「私的なネットワーク」とは、データによって可能性が大きく拡大した新たな環境において、従来のビジネス慣行と新興のWeb 2.0の慣行とを結びつける考え方です。「私的なネットワーク」の時代は、人類の歴史で初めて、世界中に張り巡らされた情報の流れの網（Web）に人々が個々に参加できるようになった時代です。そこには大きな経済的利益があることは言うまでもありませんが、慎重に行動しなければ大きなリスク要素もあります。

もっとも大きな脅威は、情報が、予想外・想定外の目的で使用され、個人の文化的または法的な規範が侵されることです。組織が、情報収集の理由、あるいはそもそも情報を収集しているという事実をユーザに知らせようとしない可能性もあります。

組織が、自らが収集し、所有者ではなく受託者として保管している情報を悪用するという罠に陥る可能性もあります。個人に関する情報は、企業内でやりとりされる、いわば通貨のようなものであり、その意味で企業は、それを預かる銀行といえます。

とりわけ大きな脅威の1つは、利用可能な資産として情報の持つ力を十分に認識しないことです。組織が収集する情報が多すぎたり、少なすぎたり、または収集する必要のない情報であれば、組織になんら価値をもたらすことのないリスクを保管することになるのです。

付随するリスクを定量化するために、セキュリティ侵害の通知に関する法的義務の事例に目を向けてみましょう。米国では、データを紛失し、顧客に通知する義務の生じた組織は、失われた記録1件につき2年間の信用保護を提供することが一般的になりつつあります。

したがって、例えば100,000件の記録を格納したノートPCを紛失した場合、標準的な信用保護コストとして1件あたり年間で約40ドルがかかるとすれば、潜在的な責任額は2年間で800万ドルに上ることになります。

この数字には、ブランドの損失、販売機会の喪失、弁護士報酬、通知書の作成・送付の費用などは含みません。また、算出額も大まかなものに過ぎません。銀行などで、大規模なセキュリティ違反で、総額5億ドル、記録1件あたり250ドルという事例も聞いたことがあります。

データを始めから資産として認識し、それにふさわしい形で取り扱えば、組織の貴重な時間が失われることはなくなります。代わりにその時間を収益につながる顧客とのコミュニケーションに振り向けることもできます。

情報は、もっとも価値のある資産としてきわめて大きな力を持っていますから、当然、役員レベルで取り組むべき問題です。

私は、CEOを中心とする取締役会には、最高財務責任者（CFO）、相談役、最高情報責任者（CIO）、最高プライバシー責任者（CPO）のいずれとも性質が異なる、もう1つの役職を置くべきと考えています。データを使用、収集、及び管理し、世界的規模で顧客や従業員と接続する傾向が続くならば、この新しいタイプの役員が取締役会で果たすべき大きな役割が生まれてくるでしょう。

現金を取り扱うのと同じ態様で、ただし人間に関する情報は取り替えがきかないという認識を持った上で情報の管理にあたる情報管理責任者が必要とされます。顧客や従業員の情報を保護できなかったためにこれらの人々との関係を損なってしまった場合、うまくいかなかった投資の資金を取り戻すように簡単に関係を取り戻すことはできません。

この新しい役員が行うべき継続的な仕事の1つが、CFO、CIO、人事部門長、研究開発部門長と協力して、価値があり、かつ害を及ぼさない情報のみを収集することによって、経済的価値の向上とリスクの排除を図ることです。

当面は、既存の事業部門長がこの新しいデータ資産と責任に関する職務を引き受け、それぞれが自身のデータ主唱者、法務アドバイザー、兼会計士になるべきです。

利害関係者の増大、及び米国政府のデータ・セキュリティ侵害通知に関する法律グラム・リーチ・ブライリー法、HIPAA、EU指令、加盟国の規制、及びカナダPIPEDAなどの政府の法令ならびにその他の国際法令のフレームワークによって、ビジネスの様相は今後も複雑化していくでしょう。同時に、グローバルなユーザ・コミュニティと、クリエイティブな起業機会によって、これまで以上により多くのデータ、より強力な制御、より高い透明性、そしてよりいっそうの尊重が継続して求められていくことでしょう。

テクノロジーは、課題にもなり得ますし、解決策にもなり得ます。テクノロジーが、人やプロセスが不在のまま使用されれば、大きなリスクとなり得ます。テクノロジーは、どんな人間も消費し尽くせないほど膨大な量の情報を飲み込むことも可能です。

テクノロジーを使えば、人間の思考速度を上回るスピードで情報を共有できるため、役員レベルの情報管理体制と、情報の流れ方、情報を共有する場所、情報にアクセスできるユーザ、及びこれらユーザの組織内における役割を明確化するシステム、ならびに情報の確実な監査体制を確立しない限り、テクノロジーが害をもたらす可能性もあります。

アイデンティティ管理テクノロジーは、自社のネットワークに「誰」が参加しているのかを把握するためにきわめて重要です。すなわち、自社の顧客が「誰」であり、その顧客の様々なニーズに「誰」が対応するのかを把握するということです。サンには、アイデンティティ管理分野における強い指導的立場、及び監査とアイデンティティのコンプライアンスを支援してきた実績があります。

