し続けていることを「サイバーセキュリティ」と呼ぶということらしい。もっと捨象すると「開示情報が改ざんされないこと」と「内緒事を守れるようにすること」という理解で良いだろう。
この内緒事を守れるようにするというのが曲者だ。例えば、統計不正は公的なFake情報発信にほかならないのだが、処理プロセスにできなければ統計不正の存在を証明できない。一方で、個人が関わる粗情報は守られなければいけないから、プライバシーに関わる原子情報にアクセスできては困る。薬事の世界では、この問題に長い取り組みがあって、その結果一定の安全性が確保できるようになった。同時に、臨床試験の結果だけが開示されるだけではなく、第三者が検証可能な中間データも広く公開されるようになっている。緊急承認といった事態はともかく、嘘はやがてバレる。
情報開示に関しては、アメリカは優れた取り組みをしていて、一定期間がすぎると様々な機密文書が公開される仕組みになっていて何があったかが衆人の目にさらされる仕組みになっている。トランプ大統領が消し去ろうとしたものをゴミ箱から復元して保存されたものは少なくないと言われているし、一定の手順で与えられる権限を所有している人はその情報にアクセスできるようになっている。何が言いたいかと言うと、大きな方針として情報は(主権者に)開示されているのが(民主主義における)正しい姿というのが制度化されているということだ。議事録を残さなかったり不適切な隠蔽を行うのは犯罪なのである。あらっぽく言えば、機密保持期限が過ぎた文書は全て公開が原則で、政府は保存期限が過ぎたから廃棄しましたというのは無しで、管理主体が公文書保管組織に移るということになる。そんな事を許せば、安倍政権はもちろん自民党政権は持たないし、プーチンや習近平もひとたまりもない。「内緒事を守れるようにすること」は権力にとって都合が良いのだ。
一方で、安易な情報開示が民の不利益を生む危険がある。個人の住所やアレルギー情報などは保護されなければ安全問題に直結する。だから、行政に属する担当者であっても、必要な場合を除いてアクセスできてはいけない。民主主義を機能させるためには、スーパーパワーを許してはだめで、分散化された状況で目的に応じて協力して成果を出せるようにしなければいけない。
そういう観点で見ると、サイバーセキュリティ基本法はデジタル・トランスフォーメーションを害するものとなるだろう。国が管理するモデルになっているからだ。
「開示情報が改ざんされないこと」と「内緒事を守れるようにすること」は大事なことなのだが、開示情報が信頼性にたるものになるためのルール、本当に内緒にすべきことが何かを規定するルールがなければサーバーセキュリティ基本法から具体的なルールを導けず、恣意的な運用が可能になってしまう。
サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版(要事前アンケート回答)を読むと企業の取り組みがわかって興味深い。サイバーセキュリティ経営ガイドライン Ver 2.0はしごくまっとうなものだ。企業経営の観点から言えば、サイバーセキュリティリスクの把握が必要だから、全体方針の策定は避けられない。企業が保有する情報の価値とそのリスク(破壊力)を評価することになる。国でも、企業でも同じだが、情報の価値とそのリスクを(内部)関係者に知らせなければ、大事に扱ってもらえないが、知らせれば内部犯のリスクが拡大する。それを考えるとセキュリティ確保が一定レベルに達するまで脆弱さを開示できない。ここで、立ち止まってしまうと企業あるいは国の環境適応は進まなくなる。自らの弱さという事実に向かい合わないと進歩できないのだ。
クラウドサービスを利用していると、基本的に価格やサービスに関する個別交渉の余地がないことに気づく。グローバルなクラウドサービスで生き残るためには、立ち上がりの時期はともかく、スケール期にはサービスの価値が客観的に認められるようでなければいけない。アルゴリズムとして記載可能なルールで価格が決まるようにできなければ生き残ることはできない。変革を進めるための一時的なサービスを別にすれば、コストパフォーマンスで勝者が決まる。
例として高速道路建設を考えると、できあがった道路の輸送量とコスト(ルールに基づく価格の優位性)で勝敗が決まる。一方で、道路建設のためのプロフェッショナルサービス(一回だけのサービス)は保守プロセスを含めてなくならない。もちろん、プロフェッショナルサービスも競争があるからどれだけ汎用のサービス(あるいはソフトウェア等のツール)を使いこなして生産性を上げられるかが勝負になる。アルゴリズム化されたビジネスや行政は透明性が高く、守るべき情報も明確になる。プロフェッショナルサービスも汎用サービスをうまく使えば使うほど、透明性は高くなる。つまり、どうしても守るべきものは極小化され、防衛コストが低くなる。
いろいろと考えてみたら、日本の優れた頭脳が既得権益側に飼われていることで、新しく作り直して時代に対応しようとするのではなく、何とか既存秩序を維持しようとしてサイバーセキュリティ対策を進めようとするので、生産性、競争力を損なう方向に力が注がれていると思うようになった。戦後の日本もそうだったのだと思うが、ゼロから作り直す組織のほうが、時代適応性は高いのだろう。
一方で、アルゴリズム化できたサービスのスケーラビリティは大きいので、寡占が起きやすく貧富の拡大を生む。スタートアップの壁を下げる工夫と同時に再配分の機能をどう設計するかで国力が決まる時代が来ているのだろう。感染症や戦争はその変化を遅らせる効果も進ませる効果もあるだろう。だとしても、向かいつつある方向は見えてきているのではないだろうか。
デジタル時代の個人や組織の信用は、事実を「余すところ無く」どれだけ正確に開示しているかで評価される時代となると思う。まあ、新しい時代がすぐに来るわけではないが、私は行きつ戻りつはあっても良い方向に社会は進んでいると思っている。時代を進めることに貢献したいものだ。