デジタルガバメント推進の方向性

日本は今まで、素晴らしいインフラを作り様々なIT戦略を作ってきたが、上手く使えておらず、「敗戦」だと言われている。デジタル敗戦は国際比較による相対的なものだが、なぜ課題認識はされているのに解決出来なかったかという経緯の検証をする必要がある。これまでデジタル改革が上手く進まなかった理由としては、現場の人たちが新しいことをやることに躊躇してしまう構造があることや、「デジタルは冷たい」というステレオタイプによって非効率でも人手でやると判断していたことなどがあるように思う。また、政府の構想を自治体職員に話すと、業務量が増えるのではないかと自治体職員が懸念する傾向がある。今後は、組織ごとの事情を踏まえて作ってきたローカルルールを、自分たちで見直して変えていくことが必要だ。

今や「誰ひとりとり残さない」、全員に必要なものとしてデジタル化が求められている。「誰ひとりとり残さない」を実現するためには、改めてインフラに注目し、問題なく使える性能かどうかを気にしていく必要がある。また、子どもに限らず、あらゆる立場や年齢の人を対象にしたリテラシー教育が必要だ。実際にデジタルを利用する上では、助け合える人や組織との繋がりについても気に掛ける必要があるだろう。さらに、人にやさしくデジタルを使うという観点から、人海戦術はもうしないことも大事だ。支える人を支えるという観点で、教員、介護職や役所の窓口の方々がデジタルを使うことによって、人との対応を強化するということを行うべきだ。

デジタルデバイスの世帯保有率は、スマートフォンが86.8%と圧倒的に強い。スマートフォン利用を前提とした「誰ひとりとり残さない」の実現検討が必要ではないか。

デジタル改革として、現在日本において取り組まれている中心的な活動のひとつが「自治体DX」である。自治体DXの重点取り組み事項は6つあり、「自治体の情報システムの標準化・共通化」「マイナンバーカード普及促進」「手続きオンライン化」「AI・RPA」「テレワーク」「セキュリティ」である。自治体DXをやる理由は、2040年問題にある。少子高齢化が進む中で、自治体職員が不足したり、予算が不足したりする。行政サービスの需要が非常に多く、品質を下げることもできない中で行政サービスを維持することが求められているのだ。このような状況下では、人でなくても良いものは積極的にAIやロボティクスを使ったり、自治体の行政で同じようなことをしている部分は標準化、共通化したりしていこうという考えがある。

デジタル改革への批判、特に野党からの批判で多いのは、政府がデータを利用することに対する懸念である。年金記録問題（2007年）、統計不正問題や公文書管理問題（2019年）、PCR検査結果などの警察への提供（2020年）など、政府の情報管理・データ利用に問題があるのは残念ながら事実でもある。欧州を参考に、政府・自治体のデータ利用への監督、透明性向上、本人への報告／開示など信頼獲得のための方策を続けていく必要がある。具体的には、個人情報保護委員会がしっかりと政府自治体のデータ利用を監視、監督し、時には止めるといった取り組みによって、信頼を獲得していくべきだ。

冒頭で日本はデジタル敗戦をしているという話をしたが、コロナ禍においては「ハンコ問題」への着手や「デジタル庁」創設など、平時の行政では実現できなかったような横断的取り組みや骨太な変更ができている部分もある。この動きは社会的な機運作りに繋がったが、スケジュールややり方について、現場との乖離があった点は問題だ。スケジュールややり方は柔軟に見直して対処して目標を実現すべきである。また、高い目標を達成するまでに熱が冷めてしまわないように、デジタル改革を外部から評価し続けていくことも必要だ。

歴代のIT関連担当大臣の在任状況を調べると、平均在任期間は9.6ヶ月であった。政策サイクルを1年だと考えると、IT戦略を担うためにはもう少し長期在任する必要があるのではないだろうか。また、IT関連担当大臣の兼務状況を見ると、平均で3.7個、最大6個兼務しているが、過剰な兼務はIT担当およびデジタル大臣の力を弱める方向に働いてしまうのではないか。なお、IT戦略本部会合の開催回数を数えると低下傾向にある。単に本部会合を数えるだけでは、活発かどうかの評価はし難いかもしれないが、総理や大臣などの出席する政治的リーダーシップが発揮される会議でこそ大事なことが決まるのだとするならば、本部会合がどれだけ行われているかということにも意味はあるはずだ。