サンが提供する機能には、ユーザ・プロビジョニング、役割管理、アクセス管理、連携（フェデレーション）、ディレクトリ・サービスなどがあります。これらはいずれも、「誰」が、というビジネスの課題に正面から取り組む明確な戦略の下で導入することによって、大きなプラスの効果を実現できるテクノロジーの例です。

データ占有領域を大幅に縮小し、リスクを軽減できるSun Rayのようなウルトラ・シンクライアントを使用すれば、データの一元化とセキュリティの向上が可能になります。Sun Rayを使用するにはログインが必要なので、全ての操作が監査の対象となります。データが複数のデスクトップに複製されて拡散することがなくなり、大部分はサーバ・レベルで一元的に管理されます。

ユーザは、認証を受けた上で、保護された場所に格納されている情報にアクセスします。その後、セキュリティ、プライバシー、及び監査の担当者が、そのインタフェースの使用を許可されたユーザを対象とする支援や管理、教育を行います。

データが本当の意味で問題となるのは、ストレージ戦略においてです。この領域こそ、情報を1つの資産として活用するにはどうすべきかを理解する上で、テクノロジーや管理、教育が効果を発揮します。サンのオープンなデータ・アーカイブ・ソリューションは、競合製品との比較で、10倍のスケーラビリティを持ち、物理的な占有スペースは半分で済み、エネルギー・コストは10分の1に削減できるため、組織のIT部門に配分する予算の算出方式も変わります。

組織において、何がどこに格納されているのかを把握しておくことはきわめて重要です。CIOは、格納されたデータが抱えるリスクや潜在的な効果に気づいていないかもしれません。ここで、上述の「役員会議の空席」の考えに立ち返ってください。適切であれば、データの占有領域を縮小して、価値をもたらすデータに対する適切な投資は維持しつつ、手に負いかねるリスクしか生まないようなデータは意図的に排除していくことが必要です。

あまり大きな役割は与えないほうがよいと思います。私自身、世界全域を対象とする役職にあり、サンはほとんど全ての国にビジネス上の利害関係を有しています。私たちは、諸外国の政府との間の情報の流れをいかに調和させ、情報をそのライフサイクル全体にわたっていかに保護するかを考える必要があります。

情報はそのライフサイクルを通じて、規制の厳格な大陸法の諸国から、慣習法の法域、社会主義の共和国、さらには最近になってようやく国民やデータに関する戦略を採用し始めたばかりの新興経済国にまで流れます。

私たちは、情報保護のあり方の機能的な定義について、文化や法律上の戦略の違いを超えて合意することが必要です。アイデンティティ管理戦略を展開することにより、適切な人が適切なタイミングで適切な場所でのみ許可された情報を閲覧できるようにすることができます。

例えば、Aという人がBという職務を遂行しており、これがCという戦略によって保護されているとします。米国のように、監督官庁と民事訴訟を通じて法が執行される慣習法の社会においては、情報が通る経路が安全であることが確認できれば、その保護を合理的に期待することが可能です。欧州のように、様々な政府機関による監督が厳格な大陸法の社会では、データの経路を厳格に保護することにより、そのようなデータ保護の権威を維持することができます。

個人のプライバシーに対する考え方が様々に異なる世界のその他の国や地域であっても、Aという人、Bという職務、Cという戦略に基づく役割ベースのアクセスという同様の結論を導くことができます。その保護が十分に堅牢で透明であれば、たとえ、法令執行の戦略が異なっても、全ての政府を満足させることは可能です。

考えるべきことは、人、プロセス、テクノロジーです。従業員は、自分たちがいつ何をすべきかを知る必要があります。データ保護に関心を持ち、理解できるリーダーが必要です。そのようなリーダーは、従業員、ベンダー、及びパートナーが理解できる言葉で、各自に求められていることは何か、またデータ・ガバナンスが価値ある投資であることを伝えるメッセージを周知させなければなりません。

プロセスは、アイデンティティ管理戦略と大いに関係します。戦略とは、誰が何をいつ閲覧することが許可されるか、そのユーザは、その情報をどのくらいの期間利用できるか、人の移動があったときに、プロビジョニングの解除はどのように行うのかなどの戦略です。また、データの価値を判断し、全社規模でこれを追跡し、そのライフサイクル全体を通じて保護することとも関連します。

企業は、何によって価値がもたらされるのかを判断するために、自社で所有しているか、あるいはWeb 2.0のツールやコミュニティを利用しているかを問わず、絶えずテクノロジー・リソースに注目しておくことが必要です。サンは、オープンで相互運用可能なアーキテクチャを採用しています。

人々がサンを選ぶ理由、サンがきわめて機密性の高いデータの委託先として選ばれている理由は、このアーキテクチャによって、ユーザが、将来を、また情報が格納されていく先を見通すことができるからです。これらのストレージ・メディアに格納されている情報は全て、失われれば多大なコストが発生しますが、うまく活用すれば価値を生み出すものなのです。