発行日: 2023年12月19日
寄稿者: Matthew Kosinski、Amber Forest
データ・プライバシーは、「情報プライバシー」とも呼ばれ、組織によるデータの収集・保管・使用方法の決定能力を含め、個人が自分の個人データを制御できるべきであるという原則です。
企業は、Eメールアドレスや生体認証、クレジットカード番号などのユーザー・データを定期的に収集します。こうしたデータ。エコノミーに属する組織にとって、データ・プライバシーをサポートすることは、データ処理の前にユーザーから同意を得る、データを悪用から保護する、ユーザーがデータを積極的に管理できるようにするなどの措置を講じることを意味します。
多くの組織には、一般データ保護規則(GDPR)などの法律に基づいてデータ・プライバシーの権利を維持する法的義務があります。公式のデータ・プライバシー法が存在しない場合でも、企業はプライバシー対策を採用することで利益を得られる可能性があります。ユーザーのプライバシーを保護するのと同じ慣行とツールで、機密データとシステムを悪意のあるハッカーから守ることができます。
データ・プライバシーとデータ・セキュリティは別個の分野ですが、関連しています。どちらも企業のより広範なデータ・ガバナンス戦略の中核となる要素です。
データ・プライバシーは、データ主体、つまりデータを所有するユーザーの個人の権利に焦点を当てています。組織にとって、データ・プライバシーの実践とは、ユーザーが関連するデータ・プライバシー規制に従ってデータを制御できるようにするポリシーとプロセスを導入することです。
データ・セキュリティーは、不正アクセスや悪用からデータを保護することに重点を置いています。組織にとって、データ・セキュリティーの実践は主に、ハッカーや内部脅威によるデータの改ざんを防ぐための制御を導入することが主なものです。
データ・セキュリティーは、適切な人物のみが適切な理由で個人データにアクセスできるようにすることで、データ・プライバシーを強化します。データ・プライバシーは、あらゆるデータセットに対して「適切な人物」と「適切な理由」を定義することで、データ・セキュリティーを強化します。
IBMニュースレターの購読
多くの組織では、データ・プライバシーは、法務やコンプライアンス、IT、サイバーセキュリティ部門の代表者からなる学際的なチームの監督下にあります。これらのチームは、ユーザーのプライバシーの権利に鑑みて、組織による個人データの収集・使用・保護の方法を規定するデータ管理方針を制定します。また、ユーザーが権利を行使し、データ保護のための技術的制御を実装するためのプロセスも設計します。
組織は、NIST プライバシー・フレームワーク1や公正な情報実践原則など、さまざまなデータ・プライバシー・フレームワークを使用してデータ・ポリシーを指針化できます。 2さらに、組織のデータ・ガバナンス戦略の詳細は、企業が遵守する必要があるプライバシー法(存在する場合)に大きく依存します。
とはいえ、ほとんどのフレームワークや規制に記載されている一般的なデータ・プライバシー原則がいくつかあります。これらの原則は、多くの組織のデータ・プライバシー・ポリシーやプロセス、制御に影響を及ぼします。
ユーザーは企業がどのようなデータを保持しているかを知る権利があります。ユーザーは、オンデマンドで自分の個人データにアクセスできるべきです。必要に応じて、そのデータを更新または修正できる必要があります。
ユーザーは、誰が自分のデータを所有しているのか、そしてそれを使って何をしているのかを知る権利があります。データ収集の時点で、組織は何を収集し、それをどのように利用するつもりなのかを明確に伝える必要があります。データ収集後、組織はデータの使用方法やデータを共有する第三者の変更など、主要なデータ処理の詳細についてユーザーに常に通知する必要があります。
組織は内部的に、保有するすべてのデータの最新のインベントリを維持する必要があります。データは、その種類や機密性レベル、コンプライアンス要件、その他の関連要素に基づいて分類する必要があります。アクセス制御と使用ポリシーは、これらの分類に基づいて適用する必要があります。
組織は、可能な限りデータの保存・収集・共有または処理についてユーザーの同意を得る必要があります。組織が対象者の同意なしに個人データを保持または使用する場合、公益目的の使用や法的義務など、やむを得ない理由がなければななりません。
データ主体は、データの取り扱いについて懸念を提起したり、異議を唱えたりする方法を持つ必要があります。対象者の同意はいつでも撤回可能でなければなりません。
