はじめに
「データ主権」という言葉、一度は耳にしたことがある方もいるのではないでしょうか。
初めて聞いたという方も、言葉を見れば何となくの意味は想像できるかも知れません。
ただ、何となくは想像できるのですが、じゃあ具体的にどんなことなのかと言われると説明が難しい言葉だなと思います。
本エントリーでは出来るだけわかりやすく「データ主権」についてを説明しながら
「データ主権」に関して色々考えを巡らせてみようと思います。
データ主権とは
単純に「主権」という言葉で用いられる場合、それは国を統治する権力すなわち、以下を意味するそうです。
そもそも「主権」とは、「国を統治する権力」のことです。「国を統治する権力」と
いうのは、社会秩序を維持するために法律を定め(立法権)、定められた法律を執行し
(行政権)、法に基づいて争いごとを解決する(司法権)といった権力のことです。
(引用元) https://www.soumu.go.jp/main_content/000689710.pdf
これを元に「データ主権」を考えると自身が所有するデータを統治する権力を有すること、となりそうです。
『データを統治する権力』というのはどういうことなのかちょっとわかりにくいですね。
私は自分のデータを自分自身で管理し、データに対する操作なども制御できる権利状態、くらいの意味で捉えています。
これはあくまで個人で所有するデータの話で、国としてデータ主権を~と言った場合は、各国の法を踏まえながら自国のデータに対する権力を主張する必要があります。
でもよく考えてみてください。
「このデータは僕が主権をもっているんだよ」
と言うのは簡単ですが、それをどうやって証明するのでしょうか。
データ主権の確保の難しさ
ここにネットワークに繋がっていないパソコンがあったとします。
そのパソコン上で作成しローカルのディスクに保存した文書データは自分で管理することができる状態にある事は明らかです。
しかしインターネットが普及した今の時代では、パソコンは当然のようにインターネットを経由して様々なモノと繋がっています。
パソコンで保存したデータが意識しないうちにクラウドストレージに保存されていた、という経験が誰しもあるのではないでしょうか。でもそのクラウドストレージの実体がどこにあるのかを気にする方は少ないと思います。
もしかすると知らない間に海外のサーバにあなたのデータが保存されているかも知れません。
もしくは、使用しているクラウドストレージサービスから別のクラウドストレージサービスにコピーされているかも知れません。
自分のデータが保存されていて使いたいときに使える、という状態は当然維持されると思いますが、
そのデータ、本当に自分だけが管理している状態と言えるのでしょうか。クラウドストレージサービスの管理者があなたのデータに対してアクセスし、そのデータを自分のモノだと主張したらあなたの権利はどうなるのでしょうか。
ここに今の時代におけるデータ主権の確保の難しさがあります。
そして昨今、データ主権について議論され始めた理由もここにあると考えています。
データ主権を確保するために
データ主権を確保するという命題に対して色々なソリューション検討や取り組み行われています。
- ソブリンクラウド
クラウドサービス側でデータ主権を担保することを保証する考え方です。
このクラウドを利用することにより、ユーザは必然的にデータ主権を確保できることになります。
情報セキュリティーや法令順守(コンプライアンス)の担保に加え、
単一の国・地域内でのみ提供するなどして、他の国・地域の法令の影響を排除しデータ主権を担保した
クラウドサービスを指す。「主権クラウド」や「データ主権クラウド」などと訳される。
(引用元) https://active.nikkeibp.co.jp/atcl/act/19/00146/122200103/
- 「自己主権型アイデンティティ(SSI)」や「分散型アイデンティティ(DID)」
現在主流となっている中央でIDを管理するようなサービスを介さずとも、自分自身のIDの保管・制御を可能にする仕組みが「自己主権型アイデンティティ(SSI)」や「分散型アイデンティティ(DID)」です。ブロックチェーンなどの暗号応用技術が用いて実装されています。
この仕組みを使用することで、データ主権を事業者任せにすることなく、それぞれがデータに対する権利を主張できるようになることを想定しています。
- GAIA-X
GAIA-Xは、ドイツの連邦経済産業省が2019年10月に立ち上げた、欧州のクラウド/データ基盤構築プロジェクトで
セキュリティとデータ主権を保護しつつ、データ流通を支援するためのインフラ構想です。
GAIA-Xはプラットフォーマ―に対するアンチテーゼとして構想された。
欧州は基本的に、プラットフォーマ―がデータを独占するのは独占禁止法違反に相当し、
データ主権はデータの発生源にあるというGDPR(General Data Protection Regulation:一般データ保護規則)の考え方を踏襲している。
このため、GAIA-XはGAFAのようにデータとコンピュータ資源、アプリケーションを統合的に提供するのではなく、
3つの機能を一旦分解し、データについてはデータの発生源がデータ主権を保有しつつ保持、自律分散の連邦型の構造により企業間でデータ連携を図る仕組みである。
(引用元) https://www.nri.com/jp/knowledge/blog/lst/2022/iis/fujino/0727_1
ちなみにGAIA-Xの動向を受け日本でもデータ連携基盤の整備に向けた動きが活発化しています。
まとめ
執筆時点(2023年9月)では、データ主権を確保するために色々な取り組みが行われ試行錯誤されている状況だと私は認識しています。
また、どのような状態であればデータ主権を確保されていると言えるのかについてもそれぞれの解釈や求める主権レベル次第なのではと考えています。
データ主権が完全に確保された先には、こうやって書いている記事にも主権が伴い、引用する場合なども主権者の承認を得る必要があるなど厳格にデータの権利が管理された世の中になるかも知れません。
なのでデータ主権は生活が便利になるような類のものではなく、個人や法人が発生源となるデータについて、本来守られるべき権利を確実に守ることができるものという認識の方が正しいと私は理解しています。