ナレッジ
多業種連携によるデータ利活用の留意点
Financial Advisory Topics 第18回
複数の団体・企業が業種を超えてデータを共有することにより、業務改善やイノベーション創出を行う取り組みが増えています。データを使って共同事業を始めるというよりも、自社のサービス向上が目的として強いことが特徴です。本稿では、データ利活用の勘所として、多業種が連携したデータ利活用の事例を交えながらデータを共同利用する際の留意点を説明します。
I. はじめに
近年、IoTやビッグデータ分析などのデジタル技術が急速に発展している。また、コロナ禍を契機としたオンラインでの消費行動増加もあり、生活・経済活動が急激に変化したことにより、世の中のデータ量が爆発的に増えている。
そのような背景から、日本政府は2022年6月、「経済財政運営と改革の基本方針2022」*1 を閣議決定し、デジタルトランスフォーメーション(DX)を重点投資分野とした。ビッグデータ分析などのテクノロジーマップの整備、医療などに係るデータプラットフォームの早期整備などが明記されており、データ利活用の重要性が謳われている。
II. データ利活用の動向
各団体・企業がDXを進めている中、最近目立つようになったのは、複数の団体・企業が業種の垣根を越えて、保有するデータを組み合わせることによってデータの価値を向上させ、その利活用を推進しようという取り組みである。
経済産業省がまとめたデータ利活用の事例集*2 では、自社保有データの第三者提供サービスやデータ流通を目的としたプラットフォーム構築などが紹介されている。例えば地図データベースの事例では、地図情報を顧客に提供して、その顧客が自ら保有する業務情報のビッグデータと地図情報に含まれる位置情報を連携させることで業務プロセス改善や新規サービス創出を実現している。また、船舶の運航データなどを集約させたデータセンターの事例では、コンソーシアムが組成され、共有データベースに登録した様々なデータを、参画する企業が船舶の効率的なメンテナンスなどに活用している。データ提供のインセンティブ設計と利益還元の仕組みがポイントであるとされている。
多業種連携によるデータ利活用の事例(図表1)は年々増えており、数百社の規模で提携しているものもある。自社でデータを囲い込むのではなく、オープンにし、互いのデータや知見を得たいという思惑が伺える。
III. データ取り扱いに関するリスク
無体物であるデータは、視覚的に捉えることが困難であること、インターネット上でのやり取りが容易であることなどから、無断持ち出し、漏洩、毀損などのリスクを内包している。行政処分や刑事処分、損害賠償請求などにつながり得るため、法令が求める対処を適切に取っておくことが最低限必要である。ここでは、リスクが顕在化した直近の実例として尼崎市USBメモリー紛失事案*3,4 を紹介する。
この事案は、2022年6月、尼崎市の臨時特別給付金対応業務において、「再々委託先」にあたるB社の従業員が、市民全員分(約46万人分)の個人データが記録されたUSBメモリーを市内の作業場から持ち出して別の作業場で業務に従事したうえ、当該USBメモリーをカバンに入れたまま会社関係の会食に参加し、帰宅途中にカバンごと紛失したというものである。USBメモリーは2日後には発見され、個人データの外部流出は確認されなかった。
尼崎市は業務委託契約において無断での再委託や再々委託の禁止を明記していたが、市の委託先であるA社は無断でB社に再々委託していた。市の調査報告書は、契約にあたり委託、再委託、再々委託などの業務体制や、委託先の安全管理措置を必須の確認事項と指摘している。また、安全管理措置は①組織的②人的③物理的④技術的の観点から整備しておく必要があるとされているが*5 、尼崎市の事案では、市やA社によるセキュリティ監査が行われていなかったこと(組織的)、USBメモリーを所持して会社関係の飲み会に参加したこと(人的)、市のサーバルームへの入退室管理が不十分だったこと(物理的)などが問題視された。
IV. 多業種連携における留意点
委託元、委託先、再委託先の関係を「縦の関係」とすると、多業種連携はデータを取り扱う複数の団体・企業の「横の関係」である。「横の関係」では、「縦の関係」に比べて当事者が多数となり、その分漏洩などのリスクが高まる可能性がある。そこで、どの団体・企業の名義でデータを取得し、当該データをどこに保管し、いずれの団体・企業の範囲までが当該データにアクセスできるのかなど、権利と責任の所在を明確にする必要がある。また、データが個人情報の場合は、委託関係においては「本人」の同意が不要であるものの、横へのデータ展開は第三者提供または共同利用に該当することになるため、同意取得などの手続きは必須である。そのうえで、各当事者がさらに情報処理を委託する場合に備えて、各当事者における「縦の関係」を含む体制全体を確認し、責任範囲を明確にしておくことが肝要である。
これらに加えて、多業種連携特有の留意点として、自社のデータを持ち寄る場合の取り決め、多業種連携としての利用目的とは別に各当事者固有のデータ利用目的の明確化、派生データ(成果物)の権利帰属の調整がある。また各当事者に適用される業法が異なる場合があるため、データや成果物の取り扱いについて各当事者の社内ポリシーや規程と調整する必要があり、各当事者内において企画部門や事業部門と法務部門の調整も不可欠である。利害調整を迅速に進められるよう、コンフリクトマネジメントを適切に行うことが、多業種連携のデータビジネスにおける成功の秘訣である。
V. おわりに
当社の支援事例としては、ヘルスケア領域やスマートシティ領域における多業種連携が多い。特にヘルスケア領域では、医療、製薬、保険、ウェアラブル機器、クラウドサービスなど多岐にわたる団体・企業が参画しており、ヘルスケアデータを活用した商品やサービスの開発を検討する業種は増えていく傾向にある。またマイナンバーの普及により、地方自治体がデータ連携による地方創生を目指すという事例も増えている。いずれの支援事例においても、どのようなデータを利活用すれば良いか手探りの状態からサポートに入り、当社法務戦略チームが、データの種類に基づく法規制や連携を進めていくうえでの法的課題を整理し、ビジネス上のコンフリクトマネジメントを通して、業種の垣根を超えた連携を支援してきた。今後も、幅広い事業領域において、多業種連携によるデータ利活用の取り組みや支援に力を入れたいと考えている。
*1 経済財政運営と改革の基本方針 2022(2022_basicpolicies_ja.pdf (cao.go.jp))
*2 経済産業省「データ利活用の事例集」(PowerPoint Presentation (meti.go.jp))
*3 尼崎市「個人情報を含むUSBメモリーの紛失事案について」(個人情報を含むUSBメモリーの紛失事案について|尼崎市公式ホームページ (city.amagasaki.hyogo.jp))
*4 尼崎市 USB メモリ―紛失事案調査委員会「尼崎市 USB メモリ―紛失事案に関する調査報告書」(houkokusyo.pdf (city.amagasaki.hyogo.jp))
*5 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報の保護に関する法律についてのガイドライン(通則編) |個人情報保護委員会 (ppc.go.jp))
※本文中の意見や見解に関わる部分は私見であることをお断りする。
執筆者
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
Strategy
法務戦略チーム
シニアアナリスト 田中 挙
(2023.2.8)
※上記の社名・役職・内容等は、掲載日時点のものとなります。