生成AIの普及により社内データの活用が加速する中、企業が保有するデータの管理と活用の両立、すなわちデータガバナンスの確立がセキュリティ上の重要課題として浮上している。本稿では、2025年にデジタル庁とIPAから公開されたデータガバナンス関連文書を読み解き、データセキュリティの必要性を整理する。また、データの可視化を実現する手段として活用が進む DSPM(Data Security Posture Management)の概要についても示す。
データガバナンスとは、「データを適切に取り扱い、その信頼性を確保する仕組み」を指す。生成AIの活用が国内企業にも本格的に広がる中、自社データを用いたRAG(Retrieval-Augmented Generation)システムなど、社内向けAIサービスの構築が急速に進んでいる。また、今後は、AIエージェントの導入が進み、AIが自律的に社内データへアクセスし、業務を処理する場面も増えていくことが予想される。こうした取り組みを、「どのデータが、どこに存在し、どの主体がアクセスできるか」というデータガバナンスが未整備なまま推進すれば、想定外のデータが外部に露出する、あるいは過剰な権限を付与されたAIがデータにアクセスできるといったセキュリティリスクが生じる。つまり、データガバナンスの整備は、データセキュリティを確保するうえでも喫緊の課題となっている。
2025年にはデジタル庁とIPA(情報処理推進機構)が、相次いでデータガバナンスに関する文書を公開した。このうち、デジタル庁の文書は経営者を主な対象としており、データガバナンスが経営レベルで取り組むべき課題であることを示している。また、これらの文書では、異なる観点から「セキュリティ」への言及がみられる点も特筆すべきである。以下に、それぞれの文書の概要と、セキュリティに関連する記述を示す。
●デジタル庁:『データガバナンス・ガイドライン』(2025年6月公開)
同ガイドラインでは、国内企業がDXに取り組む際に、自社が保有するデータを最大限に活用するためのデータガバナンスの必要性や、その在り方、実践に向けた要点および留意事項が整理されている。さらに、データガバナンスの実装に向けた4つの柱として、「データ品質」「データセキュリティ」「データ利活用」「組織・体制」が示され、「データセキュリティ」に関しては以下のように記載されている。
基本となる考え方:システム中心からデータ中心へ発想を転換し、制度・技術・人材を組み合わせてデータの権利を保護する。
経営者が認識しておくべきこと:ライフサイクルに応じた品質精査を指示し、適切な対策を講じることで顧客や取引先からの信頼を担保する。
●IPA:『信頼できるパートナーになるためのデータガバナンス読本』(2025年1月公開)
同資料は、企業における効率的なデータ活用を促進することを目的として公開されたものであり、『経営者のためのデータ経営読本』や『データを軸にした司令塔CDO読本』などと併せて提供されている。掲載コンテンツとして、データの価値を最大化しリスクを最小化するためのデータガバナンスの取り組みステップや、必要な体制・人材が整理されている。また、自社のデータガバナンスが確立された場合の効果と、不足した場合に生じ得る損失の観点も示されている。そのひとつとして「セキュリティとプライバシー保護」があげられており、以下のように記載されている。
「確立すべきガバナンスの要素:機密情報や個人データを適切に守り、不正アクセスや情報漏洩から企業と顧客を保護する仕組み。法的リスク低減にも寄与
データガバナンスの効果:統制の効いたセキュリティ体制で、外部攻撃や内部不正を防ぎ、企業ブランドや顧客信頼を長期的に維持できる
データガバナンスが不足すると?:脆弱な管理体制だとサイバー攻撃や情報流出等のリスクが増加し、高額な賠償や社会的信用の失墜といった甚大な被害を招く」