最初にサイバーセキュリティ分野に精通している白濱さんにお聞きします。デジタル社会において、「サイバー攻撃」や「データ漏洩」といった言葉を日常的に耳にするようになりました。企業がセキュリティ対策を検討するうえで、注意しなければならないことは何でしょうか。

セキュリティ対策を行う目的を明確にする必要があると考えています。セキュリティ対策は、事業を継続・発展させるために守らなければならないものを明確にし、対応方針を考えることが重要です。例えば、個人情報を多く扱っている会社であれば、漏洩による実害は漏洩した企業にとどまらず本人や家族など多岐にわたることが想像できます。セキュリティ対策のツールとして何の製品を入れているかではなく、守るべき情報がどのような状態か、脅威を洗い出し対策を検討する体制ができているかが大事だと考えています。

セキュリティ対策は企業活動を成立させるうえで、目を背けてはいけないポイントですね。続いて、サイバーDDの概要についても教えてください。

サイバーDDとは、M＆Aの際に買収などの対象となる企業について、サイバーセキュリティの対策状況を調査することです。具体的には、サイバーセキュリティに関する社内ルールや講じられている技術的な対策、インシデント対応体制などについて調査を行います。DTFAではこれまでも、ITDDの中の1項目としてサイバーセキュリティ対策の調査を行っていましたが、数年前からサイバーセキュリティに関するより詳細な調査を依頼されるケースが増えています。

続いて、データ分析に知見が深い矢野さんにお聞きします。“データの利活用”という文脈で、企業が抱える課題は何だと感じますか。

端的に、“データをうまく活用できていない”あるいは“データを適切に分析できていない”という課題があると考えます。確かに、昨今は蓄積してきたデータを活用するビジネスは増えてきています。しかし、データの価値判断や、ビジネスへの活用可否を判断するスキームが確立されていないケースも少なくありません。これらの課題はM＆Aにもあてはまります。

M＆Aでデータを適切に分析できないと、例えばどのような影響があるのでしょうか。

最近では他社データに目を付け、テックジャイアントはもちろん、様々な事業会社が、データ取得を目的としたであろうM＆Aを実行しています。しかし、データは掛け合わせればシナジー効果が出る、という単純なものではありません。M＆A時にデータを適切に把握できていなければ、対象企業が有している具体的なデータや分析方法の実態を把握できず、企業買収によるシナジーや将来性、リスクなどを適切に把握できなくなってしまいます。

そのほか、“データの利活用”という文脈で、企業が抱える課題はありますか。

データ分析に係るテクニカルな観点のほか、個人情報保護を始めとする法務的な観点でも課題に直面する場合がありますね。

データの利活用については、戦略的に取り組まなければ、せっかく蓄積してきたデータも宝の持ち腐れになりかねません。こうした課題意識から、DTFAではデータDDのサービスを開始しました。データDDとは、主にデータ資産・データビジネスのオペレーション・法務的各種整備状況の3領域を中心に行われる調査のことです。

例えば、とある商社が高い成長性の見込める海外市場に参入しようと、新興国でデータドリブンなビジネスを展開する企業買収を模索したとします。しかし、買収側の商社が、必ずしも対象企業の業界に明るいわけではありません。このとき、DTFAでは対象企業が有するデータ資産の活用可能性および収益性に関する第三者観点でのアドバイザリーや、法務観点でのリスク調査などを行っています。これがデータDDの概要になります。

矢野さんより“法務”というキーワードが出てきました。そこで、プライバシー性の高いデータを用いたビジネスを法的な観点より支援している石川さんにお聞きします。法務的な観点から、データの利活用を進めるにあたって、企業が注意すべき点は何でしょうか。

データを取り扱ううえで重要なのが“誰が権利者か”という点です。データオーナーの問題ともいわれますね。データは物理的な“物”ではないので、“データが誰のものなのか”が見えづらいのですよね。そのため、契約によって権利者を明確に定めておく必要があります。

“個人情報の取り扱い”にも注意が必要ですよね。

仰る通りです。例えば、個人情報を取得する際には、利用目的を明示する必要があります。明示内容について、ひと昔前までは、割と大まかで漠然として、キャッチオール条項でカバーするケースが見受けられましたが、現在それでは不十分です。また日本企業の海外進出加速化やインバウンド需要で、より一層、日本の個人情報が海外に出るケース、海外の個人情報が日本に入るケースが増えています。この場合には、「EU一般データ保護規則（GDPR）」「カリフォルニア州消費者プライバシー法（CCPA）」を含む、海外の法令にも対応しなければなりません

特に個人情報については、漏洩に気を付けなければなりません。個人情報を含むデータは目に見えないために、知らぬ間に流出している可能性もあります。さらに買収先または投資先の企業が、ずさんなデータ管理体制のために、個人情報漏洩を起こしてしまえば、企業価値の毀損にもつながってしまいます。そういった意味で、買収先または投資先の企業の情報セキュリティリスクをサイバーDDで可視化することは非常に重要だと感じました。

サイバーDDが調査対象とするサイバーセキュリティ項目について、企業の買収時あるいは投資時における企業価値算定へのインパクトは、どれほどあるのでしょうか。

日本でサイバーDDの結果がM＆Aの意思決定に影響を与えたケースはまだ聞いたことはないですが、海外では、買収した企業が個人情報漏洩をしていたことが買収後に判明し、買収側の企業が「買収時のDDが不十分」という指摘を受け、莫大な制裁金が科せられた事例があります。この事例からもサイバーDDの重要性は大きいと考えます。

