東京大学法学部卒業（学士（法学））。東京大学法学部助手、東京都立大学法学部助教授、一橋大学大学院法学研究科准教授を経て、2010年4月より東京大学大学院法学政治学研究科准教授、2013年10月より同教授（現職）、2024年4月より東京大学法科大学院長。国立情報学研究所客員教授。

■　この章の問題意識　■

　デジタル技術の進化や普及に伴い、データという無形資産（intangible asset）が中心となって社会経済システムの課題を解決するデータ駆動社会が本格的に到来する。しかも、デジタル技術は既存の産業領域の壁を取り払って融合させることに加え、国境が存在しないサイバー空間のルールは国際的な議論を必要とする。リアル空間とサイバー空間の一体化が進む中、既存のルールと新しいルールとの間の相克も浮き彫りになってくる。さらに、関係するステークホルダーをこうした議論にどのように関与させ、技術の進化に適合したルールづくりを遅れることなく進めていけるかということも重要になってくる。
　このように、データ駆動社会においてはデジタル技術をいかに制御していくのかというルールや体制を整備するデジタルガバナンスのあり方が問われるようになる。特に、データガバナンス、AIガバナンス、セキュリティガバナンスという３つの領域におけるガバナンスのあり方は相互に関連しており、総合的で体系的なガバナンス論を展開していく必要がある。

聞き手＝谷脇 康彦　デジタル政策フォーラム 代表幹事

デジタルイノベーションのための「アジャイル・ガバナンス・モデル」

谷脇　2023年10月に「インターネット・ガバナンス・フォーラム京都2023（IGF京都2023）」[1]が開催されました。このフォーラムは、国際連合が主催する形で、インターネットに関する様々な課題について、政府、企業、アカデミア、市民団体などの多様な関係者、いわゆるマルチステークホルダーが集まり、対等な立場で対話を行いました。
　今回私が注目したのは、国連事務局が用意した論点ペーパーに“From Internet Governance to Digital Governance”というサブテーマが設定されていたことです。これは、単にインターネットコミュニティが扱うべき領域が広がっているというだけでなく、デジタル技術を人類は制御できるのか、いかにガバナンスするのかということが問われているのだと思います。
　また、サイバー空間には国境がありませんので、グローバル連携をどうするのかということも考えなければいけません。過度な規制をかければ技術革新を損ないますし、過小な規制ではルールの有効性を損ないます。適切な規制水準をどう設定すべきか、言い換えれば、効果的で実効性があるデジタルガバナンスを実現するためには何が必要でしょうか。

宍戸 常寿　東京大学大学院 法学政治学研究科 教授

宍戸　経済産業省の「Society5.0における新しいガバナンスモデル検討会」[2]で副座長を務め、座長の柳川範之先生（東京大学大学院経済学研究科 教授）や委員の皆さんと、この問題について議論を重ねてきました。ガバナンスとは「ステークホルダーに共有された一定のゴールを達成するための仕組み（技術・制度・組織等）の設計・運用」であると定義し、サイバー・フィジカルシステムを通じて幸福や自由を実現するSociety5.0においては「イノベーションのための、イノベーションに対する、イノベーションによるガバナンス」が必要であるとしました。
　そして、既存の法律、市場、民主的システムの在り方を大胆に見直す方法論として、①主体：マルチステークホルダー、②手順：アジャイル、③構造：マルチレイヤ―という3つの特徴を備えた「アジャイル・ガバナンス・モデル」を提唱しました[3]。簡単に言えば、PDCAサイクル（Plan, Do, Check, Act）を回す、しかもかなり速くということです。
　もう一つのポイントとして、フィジカルとサイバーが結合した新しいデジタル空間では、リスク管理やコンプライアンス対応をこれまで以上にしっかりやらなければなりません。経済安全保障、戦争、災害、製造者責任、個人情報・プライバシー、人権など、これまでも多くのリスクがありましたが、その複雑性が大幅に高まるからです。一律の基準では解決できないので、一つひとつ、膨大な労力をかけて調整していかなければなりません。デジタルガバナンスは、それに対応できるものでなければなりません。
　アジャイル・ガバナンスの検討では、PDCAをただ回すのではなく、「ゴール設定」と「環境・リスク分析」という外側のサイクルも常に見直すべきという二重ループの概念を示しました。

　そして、企業はルールの遵守者から設計者へ、政府はルールの設計者からファシリテーターへ、コミュニティ・個人は消極的な受益者から積極的な参加者へ、というように、それぞれ新しい役割を担いながらガバナンスの一翼を担っていくという絵を描いたのです。
　デジタルガバナンスも、ステークホルダーそれぞれが主体となってガバナンスするレイヤーと、それらを社会全体としてガバナンスするレイヤーの少なくとも2層があるのだと思います。言わば、「ガバナンスのガバナンス」という考え方です。デジタルによって可能になることや良くなることがある一方で、迷惑を被ってしまう人たちや、ある所での失敗や誰かのミスが社会全体に破壊的な影響をもたらしてしまうということも起こり得ます。局所的なガバナンスだけでは足りないし、全体を一律に規律するガバナンスも難しい。多層構造のガバナンスへの進化が求められるのです。

谷脇　なるほど。例えば、電気通信事業法の第一条（目的）には、「電気通信の健全な発達」を図り「公共の福祉を増進する」と書いてあります。しかし、電気通信市場を健全に発達させたとしても膨大な電力を消費してCO2の排出を増やすことになれば公共の福祉に反することになります。あちらを立てればこちらが立たずという状況を、全体として最適状態に持っていくにはどうしたら良いのか。ガバナンスの難しさを実感します。