組織は、収集および保持するデータの正確性を徹底するよう努める必要があります。不正確さはプライバシー侵害につながる可能性があります。たとえば、会社に古い住所が登録されている場合、誤って機密文書を間違った人に郵送してしまう可能性があります。
組織は収集するデータに対して明確な目的を持つ必要があります。この目的をユーザーに伝え、この目的のためにのみデータを使用しなければなりません。組織は、定められた目的に必要な最小限のデータのみを収集し、その目的が達成されるまでの期間のみデータを保管すべきです。
プライバシーは、組織内のすべてのシステムとプロセスのデフォルトの状態である必要があります。組織が設計または実装する製品はすべて、ユーザーのプライバシーを中心的な機能および主要な関心事項として扱う必要があります。データの収集と処理は、オプトアウトではなくオプトインにする必要があります。ユーザーは、あらゆる段階でデータの制御を維持する必要があります。
組織は、ユーザー・データの機密性と整合性保護のためのプロセスと制御を導入する必要があります。
プロセス・レベルでは、組織はコンプライアンス要件について従業員をトレーニングしたり、ユーザーのプライバシーを尊重するベンダーやサービス・プロバイダーとのみ協力したりするなどの措置を講じることができます。
技術的制御のレベルでは、組織はさまざまなツールを使用してデータを保護できます。IDおよびアクセス管理(IAM)ソリューションは、ロール・ベースのアクセス制御ポリシーを適用するため、許可されたユーザーのみが機密データにアクセスできます。Single Sign On(SSO)や多要素認証(MFA)のような厳格な認証対策は、ハッカーが正規ユーザーのアカウントを乗っ取るのを防ぐことができます。
情報漏えい対策(DLP)ツールはデータの検出と分類、使用状況の監視、ユーザーによる不適切なデータの変更・共有・削除を防ぎます。データのバックアップとアーカイブ・ソリューションは、組織が紛失または破損したデータの修復に役立ちます。
組織は、規制遵守のために特別に設計されたデータ・セキュリティー・ツールを使用することもできます。これらのツールには、多くの場合、暗号化、自動ポリシー適用、関連するすべてのデータ・アクティビティを追跡する監査証跡などの機能が含まれています。
今日の平均的な組織は、大量の消費者データを収集しています。この傾向は、今後数年間でさらに強まると予想されます。IDCの2023年のデータ・プライバシーと保護調査済みによると、 3ほぼ70%の組織が、今後3年間で扱うデータ量が増加すると予想しています。
組織には、善意からではなく、規制遵守やセキュリティー体制、競争上の優位性の問題として、このデータのプライバシーを確保する責任があります。
国連4のような機関は、プライバシーを基本的人権として認めており、多くの国がこの権利を法律に明記したプライバシー規制を採用しています。これらのほとんどの規制のには、違反した場合に厳しい罰則が設けられています。
欧州連合の一般データ保護規則(GDPR)は、世界で最も包括的なデータ・プライバシー法の1つと考えられています。これは、欧州内外に拠点を置くあらゆる企業がEU内居住者のデータを処理する際に従わなければならない厳格な規則を定めています。違反者には、最高2,000万ユーロまたは同社のグローバル売上高の4%の罰金が科せられます。
EU以外の国々にも、英国のGDPRやカナダの個人情報保護および電子文書法 (PIPEDA)、インドのデジタル個人データ保護法など、同様の規制要件があります。
米国には、GDPRほど包括的な連邦データ保護法はありませんが、より対象を絞った法律がいくつかあります。児童オンライン・プライバシー保護法(COPPA)COPPAは、13歳未満の児童の個人データの収集と処理に関する規則を定めています。医療保険の相互運用性と説明責任に関する法律(HIPAA)は、医療機関および関連団体が個人の健康情報の扱い方を対象としています。
これらの法律に基づく罰則は重大なものになる可能性があります。たとえば、2022年にEpic GamesはCOPPA違反で2億7,500万ドルという記録的な罰金を科されました。 5
米国には、カリフォルニア州消費者プライバシー法(CCPA) などの州レベルのプライバシー規制もあり、カリフォルニア州の消費者が自分のデータがいつどのように処理されるかをより詳細に制御できるようになっています。 CCPAはおそらく最もよく知られた州のプライバシー法ですが、バージニア州消費者データ保護法 (VCDPA) やコロラド州プライバシー法 (CPA) などの他の法律にも影響を与えています。
現在、組織はユーザーの社会保障番号や銀行口座の詳細など、多くの個人情報(PII) を収集しています。こうしたデータはハッカーの標的となり、個人情報の盗難や金銭の奪取またはダークウェブでの販売に利用される可能性があります。
