今後は“認知的脆弱性”を突いたサイバー攻撃が激化、我々のすべき対策は？2030年に向けた6つの変化

「セキュリティはやらなければいけない義務」という意識から脱却せよ

　第3の変化は「対象が広がった、より立体的なデータセキュリティが求められるように」。従来は主に個人情報が焦点だったが、今後は「産業データ」の保全も不可欠になるという。また、「子ども」に関する個人情報の保護意識も一層高まっている。

　産業データには、軍事や重要インフラに関わる情報、営業秘密や限定提供データといった企業競争力に直結するものが含まれる。政府のデジタル行財政改革会議では、医療・金融分野などにおけるデータ利活用の議論が進んでいる。

　一方、子どもの情報保護については、米国や欧州ではすでに厳格な法制度が整っている。米連邦取引委員会（FTC）は、保護者の同意を得ずに子どもの個人情報を収集したゲーム会社に対し、5億2000万ドルの制裁金を科した^[3]。日本でも個人情報保護法の定期見直しを機に、子どもに特化した保護のあり方が議論されている。

　「このような背景から、企業は自社が扱うデータの全体像を的確に把握し、保護すべき対象を再定義する必要がある」と木村氏。関連する規制動向を整理し、優先順位をつけてデータ分類やリスク評価を実施すること、特に重要なデータには高度な技術的対策や頻度の高い監査の実施が求められる。

　そして、こうしたセキュリティ強化の流れは単にリスク回避の手段ではなく、イノベーションの土台として再定義されつつある。第4の変化は「セキュリティは、イノベーションの加速に不可欠な『ガードレール』に」だ。

　「セキュリティというと、どうしても“やらなければならない”という義務的な印象が強いですが、その意識は変えていかなければいけません。たとえば、車がスピードを出して走るには、万が一のためのガードレールが必要です。この例と同じように、イノベーションを加速させるためにセキュリティを前向きに捉えていくべきです」（木村氏）

　このような見方の変化にともない、セキュリティ対応のアプローチも変化している。従来のチェックリスト的なベースラインアプローチから、現在は各事業者が自ら工夫できるリスクベースアプローチへの移行が進んでいるのだという。

　とりわけAI分野ではこの動きが顕著であり、AI戦略会議や制度研究会でも「イノベーションの促進とリスクへの対応を両立」させる重要性が強調されている。2025年2月の閣議決定で示された「AI法案」にもその方向性が明記された^[4]。

　こうした変化に備えるには、既存のチェックリスト対応に加えて、事業やステークホルダーへの影響を踏まえたリスクベース対応へのロードマップを描き、脅威やリスクを分析しながら段階的に移行を進めることが重要だ。