宍戸　電気通信事業の振興が地球温暖化につながるかもしれないという二律背反は、他のありとあらゆるところでも起きている問題に似ています。
　私が大学の学部を卒業したのは1997年ですが、その頃から「日本はこれから人口減少社会に向う。これまでは大きくなっていくパイのプラス配分だったが、これからは小さくなっていくパイのマイナス配分になる」という話が既にされていました。世の中に対して責任ある発言をすべき研究者として過去20数年の日本を見てきましたが、結局日本は「負の配分」に失敗してしまったのだと思います。
　資源が減少していく中で、「ここは申し訳ないけど全体のために削ります」「全体のうち、ここに重点的に投資します」といった足し引きの試みは確かにありました。トリクルダウンを期待した経済政策も打たれました。しかし、その結果として生まれた価値や利益を適切に配分するという部分は、曖昧なまま残されていたように思います。きちんと計算して予測を立て、やり方を時々見直して、責任を持って実施・監督して、確実に配分するための取組が弱かった。端的に言えば、説明責任と意思決定のメカニズムが未成熟でした。アジャイル・ガバナンス・モデルは、デジタル時代において誰が何を担務し、何に関する説明責任を負うのかを整理するものでもあります。

日本のハードローは市民へのエンタイトルメントが弱点

谷脇　近年、規制の概念がハードロー（法律）、ソフトロー（規範）、共同規制（法規制と自主規制の中間）などと多様化しています。デジタルガバナンスに適用される規制という観点から、どのような判断基準が必要でしょうか。

宍戸　三つの観点があります。
　一つ目は、「インサイダーとアウトサイダーの関係性を吟味する」ということ。日本国内の事業者に対する日本の伝統的な規制スタイルは、とても優れていました。業界団体を作り、官民でしっかり話し合い、共通の政策目標に向かって、それぞれうまくやってきた。問題は、ここにアウトサイダーが関わってくる場合です。アウトサイダー的日本企業がいる領域や外国企業がいる領域については、しっかり規律を及ぼさなければいけないのでハードローが必要ですし、ハードローで対応するしかない。ただし、法律で縛らなくても外国企業としっかり話ができる、外国政府がきっちり取り締まってくれている、政府間の協力・共助によって問題が解決できる、といった状況であれば、ハードローは必要ないという考え方もできます。これは、市場におけるアウトサイダーの影響力にも左右されます。状況分析と臨機応変な対応が必要です。
　二つ目は、「政府が失敗しやすい領域にハードローは向かない」ということ。ハードローはいったん作ると変更・修正するのが大変です。特に政府が失敗しやすい領域で安易にハードローを作ってしまうと、後で大変な混乱を招くことになります。最近は不祥事が起きたときに世論に押されパニック的にハードローで規制をかけてしまうこともありますが、往々にしてうまく機能しません。例えば、表現の自由に関わるような場合には国・政府の対応が失敗する確率が高いと考えられてきました。
　三つ目は、「日本は市民への権利付与に対する意識が薄い」ということ。欧米においてハードローかソフトローかというのと、日本においてハードローかソフトローかというのは、かなり意味合いが違います。日本のハードロー、公法に書かれているのは、政府が事業者に対して新たな権利・義務を付与するか権利・義務関係を変更するか、具体的に言うと命令・処分や制裁の仕組みがもっぱらで、「市民」に関してはあまり書かれていないのです。市民というのは元々自由な存在なのだから、法律に書かなくてもその自由は確保されるという発想、むしろ書かないことで所与の自由を守るとする発想があったのだと想像しますが、その結果、市民の権利や地位に関する記述が欧米に比べて弱い。デジタルガバナンスでは市民へのエンタイトルメント（権利付与）をもう少し進めるべきです。それはソフトローではできないことで、ハードローで抽象的に権利を定めた上で、政府と企業、企業と市民、市民と政府という関係の具体的な調整事項はソフトローで形成していくといった工夫も必要だと思います。

EUは社会的価値を守るために経済的規制を巧みに活用

谷脇　1980～90年代は日米貿易摩擦が過熱し、とにかく市場開放だ、規制緩和だという「新自由主義」が主流の時代でした。しかし、伝統的に言われてきたのが「社会的規制」と「経済的規制」を分けて考える必要があるということでした。社会的規制は国家として国民の生命・財産を守るために必要な規制です。これに対して、経済的規制は市場の秩序を維持し競争を促進する観点から適用されるものであり、とりわけ市場メカニズムに信頼を置く「新自由主義」の立場に立てば経済的規制は不要という考え方に基づいて積極的な規制緩和が推進されました。
　これは規制のモダナイゼーションという意味で効果があった部分もありますが、経済的規制の必要性については、その根源的な部分で当該の市場メカニズムがどのくらい信用できるものかによりますし、最近のプラットフォーマー規制のように、データという新しい無形資産（intangible asset）が経済システムの中心で機能するようになって市場の寡占性が生まれやすい環境になってきている中で強化すべき経済的規制もあると思います。デジタル化が進む中で規制のあり方はどう見直されていくべきでしょうか。