さらに、企業は知的財産や財務データなど、ハッカーが狙う可能性のある独自の機密データを持っています。
IBMの2023年版データ侵害のコストに関する調査報告書によると、違反平均損害額は445万米ドルです。システムのダウンタイムによるビジネスの損失や、違反の検出と修復にかかるコストなど、多くの要因がこの価格に反映されています。
データ・プライバシーをサポートする同様のツールの多くは、違反の脅威を軽減し、全体的なサイバーセキュリティ体制を強化することもできます。たとえば、不正アクセスを防止するIAMソリューションは、プライバシー・ポリシーを適用しながらハッカーを阻止するのに役立ちます。データ・セキュリティー・ツールは、多くの場合、進行中のサイバー攻撃のシグナルとなる不審な活動を検出できるため、インシデント対応チームはより迅速に行動できるようになります。
同様に、従業員と消費者は、データ・プライバシーのベスト・プラクティスを採用することで、最も有害なソーシャルエンジニアリング攻撃の一部を防御できます。詐欺師は、ビジネスEメール詐欺(BEC)やスピア・フィッシング詐欺に利用できる個人データを見つけるために、ソーシャルメディア・アプリを精査することがよくあります。共有する情報を減らし、自分のアカウントをロックダウンすることで、ユーザーは詐欺師を強力な弾薬源から切り離すことができます。
ユーザーのプライバシー権を尊重することで、時に組織に競争上の優位性をもたらすことがあります。
消費者は、個人データを適切に保護しない企業に対する信頼を失う可能性があります。たとえば、ケンブリッジ・アナリティカのスキャンダルをきっかけに、Facebookの評判は大きな打撃を受けました。 6消費者は、過去にプライバシーを十分に確保できなかった企業と貴重なデータを共有することに消極的であることがよくあります。
逆に、データ・プライバシーの保護に定評のある企業は、ユーザー・データの取得や活用が容易にできる可能性があります。
さらに、相互接続されたグローバル経済では、データはしばしば組織間を行き来することがよくあります。企業は、収集した個人データをクラウド・データベースに送信して保管したり、コンサルティング会社に送信して処理したりする場合があります。データ・プライバシーの原則と実践を採用することは、データが第三者と共有される場合でも、組織によるユーザー・データの悪用を防ぐのに役立ちます。GDPRなどの一部の規制下では、組織はベンダーやサービス・プロバイダーがデータを安全に保つことを保証する法的責任を負っています。
最後に、新しい生成人工知能テクノロジーは、データ・プライバシーに関する重大な課題を引き起こす可能性があります。これらのAIに提供される機密データはツールのトレーニング・データの一部となる可能性があり、組織がその使用方法を制御できない可能性があります。たとえば、Samsungのエンジニアは、ChatGPTにコードを入力して最適化することで、意図せずに独自のソースコードを漏洩してしまいました。7
さらに、組織がデータを生成AIにかける許可をユーザーから得ていない場合、これは特定の規制の下でプライバシー侵害となる可能性があります。
公式のデータ・プライバシー・ポリシーと管理は、法律違反やユーザーの信頼の失墜、偶発的な機密情報の漏洩などを起こさずに、組織がAIツールやその他の新しいテクノロジーを導入するのに役立ちます。
IBM Security Guardiumは、脆弱性を発見し、オンプレミスとクラウドの機密データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア・ファミリーです。
IBM Securityソリューションは、ゼロトラストの原則と実績のあるデータ・プライバシー保護に基づく包括的で適応性のあるデータ・プライバシー戦略により、信頼できる顧客体験を提供し、ビジネスの成長に役立ちます。
IBM Security Verifyは、データ使用の目的全体にわたる同意決定ルールの自動化に役立つ、一元化された意思決定エンジンを提供します。
脚注
すべてibm.com外部へのリンク
1 NISTプライバシー・フレームワーク、 NIST
2 連邦プライバシー保護審議会 、 公正情報取扱原則
3 2023年版データ・プライバシーとデータ保護に関する調査、IDC、2023年2月
4 世界人権宣言、国連
5 フォートナイトのゲームメーカー、エピック・ゲームズ、プライバシー侵害と不当請求のFTC申し立てで5億ドル以上を支払う、連邦取引委員会、2022年12月19日
6 ケンブリッジ・アナリティカ・ファイル、ガーディアン紙
7 サムスンの従業員が誤ってChatGPT経由で企業秘密を漏洩、Mashable、2023年4月6日