“真”のデータ主権には何が必要か、「データセキュリティ」で重要なことを把握できているか？

なぜ「データ主権」が必要とされているのか

　近年、世界的に注目されているデータ主権（Data Sovereignty／データ・ソブランティ）。各データは生成・収集された国や地域の法律、規制、ガバナンスの対象になるという原則・概念のことだ。注目が集まる背景には、あらゆる産業でDXが進み、データがビジネス成長や競争力維持に不可欠な経営資源となったことが挙げられる。

　また、AIやIoTなどの技術進化により生成・活用されるデータ量が爆発的に増加し、膨大なデータが持つ経済的価値・戦略的価値が飛躍的に高まっていることも背景として挙げられる。結果として、「データは誰のものか」「データはどこで管理されるべきか」という問いに対し、明確に答えられることが必要とされつつある。

　クラウドの普及も、データ主権が注目される理由の一つだ。多くの組織がAWSやAzure、Google Cloudなど、国外にデータセンターを持つクラウドプラットフォームを採用し、アプリケーションやデータを運用・管理している。すると、物理的にデータが国外に置かれることがあり、その際、そのデータが他国の法律の影響を受ける可能性がある。それが、地政学的なリスクとなる懸念があるのだ。

なぜThalesがこのニーズに対し名乗りを上げるのか？

　フランスに本社を置くThales（タレス）は、このデータ主権を確保するソリューションを提供している。同社は防衛・航空宇宙からデジタルアイデンティティ、セキュリティに至るまで、幅広い事業を展開するコングロマリットだ。「多様なソリューションで、社会基盤となる重要なシステムの安全・安心を支えている」と、同社の日本法人でサイバーセキュリティ＆デジタルアイデンティティ サイバーセキュリティプロダクト事業本部 本部長を務める兼子晃氏は語る。

　Thalesの売上構成は2024年時点で、軍関連が53％、航空や衛星などのエアロスペースが27％、サイバーセキュリティ関連が20％となっている。2021年に鉄道の信号システム事業を日立に売却すると発表し、売却で得た資金を防衛やサイバーセキュリティの領域に投資している。「防衛において重要なのは、“守る”こと」だと兼子氏。データを守りデータ主権を確保することは、国家を守ること、すなわち国防につながると話す。タレスは現在、そこに大きな需要があると考え事業戦略を進めているところだという。

　同社はサイバーセキュリティ領域の強化の一環として、2023年12月にImpervaを買収。これにより、アプリケーションセキュリティとデータセキュリティの分野で製品ポートフォリオを強化した。Impervaは、WAF（Web Application Firewall）が市場で評価されているほか、データセキュリティ技術に強みを持つプロバイダーだ。データベースへの不正アクセスの監視・防御、さらには機密データの検出や、データへのアクセスパターンなどを分析してリスクを検知するといった機能も提供している。

　「こうしたImpervaの技術が加わったことにより、WAFはもちろん、アクセス管理やモニタリング、コンプライアンス確保などに係る技術をThalesが有することになった」と兼子氏は述べる。そしてタレスには、防衛の世界で長年培ってきたレーダー、ソナーなどのほか、こうした空間を飛び交う技術を活用し様々なデータを集め、可視化してコントロールできる技術があるという。これらを掛け合わせた広範なセキュリティポートフォリオで、強力なセキュリティ基盤を提供できるとのことだ。

　データをコントロールすることがデータ主権へとつながり、ひいては国を守ることにつながる。とはいえ、この分野において日本は遅れていると兼子氏は指摘する。すでにEUでは、データ主権に関連する法規として“GDPR（General Data Protection Regulation）”というものが存在する。そして当然、同地域で活動する組織はこれに対応するための施策を展開している。地政学的なリスクを重視する米国でも同様に対策が進んでいるとのことだ。

　一方、日本の場合は法規制の面が甘い。データを守れなかったときの罰則が厳しくなく、罰金や制裁金などの金額もEUと比べて大きくない。結果的に、企業がデータ主権を確保するための投資にそれほど緊急性を感じていないというのが現状だ。ただし、国からは徐々にデータを守ることの重要性が説かれるようになってきており、「データ主権の波が日本にも到来しつつある」と兼子氏は語る。