宍戸　私たちが生きているデジタル社会は、ソーシャルとエコノミーが密接に結びついている時代だと思います。人類は究極的にはソーシャルを良くすること、良い社会を求めているわけですから、ソーシャルという目的とエコノミーという手段が連動するのは悪いことではないと思います。
　その観点で見ると、欧州連合（EU）の動きはとても分かりやすい。欧州連合競争法（米国の反トラスト法、日本の独占禁止法に相当）は、欧州の経済的価値はもちろんですが、根本的には欧州の社会的価値を守ろうとする意図が込められています。言い換えれば、社会的価値を守るために経済的規制をかけている部分すらあります。
　一般的に、経済的規制と社会的規制は切り分けて考えられていますし、観念的には切り分けるべきだと思いますが、EUの例が示しているように、実際にはかなり解像度の粗いレベルでの切り分けになっています。新自由主義が発展したアメリカのことだけを参考にすると、一見、両者には明確な線引きがありそうに思えます。しかしアメリカは連邦制で、市民生活に身近な問題は州のポリスパワーに委ねられています。そうしたアメリカ固有の事情を意識しないまま、連邦政府の権限だけを見て、日本でもこの点の経済的規制は不要だとかいうような議論のやり方は、適切ではありません。
　日本としては、EUの線引きやアメリカの線引きに振り回されたり、ましてや安易に乗り過ぎたりしてはいけません。良い社会を創るために大いに参考にしつつ、経済的インセンティブがソーシャルな価値を創り出すために必要であるとか、逆に社会的価値を守るために経済的規制もうまく使っていくとか、そういった工夫が必要だと思います。

GDPR、AI法・・・EU域外適用には共助の精神で対応せよ

谷脇　EUのGDPR（General Data Protection Regulation、一般データ保護規則、2018年施行）[4]では、越境データ移転の規制を域外適用しています。つまり、EU域外に所在する企業がヨーロッパの顧客の個人情報を取り扱う場合もGDPRを遵守することが求められます。もし、他国も同じように規制の域外適用を進めていくと、域外適用の対象とされる国では他国の規制が多重的に適用され、結局、最も厳しい水準の規制に従わざるを得なくなることが懸念されます。また、GDPRについてはEU域内に個人データを蓄積させる誘引を持つ点で保護主義的であり、オープンで自由な情報流通の考え方に反しているではないかという批判もあります。EUで最近採択されたAI（人工知能）法[5]についても域外適用の規定があり、GDPRと同様の懸念があります。国境を容易に超えることができるボーダーレスなサイバー空間において規制の有効性を確保することについて、どのように考えれば良いのでしょうか。

宍戸　EUバッテリー規則[6]（2023年8月施行）も同じです。EU域内で開発・製造・販売される全てのバッテリーを対象とし、環境、リサイクル、人権などの観点から規制を強化し、情報開示を求めています。EU域内だけでなく、域外で製造されたものについても適用され、バッテリーが不適格と判断されれば、例えばそれを搭載する電気自動車はEU域内で販売できません。
　デジタル社会以前は、モノが国境を越えるのは一定程度限度があるため、そして特に日本は国境が地続きではないので、域外適用の問題をそれほど気にする必要がありませんでした。日米貿易摩擦、日米半導体摩擦といった大問題も起こりましたが、これはアメリカから日本の産業が狙い撃ちにされた二国間紛争であり、EUの域外適用は意味合いが異なります。
　デジタル社会の現代においては、世界中がインターネットに繋がっているので、島国であろうと地続きであろうと関係なく、いろいろな情報がデジタルで国境を超えていきます。そのため、自国発の情報が世界に出回った後に変な使われ方をしていないかを追跡しなければなりません。一方、他国での人権侵害や不正、環境破壊を前提に事業を行い、その結果としてのサービスや製品を日本に移転するといった場合も、デジタルで追跡されて突き止められます。これは、デジタルによって域外適用に必要な前提条件が整ったという言い方ができます。それが、EUルールの域外適用の背景にあります。
　今のところは各国間の「連携共助」によって調整するのが基本だと思いますが、連携共助がうまくいかない国や企業とは、先に言ったとおり、ハードローによるルールメイキングが必要になります。ただし、デジタルでこれを乱打するとインターネットを分断して、スプリンターネット化（分断の意味のスプリンターとインターネットを組み合わせた造語、サイバー空間が国や地域で分断されてしまうこと）することになりかねません。インターネットを分断させることは世界の多くの人々にとって不利益なので、特に日本のようにデジタルに繋がることによって活路を見出せる国が、インターネットを分断させないことのメリットを分かりやすく説明して、対立する両陣営に訴えかけていくしかないと思います。
　同じ価値を共有する友好的な国々であったとしても、それぞれの国のルールや制度が全く同じである必然性はありません。EUのGDPRと日本の個人情報保護法は違っているのが当然であって、相互に法制として認め合い、日本で行われていることはEUで行われることにほぼ相当している、逆もしかりということを確認できれば十分であろうと思います。EUバッテリー規則に日本企業がただ従うのではなく、日本でも相当する規則を作り、その認証を受ければEU規則をクリアしたことになるという関係性に持ち込むのです。これからも大きく変わりゆくデジタルに関しては、お互いに共助の精神で対応したほうが得策です。そういうモデルを日本が描いて、デジタルの国際社会に提案すべきだと思います。

谷脇　とても興味深いです。例えば自由貿易を推進するWTO（World Trade Organization、世界貿易機関）の歴史を振り返ると、モノやサービスの取引の自由化を実現する際、まず国際的な合意があって、それに従って各国が国内法制化していく、つまり、マルチの場を中心とした集中型（トップダウン）のアプローチに近かったと思います。しかし、各国の思惑が交錯して現状においてWTOが機能不全に陥っているという指摘もなされています。
　これからのデジタル社会では、最初に分散型で各国がルールを決めるところから入って、その後に合わないところがあれば調整していくフラット型アプローチに変わってきているのかもしれません。他方、先行してルールを決めた国が、域外適用などを武器としながら、ルール策定における優位性を他国に対して持つ傾向、あるいは戦略的な意味も出てきているのではないかと感じます。