デンマークは、デジタルインフラが整っている国として知られている。なぜデンマークでは電子化が進められるようになったかと言えば、福祉国家として、福祉の質を落とすことなく資源を有効活用するためである。1968年には個人番号（CPR）が導入されたが、これは、国民にきちんと納税してもらい、再分配する仕組みが必要であったため、きちんと管理できるような中央の納税管理システムを作ったのがきっかけだ。電子政府政策ができはじめた2000年頃、デンマークでは、高齢化、国庫逼迫、労働者不足などの問題や、産業育成が不十分などの課題があった。そこで注目されたのが、電子化による業務の効率化だった。

デンマークにおける電子政府政策は、20年かけて段階的に導入されたところに特徴がある。例としてeDayがわかりやすい。eDayは 1、2、3、4とあり、電子化を行政から企業、最後に市民へと段階的に社会の中に広げるための一連のプロジェクトとなっている。約10年に渡る段階的な導入は、成功に繋がる重要要件の1つであろう。

電子政府政策が始まって約20年が経った今、政策は上手くいっている。私の考えるデンマークのアドバンテージは3つある。1つ目は蓄積されたデータ基盤だ。デンマークでは、68年以降に様々な個人データや、技術進展に伴うデータのオープン化がきちんと進められてきた。2つ目は共通基盤の整備。かつて、自治体システムはKMD社による独占的なマーケットだったため、システム連携が比較的簡便だったと言われる。3つ目に基礎ITリテラシーのある市民の存在である。デンマークでは1970年代あたりから女性の社会進出が進み、今の70代、80代前半ぐらいの人たちが若い頃、男女ともに社会に出て働いていた。その頃にオフィスオートメーション化が進み、多くの女性がIT分野で活躍した。このような背景もあり、デジタルデバイドの課題になりがちなシニア世代のITリテラシーが比較的高かったのである。

電子政府の進展によって、より良い効率的なサービスを提供できるようになっている反面、改ざん、なりすまし、個人情報漏えいが起きている。これらへの対応は不可欠であり、近年もセキュリティ強化は段階的に行われている。

日本では、セキュリティや個人情報というと、暗号化や技術的手段によって守るというような、技術的な話になりがちだと思うが、デンマークのセキュリティ国家戦略において、技術は3本の柱のうちの1つに過ぎない。国家戦略の2つ目の柱は、協力体制である。政府、専門企業、大学、研究者との協力を強化しようということを挙げている。3つ目の柱は、知識を増やすということである。市民、産業界、公共機関の全ての社会構成員が、適切な知識を取得することが重要との考えから、ウェブサイトで情報提供や注意喚起をしている。完全なシステムはない、ということを前提に人の教育をしっかりやろうという考えだ。

デンマークでは高齢者のIT利用率も非常に高く、2020年の報告では、75歳から89歳の人たちのインターネットの利用率が95％超だった。デンマークでシニアがICTを利用できている理由として、1つ目に、強制的に導入されたということがある。2つ目は、ユーザビリティやユーザーエクスペリエンスが非常によく考えられた、使い勝手の良いシステムやアプリが提供されていること。3つ目は、トラストが構築されていること。すなわち、個人のデータは自分のものであり、自分のデータに誰がアクセスしたか分かるといったような透明性が確保されている。4つ目は、インフォーマルサポートが充実していること。身近な子どもや孫、ローカルな支援NPOによるサポートを上手く活用することで、高齢者のユーザーを増やせているようだ。

デジタルデバイドの解消に向けてできることは、他にもある。女性、身体障がい者、子ども、外国人など、少数者と呼ばれるあらゆる人たちを巻き込んだ、ITシステムの開発（参加型デザイン）である。

デンマーク政府は、やり残しているところはまだ多々あると捉えている。2021年6月に発表された、「デジタル社会におけるデジタルインクルージョン」では、デンマークの重点分野として、デジタルスキル、管理能力、子どもやティーンエイジャーにも分かりやすい言葉の使用などが、挙げられている。また、全国民がサイバー攻撃やセキュリティに関する知見をある程度備えておくことが今後必要であるということが強く言われている。

対策として、デンマークのデジタル庁で働いている人たちに対して、身に付けるべきキー・コンピタンスを定義している。戦略とビジネス開発、プロジェクト開発、知識、コラボレーションするための能力、データ保護の能力などだ。また、キー・コンピタンスを確実に公共機関やデジタル庁内部の職員に根付かせるため、ITアカデミーを設立している。同じようなものは、地方自治体でも作られている。