個人情報の漏洩であれば損害賠償もありえますし企業価値へのインパクトも大きいですが、レピュテーション（評判）へのインパクトも大きいのかもしれませんね。

そうですね。サイバー攻撃の被害にあう企業は増える一方で、世間の見方は変わってきています。これまではサイバー攻撃の被害にあった企業＝被害者という認識がありましたが、最近ではセキュリティ対策が不十分であった企業側に責任があるという認識です。可視化が難しい領域ですが、潜在しているリスクは大きいということを理解し、DDで可視化し、買収後の対応方針を検討する必要があると考えています。

確かに、情報漏洩をしてしまった企業＝情報を守れなかった企業として、少なくとも良い印象を持たない人がほとんどでしょうね。

重要度の高いサイバーDDですが、白濱さんが実際の業務で感じた課題は何でしょうか。コストとの兼ね合いで、“どこまでセキュリティ対策を講じれば良いのか”と悩むケースも多いのではないでしょうか。

そうですね、「どこまで」はよく相談を受けますが、上を見たらきりがないというのも正直なところで、永遠の課題ですね。まずはリスク評価をしっかりしていただいて、何が必要なのかを洗い出すことが重要です。最後は経営判断ということになるので、経営者への啓蒙というところにも力を入れていきたいと考えています。

あとは、ルールや体制は整備しているが、運用が適切に行われていないという企業が多いですね。ルール1つひとつに、それぞれ対応したリスクがあるので、それぞれの目的を理解し運用することがセキュリティ対策レベルの向上に必要だと考えます。

データDDにおいても、データを取り扱える人間がどれほど企業内にいて、どのような運用がされているのかは、調査時のポイントになります。

一方で、データビジネスを支援する石川さんから見て、ガイドラインを含む各種規制への企業側の理解度については、どのようにお感じになりますか。

企業側の理解は必ずしも十分ではないと感じています。個人情報保護法は数年おきに改正され、次々と関連法やガイドラインが施行・改訂されています。また法令のみならず、第三者データを利用している場合には、該当規約の条件を個別具体的に確認しなければならず、多面的な検討が必要です。漠然と必要以上に保守的に検討してしまう企業も一定数いらっしゃいますね。

急速な変化が起きているデジタルの領域で、体制を整備するだけでも大変ということが理解できました。M＆Aや投資は企業にとって大きな決断です。買収先、投資先の整備状況を調査することは大変重要だということがわかりましたが、具体的にサイバーDD、データDDではどのようなことを調査するのでしょうか。

サイバーDDで調査する項目は多岐にわたります。対象とする範囲や深度は都度調整しますが、DDでは時間的制約などもあるため、リスクが高いと思われるところにフォーカスして実施することが多いです。

データDDでは先述したように、データ資産、オペレーション、法的整備状況の3つの領域での調査を行います。データ資産の調査項目はさらに3つに分けられ、データの種類、構造といったデータ内容、網羅性、欠損値といったデータ品質、研究論文、特許出願状況といったデータの成果物となります。同様に、オペレーションや法的整備状況もさらに細かい調査項目に分けられます。このようにデータに関する様々な論点を分析者観点と法務の観点から調査し、M＆Aをデータ観点からシナジーや将来性、リスクなどの調査・分析を行うというものがデータDDのサービス内容となります。

個人情報保護法の観点からいえば、買収対象が保有する個人データについて、自社が利用したい目的について本人同意を取得していなければ当該目的で利用できないですし、適切な安全管理措置が取られていない場合、漏洩リスクもあります。法律上クリアできたとしても、契約によって使用の範囲が限定されているケースもあります。そういった点をデータDDでは緻密に分析します。

本対談のキーワード、「サイバーDD」と「データDD」に関しては、3人が専門とするサイバーセキュリティ、データ分析、法務の総合力が試される領域だと思います。最後にそれぞれ今後の方向性・展望についてお聞かせください。

データの利活用は、データ分析に長けた人間が1人いればできる話ではありません。データ分析のノウハウのほか、サイバーセキュリティの知見や法的な視点も求められます。その意味で、各分野のプロフェッショナルが集まるDTFAができることは、たくさんあるのではないかと考えます。

また、データDDはDTFAが2022年に開発した新サービスです。DDというと、“守り”のイメージがある言葉かもしれませんが、言葉のイメージにとらわれず、広くデータ活用のコンサルティング・アドバイザリーを行い、データDD市場を切り開いていきたいと考えます。

企業が抱えている課題に、“データを利活用したい部署、データ分析を行う部署、法務部・知財部それぞれの距離が遠い”という点が挙げられます。引き続き、当社が持つ専門的な知見を活用しながら、データを利活用する経営企画部やサイバーセキュリティを担当する情報セキュリティ・IT部門、法務機能を担う法務部・知財部へ多面的にアプローチし協働しながら、支援をしていきたいと思います。

形式的なセキュリティ対策から一歩進めて、ビジネスの内容に応じたセキュリティ対策、運用を支援していきたいと考えています。システムを利用する人がセキュリティリスクを意識せず活用できる環境がビジネス上重要です。引き続き、システムを安全に利用できる仕組みに加え、保有するデータの活用法まで、データ取り扱いに関するあらゆる価値を提供していきたいですね。

サイバーセキュリティやデータのビジネス利活用の世界は日進月歩の世界であること、加えて、データは目に見えないものだからこそ、その取り扱いについては多方面から検討しなければならないことを改めて感じました。DTFAとして今後もクライアントの皆様が安心してビジネス活動を展開できるよう支援していければと思います。