宍戸　我々が今向き合っているデジタル社会は、良くも悪くも多様性に富んでいて、ルールメイキングとしては、現在機能不全が指摘されるWTOの枠組と比べれば、むしろ公正な環境なのかもしれません。ただし、皆がバラバラのまま、分裂したままで、差異を埋めるための調整もできない、ということでは困ります。
　剣道に、相手の思惑を先に察知して先に打つ「先の先（せんのせん）」、相手の動きを察知して先に打つ「対の先（ついのせん）」、相手の技を交わして打つ「後の先（ごのせん）」という言葉があると聞きます。デジタルの国際共助は、武道における間合いの取り方と通底する部分があるように感じています。各国のルールのイメージ段階からお互いに探り合い、カタチができたら持ち寄って、そちらがそうするなら、こちらはこうする、というように擦り合わせる。違うのは、ルールメイキングの目的は打ち込んで相手をやっつけることではなく、共助によって互いに発展していくことだという点です。
　繰り返しになりますが、こうした共助関係づくりを日本がリードすることが非常に重要だと思います。

「オープン」の御旗を降ろしてはならない

谷脇　最近、今まで当たり前だったことが当たり前ではなくなるということが散見されています。その一つが「ネットワークのオープン性」です。例えば電気通信事業法の世界ではボトルネック設備を持つ市場支配的な事業者がネットワークをオープンにすることは当然であり、オープン化によってサービス競争が促進されると認識しています。オープン性が確保された環境において、多くの参加者が互いに繋がり合うことによって新しい価値を生みますし、そもそもインターネットが普及したのはそのオープン性によるところが大きいと確信しています。ところが最近、ダークウェブではWormGPTのようなサイバー犯罪目的での利用を前提とした生成AIツールが出回り、AIのオープンソース性が悪用されています。オープン性には良い面、悪い面の両方があるという現実に対して、デジタルガバナンスの観点からどのように向き合えば良いでしょうか。

宍戸　基本はオープンなのだと思います。悪用のリスクを恐れて閉ざしても、悪いことをする人は結局出てくるでしょう。それを防ぐためにも徹底的にオープンにするという考え方もあると思います。ただし、現実的には悪いことをしやすい部分については公開範囲を限定するとか、一定期間クローズにするとか、個別対応が避けられないでしょう。基本はオープンで、クローズはケースバイケースで判断ということです。
　日本学術会議の「オープンサイエンスを推進するデータ基盤とその利活用に関する検討委員会」（委員長：喜連川 優 情報・システム研究機構国立情報学研究所所長、デジタル政策フォーラム発起人）[7]に私も委員として参画していたのですが、科学的知見をクローズにすることは人類の知の発展を妨げてしまうという危機感に基づいて、あるべき姿を検討しています。例えば新型コロナウイルス感染症の問題一つをとっても、何が有効な対処法なのかは初期段階ではよく分からなかったのですが、世界中の知見やデータがオープンな場に共有されるにつれて分析・研究が加速し、有効な対策が打てるようになりました。オープンという御旗は決して降ろさない方が良いと思います。
　一方、日本企業や日本政府はリスクを高く見積もり、新しいことに対して慎重に、限定的に、閉鎖的に取り組む傾向があります。オープンに連携して広げることよりもクローズに向かい、小さくまとまってしまうのです。「基本的なデータをオープンに共有・活用することで新たな価値を創り出すデータ連携社会を築こう」という掛け声が政府と経済団体によって何度も叫ばれ、旗が振られましたが、一向に進みませんでした。そういうところは変えていかなければなりません。

データガバナンスの国際機関は必要、ただし段階を踏みながら

谷脇　最近、インド太平洋経済枠組み（Indo-Pacific Economic Framework for Prosperity、IPEF）の議論の中で「オープンで自由なデータ流通」という文言を盛り込もうとしたら、アメリカが最後の最後で反対に回り合意に至りませんでした。アメリカがオープンなデータ流通に反対するとは何事なのかと驚いたのですが、その背景にはオープンなデータ流通はGAFAMをますます利することにつながるからアメリカとしては声高に主張しないという背景がありました。アメリカの主張もそういう意味では揺らいだり相矛盾する立場をとったりするところが散見されるわけですが、オープンにすることで競争が阻害されたり、独占・寡占が固定化されたりするようなことになっては意味がありません。その意味では競争法の運用を含めて丁寧な議論が必要なのだと思います。
　ところで、ユーラシアグループのイアン・ブレマー代表はデータガバナンス、特にAIガバナンスを想定して、様々な関係者を巻き込んだ国際機関の設立を提唱しています。イメージとして、地球温暖化に関して科学的見地から評価（Assessment）を行う国連の政府間機構「気候変動に関する政府間パネル（Intergovernmental Panel on Climate Change、IPCC）を例示しています[8]。データガバナンスやAIガバナンスについて、国際条約の締結を目指す、あるいは国際機関を設置して各国の政策評価やルール運用の整合性確保のための取り組みを行うようなことは有効でしょうか。