ここで改めて、なぜデンマークでは上手くいったのかを考察したい。最も大切であるのは、人間中心の考え方に基づいたデジタル促進をしたことだろう。デンマークではこの30～50年ぐらいで、テクノロジー導入時には、人、組織、社会などの理解が不可欠という考えが常識になった。人、組織、社会を考えることは、長期視点を持つことでもある。医療保険ポータルsundhed.dkを長らく統括していたMorten Petersen氏は、「システムの構築は1年で終わった。その後、導入し浸透するのに20年かかった」と言っている。人間のマインドセットの転換に沿った長期視点でシステム導入をしていったことが、デンマークが今ここまで上手くいっている理由ではないか。

エストニアはデータ連携や自動化を非常に早く始めた。人もお金もないエストニアは、自動化を進めなければサービスを維持することは出来ないという状況だったため、データ連携や自動化は死活問題だったのだ。エストニアはデジタル国家を進める上で、コンピュータと人が共存でき、互いが得意なことを、パートナーシップを組んで行ってきた。今後は、人間の意思決定を支援したり人間の介在する部分を減らしたりすることで、AI同士、コンピュータ同士の連携がさらに強化されるのではないか。

電子政府において、国民の政府への信頼性が必要かという話がある。エストニアの場合、ソ連による統治という歴史的背景もあり、国民は政府をそれほど信頼していないが、国民の多くが、デジタル国家という仕組みについては信頼している。国民がデジタル国家を信頼する上で重要な点が、透明性や、追跡可能性だ。エストニアでは、国民、政治家、医者、公務員、皆が同じ土俵に立つことで、国民が政府を監視するということを実現している。また、国民IDカード、電子署名の利用者は、公的な業務に携わる人全てとなっている。IDカードや電子署名を業務遂行の必須事項とすることで、透明性や責任追及性が担保されている。

エストニアでは公共情報を資産であると考え、情報管理に非常に注力している。かつて情報管理は、組織管理や文書管理という観点で行われていたが、現在ではサービスと情報の管理という観点で行われている。提供するサービスにとってどのような情報が必要なのかを考えながらサービス自体が設計される。日本でデータ連携が上手く行かない理由は、自治体がデータ管理の部分を組織単位で管理しているためではないか。

エストニアの公的データのガバナンス体制には、データコントローラーであるデータ管理者と、データ処理者、データ提供者がいる。データ管理者とは、法律上、そのデータベースの管理責任者になる人、データ処理者とは、実際にそのデータベースを作ったり運用したりする、技術的なところを行う人たち、データ提供者とは、そのデータベースにデータを提供する義務がある人たちである。

エストニアでは法律とITシステムが上手く体系化されているというところが特徴である。法体系を作成するにあたり、コンピュータで処理できるよう配慮し、曖昧性を可能な限り排除している。そのため、ITアーキテクチャの中に法律が組み込まれているといえる。

情報のアクセス権に関して、公営図書館にインターネット環境の提供が義務付けられているため、コンピュータを持っていない人でも公共サービスを利用できる。公開文書そのものを国民が閲覧できたり、自分がどのようなサービスを利用できるかを検索できたりする。

エストニアの重要な仕組みの1つとして、政府会議情報システムがある。会議自体が非常に効率化されており、事前に共有される資料に対して、イエスかノーか保留かを回答したり、意見を言いたいというようなことを表明したりできる。全員が事前に賛成した議案は、当日の会議ではパスされるため、会議の時間短縮になる。また、閣議で決まったことは法案情報システムに送られ、国民にも知らされるため、意思決定に国民が参加できる。

データコントローラーがオープンデータ化を進めるため、制度毎、分野毎に、アクセス制限のないデータが原則全て公開されている。データを使える環境が全国的に整備されていて、それらを使ったサービスというものも登録されている。

公共情報には公開されている部分と制限されている部分がある。個人データは制限されている部分に含まれているが、公務員の給与など、法律の規定によって公開する場合がある。

GDPR（EU一般データ保護規則）においてプロファイリングは原則禁止で、公共サービスの中でプロファイリングに相当する処理をする場合は法的根拠が必要であると定義されている。プロファイル分析を含む自動化された意思決定が許可されるのは3つのパターンで、「1. 顧客との契約締結や履行のため」「2. 自動意思決定を法律で規定している」「3. 自動決定とプロファイル分析に本人が同意した」だ。本人が同意するというのはかなり大変なことであるため、エストニアでは非常に慎重に運用している。

エストニアでは公共空間において顔認識を使うことは原則禁止で、法的根拠もない。但し、正当な理由があれば法的根拠になる可能性はある。なお、監視カメラを設置する場合は、目的、基づく法的根拠、利益、責任者の連絡先といったラベル登録が必要だ。また、公共空間におけるリアルタイム監視は基本的にはNGであり、ビデオ分析ソフトウェアでの生体認証データ処理は原則認められていない。