クラウドサービスの導入にあたる議論の中に「情報主権」の諸問題がある。

つまり「そのデータは誰のものか」という争点だ。
当然、クラウドサービスの場合日々の企業活動で溜まるビッグデータはクラウドベンダーが開発、運用するデータ基盤の中に蓄積されることになる。

では、このデータはユーザー企業、つまりこのサービスを利用する会社の所有物だろうか、あるいはクラウドベンダーの所有物だろうか。

答えはYesでありNoである。内部統制の効いた企業がクラウドベンダーと取引をする際、私はこの点をまずリーガリーに、つまり法的視点から整理するよう助言する。

さらに事を複雑にするのは、この答えは単にYes or Noではなくその間の判断基準がグレースケールに存在している点である。

例えば「当該データの所有権は、原則としてはユーザー企業だが、当該データの個別の企業名や顧客名が絶対に特定できないような統計処理をしたデータはクラウドベンダーの所有物だ」というクラウドベンダー側の理解もその1つである。
クラウドサービスの多くの約款にはこのように設計されている。

当然、クラウドベンダー側はこういったビッグデータを所有し、それを分析することで当該サービスをより良いものにバージョンアップしていく。

だからこそ私たちが「Fit To  Standard」を推奨できる環境を提供してくれているとも言える。

しかし、一方でその統計処理されたユーザー企業の顧客情報を、第三者に販売することがクラウドベンダーのビジネスになっていることもある。

この行為により同サービスのユーザーが当該サービスを安く使えている可能性もある。

ここで重要になるのが「情報主権」である。
統計処理されようが当該データのそもそもの所有権がユーザーにあることは事実である。
事実であるからそのデータの利用許諾をクラウドベンダーは求めてくる。個人情報保護法におけるプライバシーマークの運用などもそうだが、顧客の情報の主権はどこまでも顧客にあり、顧客がその情報の削除を求めた場合いつでも事業者はそれに応じなければならない。

企業情報の「情報主権」は戦略そのものである。パブリッククラウドを呼ばれるAzure、AWS、GCPなど、どのクラウド基盤を選ぶかの判断基準にユーザーが持っているデータを「どこに預けるか」という視点が重要になる。AWSのケースは分かり易く、同時にAmazon側で小売ビジネスを行っている。AWSに乗ってくる小売事業者のデータについて「全く興味がない」ということはないだろう。

日本における個人情報保護法の議論や、欧州におけるGDPRのときの議論は、企業が扱う顧客の個人情報及びその情報主権の問題にフォーカスが当たったが、同様に企業情報の情報主権についても無頓着ではならない時代に突入している。

したがって、事業会社のDXプロセスにおけるITグランドデザインで、クラウド利用の大方針を「情報主権」の観点からロジカルシンキングすることは極めて重要な作業になるのである。

ガーディアン・アドバイザーズ株式会社　パートナー

立教大学大学院　特任准教授

高柳寛樹

----

弊社支援の事例をまとめた資料については弊社のIT前提経営®︎アドバイザリーページよりダウンロード頂けます。
高柳の著書はこちらよりご参照ください。

「IT前提経営」が組織を変える デジタルネイティブと共に働く（近代科学社digital）2020

まったく新しい働き方の実践:「IT前提経営」による「地方創生」（ハーベスト社）2017

----