宍戸　私は必要だと思っていますが、その作り方や何をどのように目指していくかについては、段階的にアプローチすべきだと思います。
　私はドイツの憲法を研究していたので欧州の話からすると、フランス革命・ナポレオン戦争後のウィーン会議（1814-15年）において欧州の新秩序「ウィーン体制」が確立され、今のドイツのあたりは40くらいの小国家に整理されました。その後、郵便や鉄道といった公共サービスを提供するために、国家間の同盟や協定が結ばれるようになり、そうした同盟関係が基盤となって北ドイツ連邦（1867年成立）、ドイツ帝国（1871年成立）へとつながっていきます。
　アメリカはその逆に合衆国として発足するのが先でしたが、やはり州をまたぐ鉄道や通信を整備する必要から、連邦に規制の組織を作りました。
　こうした欧米の国家の成り立ちを振り返ると、AIやデータに関して、国・地域の独自性を活かしながら全体を統合することは可能だと思いますが、段階を踏む必要がありそうです。国ごとにデータ政策、産業政策、民主主義・人権に対する考え方、抱えている課題は違います。そんなところに、いきなりデータガバナンスの統合的な組織を作っても、まともに機能しないでしょう。最初は、アライアンス的なレベルから始め、次の段階では「AIのリスク評価」といった特定テーマについて情報収集、分析・研究、標準化などを行う機能別組織を立ち上げる。そうした実績の積み重ねを踏まえて、より集権的な国際的機関を立ち上げていく。そういう青写真を描くべきだと思います。

谷脇　デジタル技術が社会に普及していくと、その国の国体、思想というものが技術の運用や制度にもどんどん入ってきます。例えば中国のAI法は社会主義の価値観を遵守することをAIに求めています。こうした状況の中でデジタル分野の国際機関はうまく機能するでしょうか。

宍戸　中国が何を国家的な法益にとってのリスクと考えているかということを開示すること、まず、そこからです。そうすれば、他の国々も自分たちの国はどういうことを国家的リスクととらえているのかを考えます。個人のプライバシーに対するリスクについても、人格の問題なのか、民主主義を脅かす人心操作の問題なのか、そういうところを可視化します。その上で、お互いに理解可能なのか、どこが譲れないのか、どこを変えるべきなのか、という議論を始めるべきです。
　中国政府としても、中国製AIしか使わせない、上から下まで全部中国一色と強制することは不可能だと思います。中国にもグローバルに活動する企業があるのですから。だからこそ、AIに対する各国の規範、リスク認識、規制の方向性を見比べながら、お互いに調整していくための共通基盤が必要なのです。

「デジタル資本主義」 VS 「データ利他主義」

谷脇　EUは、2020年に発表した「欧州データ戦略（A European strategy for data）」[9]に基づき、「欧州データガバナンス法（European Data Governance Act）」[10]を2022年に施行しました。データの利活用を促進するための枠組みを定めたものですが、その中に「データ利他主義（Data altruism）」という言葉が出てきます。個人や企業、組織が公益のために自発的にデータを提供することを促し、そのための登録制度を定めています。これが法制度の枠組みの中に入ってくるのかと驚きました。こうした利他主義を前提にした制度が機能するのか、日本にとって参考になるのか――。素朴な疑問です。

宍戸　「米国通信品位法230条（Communication Decency Act, Section 230、注参照）」が最近厳しい批判を浴びているのは、インターネットコンテンツサービスの提供者も利用者も、“善きサマリア人”のように善行を働かなくても、すなわち害悪のあるコンテンツの流通に見て見ぬふりをしても、責任を負わないとしているからです。第三者がネットで流通させるコンテンツに関して、プラットフォーマーに無限の免責特権を認めたことが強力な免罪符となって、プラットフォーマーの横暴を許した。合衆国憲法修正第1条「表現の自由」を制限なく適用したばかりに俗悪・有害なコンテンツをインターネット上に蔓延させた、という批判です。

（注）No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.

　データ利他主義を盛り込んだ欧州データガバナンス法は、米国とは違い、公益のために人々がデータを提供することをエンカレッジしています。これは現代の経済活動・社会活動において非常に大切な要素だと思います。例えばある企業が公益的な活動に投資したとします。以前なら「なぜそんなことに投資するのか、株主にとって利益はあるのか？」と反対されたかもしれませんが、今では、社会的責任投資（SRI）、インパクト投資、ESG（環境・社会・ガバナンス）投資などが当たり前となり、むしろ公益のための投資・活動が推奨されています。
　データに関しても同じです。これまでデータは、貴重であればあるほど安易に公開してはならない、秘匿しなければならないものという意識が強かったと思います。例えば、集団Aに関わる個人データを集積して、それを第三者Bに提供しようとする場合、集団Aに属する個人からは「一体全体、誰の許可を得て自分のデータを横流ししようとしているのか！Bとは誰なのだ？」といった拒絶反応が想定されるでしょう。しかし、個人のデータだとしても、その個人に被害が及ばず、公益のためにメリットがあるのならば、データの提供が認められるべきだという考え方が広がってきました。個人情報保護法の匿名加工情報（特定の個人を識別することができないように個人情報を加工して、その個人情報を復元することができないようにしたもの）には、パーソナルデータを利活用することによって公益に資するという発想も前提にされています。
　この議論を深めていくためには、自分たちは全体の一部であり、大きな巨人の肩に乗る存在で、自分たちの肩には次の世代が乗り、そして次の次の世代が・・・という連鎖が続いていき、それを繋げていくために情報・データを提供することは良いことだ――という文化を育む必要があります。
　ところが、デジタル社会は“デジタル資本主義”や“データ利己主義”に蝕まれ、吸い上げられた個人データはプラットフォーマーの金儲けのために使われるだけで、社会・公益に還元されていないのではないかという疑念があります。その点について、プラットフォーマーからの説明は不十分と言わざるを得ません。一定以上の規模で個人データを収集・活用する企業に対しては、社会的な合意を前提として、公益的な貢献責務を課し、活動内容と効果・実績に関する説明責任を求める。そうしたスキームにきちんと対応できる事業者に対しては個人情報を提供する、そうでない事業者には提供しない――。そうしたサイクルを回していくことによってデータの公益的利活用を推進するためには、国によるイニシアティブが不可欠だと思います。

サイバー空間への国際法適用は国連改革にも通じる

谷脇　先ほどの国際機関の話も関係しますが、国連ではこれまで10年以上にわたってサイバー空間に国際法、とりわけ国際人道法をどう適用するかについて、「サイバーセキュリティに関する国連政府専門家会合（Group of Governmental Experts、GGE）」[11]の場を中心に議論が行われてきましたが、特に西側諸国と中国・ロシアとの対立が激しく前に進みません。リアル空間とサイバー空間が一体化したハイブリッド戦争が常態化している中、サイバー空間における国際法の適用関係の整理は極めて重要だと思いますが、現在の閉塞的な状況を打開できないのでしょうか。

宍戸　現在の国際法の秩序は、戦争や武力行使を違法化することから始まっています。論点は大きく二つあって、一つは何をしたら武力行使に該当するのかということ、もう一つは相手が先に手を出してきたとか、国連の安全保障理事会の承認があるとか、武力行使が許容される場合をどのように規定するのか、です。サイバー空間に国際法を適用する場合も、何が全面的に禁止されるべき行為なのか、一定の条件下では何が認められるのか、ということになるわけですが、これがなかなか決まらないのです。
　特定の国の政府が保有する軍事力や政府機能を攻撃しなくても、その国・政府が依拠している通信インフラ、あるいは重要インフラを稼働させる通信システムを破壊するだけで、その国の政府の意思決定、すなわち主権を打ち倒すことができてしまう。伝統的な国際法の考え方を適用すれば、それは戦争ないし武力行使と認定して禁止すべきではないかという論点があります。ところが、この問題は核の抑止論と似ていて、最後の最後は自分たちが攻撃できる、あるいは反撃できる力を留保しておきたいというのが各国の本音です。リベラルデモクラシーの国々でさえ、そして、いわんやという国々が、コンセンサスを形成するのはなかなか難しい状況です。
　歴史家的な見方をすれば、戦争や武力行使を違法化する、核を使ってはいけないということについて、国際社会のコンセンサスが曲がりなりにも合意に至ったのは、2度の世界大戦、広島・長崎への原子力爆弾の投下という人類の悲劇があったからです。しかし、デジタル社会においてこれを待つことは極めて危険です。サイバー戦が暴走すれば、それが引き金となって再び世界大戦が勃発し、今度は人類が死滅してしまうかもしれない。過去の歴史を踏まえ、想像力を発揮して、なんとか議論を継続し、取り組んでいかないと大変なことになってしまいます。
　そうした文脈でインターネットガバナンスも考える必要があります。これまで、基本的には民間の努力でインターネットは発達・発展してきましたが、公的な関与をもう少し明確なかたちで入れる段階に来ているのかなと思います。IGF京都2023はまさにそのきっかけでした。デジタル社会における不適切な行動を抑止するために、インターネットの資源を管理するセクター、インターネットの主要なアクターと、マルチステークホルダーとしての各国・国際機関とが、しっかり連携していくべきだと思います。
　この種の国際法適用や戦争の議論には国ばかり出てくるのですが、極端なことを言えば、Googleや、Tier 1のサービスプロバイダーがその気になれば、デジタルが関わる戦争、武力行使のかなりの部分は止められるのではないでしょうか。インターネットガバナンスと国際法の関係については、あまり既成概念にとらわれ過ぎずに構想してみるべきだと思います。
　国連では、安全保障理事会が伝統的な安全保障の議論の場であったところに、IGFが通信系の議論の場としてあり、さらにかつて第3世界と言われたグローバルサウスの国々が存在感を高めています。大国、覇権国、そしてそれらとはまた違うレベルの国々が入り乱れているのが今の国際社会の姿であって、とりわけデジタルガバナンスについて、かつてのような意思形成の方法には限界があります。
　そこに、日本への期待があると思っています。経済大国でありながら、軍事力は大したことはなく、世界にいろいろな面で貢献してきたアジアの国――。その絶妙な立ち位置から、国連改革の文脈に乗せながらデジタルガバナンスの提案をしていくべきです。日本の内政、外交、デジタル、国家戦略などを丸ごと連動させてくれるようなリーダーの出現が求められます。まずは、日本社会の中にそういう議論、世論がある、という状態を作っていきたいですね。

デジタルの人材育成でグローバルサウスとの関係構築を

谷脇　世界のインターネット利用者数が54億人となり、世界のインターネット普及率は67%まで達しています。これはデジタル技術の普及が先進国だけでなくグローバルサウスまで広がっていること、だからこそグローバルサウスをインターネットガバナンスの議論に巻き込んでいくことが求められますし、実際、そうした試みが始まっていますね。

宍戸　世界各国、特に米欧露中以外の国々ではAIガバナンスについてどのような議論がされているのかについて、東京大学未来ビジョン研究センターで調査したところ、我々には普段見えてこない様々な課題があることが分かりました。植民地時代から尾を引く問題を抱え、地域紛争という現実に直面する中で、AIを使って解決・改善、国の再生・発展につなげられないかという切実なニーズがあるのです。個人的な印象ですが、明治維新前夜の日本のような熱い空気を感じます。AIがこの現実を変えてくれるかもしれない、起業して成功できるかもしれな、国が良くなるかもしれない、世界の中で確たる地位を築けるかもしれない、という期待感、高揚感と言うべきものです。
　それに比べると、日本は少し違います。AIブームにうまく乗らないとGDP（国民総生産）が3位から4位、4位から5位にずるずる落ちてしまう、というような悲壮感やあきらめ感が漂っている。AI、デジタルを活用して、日本をもっと良い国にしていこう、国際社会で名誉ある役割を果たしていこうという議論に、迫力が伴わないのは残念です。
　具体的には、デジタル社会における人材育成、人材協力で日本はグローバルサウスを含めた国際社会にもっと貢献できると思います。日本は治安が良く、古今東西の知識、文化、食が集まります。日本を訪れた人のほとんどが日本は良い国だと言って帰っていきます。グローバルサウスの国々でAIを研究し、AIの国家戦略を考えるような人は超優秀ですから普通ならハーバード、オックスフォード、MIT（マサチューセッツ工科大学）に行ってしまうのかもしれませんが、そういう人たちを日本に招き入れ、一緒に学び合い、帰国後も良い関係を維持して連携していくということが、迂遠なやり方かもしれませんが、これからの日本にとってとても大事なことだと思っています。
　法律の世界では、1990年代から東南アジア各国の立法関係者、裁判官、検察官、弁護士を招き、法制度整備支援の研修プログラムを提供してきました[12]。日本で学んで帰国した後、さらに努力を重ね、裁判官や大臣のような要職で活躍されている方々が少なくありません。同じようなことをデジタルでも実施すべきだと思います。
　大切なことは、「教える」のではなく「聞く」ことです。東南アジアやグローバルサウスの国々がAIやデジタルに関してどのような課題に直面しているのか、どのような課題を解きたいと考えているのかに真摯に耳を傾けることです。その国ならではの真の課題を明らかにすることから始める。それが、デジタルの国際連携の王道なのではないかと思います。

アクティブサイバーディフェンス、「通信の秘密」の制限は段階的に

谷脇　最後に安全保障分野における能動的サイバー防御（アクティブサイバーディフェンス）の必要性について伺います。能動的サイバー防御については2022年12月に閣議決定された「国家安全保障戦略」において導入の方向性が示され、法制化に向けた検討が進んでいますが、能動的サイバー防御を実効性のあるものにするために不可欠な「通信の秘密」[13]の運用解釈をめぐって様々な議論が繰り広げられていると承知しています。通信の秘密のあり方については、国民の生命・財産を守る国家安全保障という公共の利益との適切なバランスをとりつつ、議論を前に進める必要があるのではないでしょうか。

宍戸　通信の秘密に関しては、重要な公共の利益のため必要かつ合理的な範囲であれば制限できるということは、確立された憲法解釈であって、問題は具体的な規制の内容とその規制が必要かつ合理的か、ということに絞り込まれます。実際の運用上は、フロー情報を恒常的に分析する、懸念のある場合に事業者から情報提供させる、最終段階として通信の内容を検閲する――といったように段階的に行っていく必要がありますが、必要な立法事実が示されて、的確な判断がなされ、濫用されないということを担保すれば、国家安全保障のために「通信の秘密」を限定的に制限するということに対して、国民の理解は得られると思います。
　ただし、透明性を担保する仕組みが不可欠です。国家安全保障に関わることですから、全てを赤裸々に公開するわけにはいきません。だからこそ、独立性・専門性が高い組織を設置し、安全保障に関する知識、法的な限界についての判断力と良識をもった人たちを集め、事案ごとに「やっていいのか」「どこまでやれるのか」を判断し、政府に助言ないし監視する――。そうした仕組みを具体的に検討すべきだと思います。一つひとつのプロセス、判断、実施内容を記録に残し、何年か後に公開すること、国会への説明手順などを総合することによって、平時と戦時を明確に切り分けられないサイバー時代に国民の安全と民主主義を守るためのサイバーガバナンスを確立できると思いますし、そうすべきだと考えています。

DAOで組織内外の境界が喪失、功罪両面の影響大

谷脇　そうですね。かつての核抑止力の議論と同様、まずサイバー空間におけるサイバー攻撃の抑止戦略の枠組みとして拒否的抑止（攻撃者の目的達成を阻止する可能性を高めて攻撃者に行動は無意味であることを悟らせること）と懲罰的抑止（攻撃者が獲得しようとする利益を上回るコストを与えるという報復の脅しによって攻撃者に行動を踏みとどまらせること）を整理し、その枠内で能動的サイバー防御を位置づけ、突出した運用にならないようにタガをはめるべきだと思います。
　デジタルガバナンスに関連して、もう一点。「Web3」の議論の中にDAO（Decentralized Autonomous Organization、分散自律組織）という概念があります。ブロックチェーン技術などを活用した分散型統治機構に基づき、新しい組織ガバナンスが可能になると期待されています[14]。こうした新しいガバナンスのあり方について、どう捉えるべきでしょうか。

宍戸　これまでのガバナンス論は、一定の規模があり、閉鎖的・硬直的で、ゴーイングコンサーン（企業の継続）を自己目的としているような組織――大学、上場企業、政府機関など――を前提とし、組織の存続が「主」で他は「従」であるという考え方が根底にありました。極論すれば、組織の構成員は、たとえ社長であれ内閣総理大臣であっても、組織から見れば所詮はその時々の駒に過ぎない。遡れば、中世からあった「国家理性」という概念に通じます。国王であってもその意思は国家理性によって突き動かされているものであり、国王の意思が国家理性にそぐわない場合には様々な手段で排除されました。それぞれの組織に存立・存続の自己目的があり、それを達成するために自らが自らを律していくということを通して、組織が閉じたまま動いていく（変化していく）イメージです。
　それが、Web3、DAOということになると、組織の「内」と「外」の境界が非常に低くなります。グローバル化によって国家の垣根が低くなったのと同じことが、あらゆる組織や主体に起きてくる。それは個人といえども例外ではないと思います。
　社会のルール――例えば法の支配、民主主義、基本的人権、公共の利益――は、組織にとってあくまで「外」的な制約要因だったのに、境界が低くなったことで組織の「中」に入ってきてしまう。例えば、最近「ビジネスと人権」が注目されているのは、まさにそういうことが起きているのだと思います。繰り返すと、DAOでは、「外のガバナンス」ないし「外のルール」が、主体ないし組織にとって、これまでのように外にある対抗すべきものではなく、中に入ってきます。
　それは、良い方にも悪い方にも働きます。「外」でおかしな規範が確立され、そういう規範に染まった人たちがDAOに入ってくれば、それまで組織が持っていた目標や流儀は、一瞬で塗り替えられてしまうかもしれません。逆に、ある組織・主体がおかしな哲学を持つと、外に対して波及効果を及ぼし、時にその影響は非常に大きいものになり得ます。イーロン・マスクが旧ツイッターを買収したことで世界が大混乱したのと似たようなことが、下位レベルでも様々に起きるでしょう。
　ポジティブな面、ネガティブな面を一体的に見通しながらDAOを設計していかないと、あちこちで人権侵害や公益侵害が起きて、しかもそのことに多くの人が気づかないままでいるとか、追跡できないといった問題が起きてしまうのではないかと懸念しています。

谷脇　デジタルガバナンスのあり方は今後の社会構造のあり方と密接に絡み合っていると理解しました。興味深いお話をありがとうございました。

【対談を終えて】
　デジタルガバナンスの議論は、デジタル化の進んだデジタル社会のあり様を考えることだと言える。その際、デジタル社会はソーシャルとガバナンスが密接に結びつている時代であるとの指摘は重要だろう。デジタルガバナンスを巡る議論には、各国あるいは各ステークホルダーの価値観や歴史認識などが直接反映されるようになっていく。
　しかし、そうだとするとデジタルガバナンスを巡る国際的な議論が集約していかないのではないかと懸念される。こうした懸念に対し、この対談ではアジャイル・ガバナンスという重要な考え方が示された。二重ループ的なガバナンスを確立し、お互い（内部と外部）の違いを認識した上でルールの接近を試みるアプローチが必要になってくる。また、こうしたルールを巡る議論を通じてデジタル社会において「守らなければならない共通基盤とは何か」ということについても議論を深めていく必要がある。「オープン性の堅持」はその代表例だと言える。さらに、これまで安全保障は国のみが関与する議論と捉えられてきたが、デジタル技術の担い手が民間企業であることを考えれば、サイバー分野における安全保障についても、官民の役割分担のあり方を含め柔軟なアプローチをしていくことが求められている。（谷脇）

ダウンロード（pdf）

＜参考情報＞

[1] https://www.soumu.go.jp/igfkyoto2023/

[2] https://www.meti.go.jp/shingikai/mono_info_service/governance_model_kento/index.html

[3] 「アジャイル・ガバナンスの概要と現状」、新たなガバナンスモデル検討会、2022年1月
https://www.meti.go.jp/press/2022/08/20220808001/20220808001-a.pdf

[4] 「GDPR（General Data Protection Regulation：一般データ保護規則）」、個人情報保護委員会
https://www.ppc.go.jp/enforcement/infoprovision/EU/

[5]  「Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world」、Council of the EU、2023年12月
https://www.consilium.europa.eu/en/press/press-releases/2023/12/09/artificial-intelligence-act-council-and-parliament-strike-a-deal-on-the-first-worldwide-rules-for-ai/

[6] https://eur-lex.europa.eu/eli/reg/2023/1542/oj

[7] https://www.scj.go.jp/ja/member/iinkai/openscience/index.html

[8]  「The AI power paradox: Rules for AI’s power」、Ian Bremmer、2023年8月
https://www.gzeromedia.com/quick-take/the-ai-power-paradox-rules-for-ais-power

[9] https://digital-strategy.ec.europa.eu/en/policies/strategy-data

[10] https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

[11] https://disarmament.unoda.org/group-of-governmental-experts/

[12] 国際協力部による法制度整備支援活動、法務省
https://www.moj.go.jp/housouken/houso_lta_lta.html

[13] 日本国憲法第21条第2項「検閲は、これをしてはならない。通信の秘密は、これを犯してはならない。」

[14] 「Web3.0研究会報告書～Web3.0の健全な発展に向けて～」、デジタル庁、2022年12月
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/a31d04f1-d74a-45cf-8a4d-5f76e0f1b6eb/a53d5e03/20221227_meeting_web3_report_00.pdf