データプライバシーとデータ保護
社員や顧客、ユーザー、株主のデータを扱う企業では、データプライバシーとデータ保護の重要性については既に周知されていると推測します。しかし、これらの用語の違いや、なぜ組織の成功に欠かせない要件になるかについては、意外と見落とされがちかもしれません。
悪意のある攻撃者からデータを確実に保護し、さらに、適切な権限を持つユーザーが重要な情報にアクセスできるようにするには、データプライバシーとデータ保護の違いを理解しておくことが必要です。
本記事では、データプライバシーとデータ保護が重要である理由と、ビジネスにおいてそれらを効果的に取り入れる方法について解説します。
データプライバシーとは何か、なぜ重要なのか?
一般的に、組織はデータプライバシー(データの守秘性を考慮したデータ処理とデータ収集に関するガイドライン)を適用し、PII(個人識別情報)や個人の健康情報へのアクセス権限を管理しています。データプライバシーのガイドラインの対象となる要素には、生年月日、氏名、社会保障番号、財務情報、連絡先情報、医療情報などが含まれます。
データプライバシーは、株主、顧客、従業員から守秘性の高い個人情報を受け取る組織にとって不可欠です。組織にはさまざまな関係者の個人情報を保護する責任があるため、承認された関係者だけがデータにアクセスできるようにする必要があります。さらに、データは組織が財務状況を把握し、事業を拡大し、さまざまな業務を遂行するうえで重要な役割を果たします。それらの情報には主要なスタッフがアクセスできる必要があるため、データプライバシーは、誰が合法的に特定の情報を閲覧・利用できるかを決定するのに役立ちます。
データプライバシーは、承認された関係者だけが守秘性の高い情報やデータにアクセスできるようにするため、多くの組織にとって不可欠です。堅牢なデータプライバシー対策は、犯罪者によるデータアクセスとデータの悪用を防止します。誰がデータにアクセスできるかを正確に把握していることで、問題が発生したときに、原因がどこにあるかを特定しやすくなります。
データプライバシーは、組織を犯罪者から守るだけでなく、規制に対するコンプライアンスにおいても極めて重要な役割を担います。データプライバシーに関する法律やガイドラインに違反すると、罰金を科せられたり、社会からの信頼を失ったりする恐れがあります。データプライバシーのガイドラインに従うことで、企業はブランドを守り、無駄な出費を抑えることができます。
データ保護とは何か、なぜ重要なのか?
データ保護は、情報プライバシーやデータセキュリティとも呼ばれ、データの可用性、完全性、プライバシーを確保するためのプロセスや戦略を意味します。本質的に、データ保護は、組織の情報やデータを不正アクセスから守ることを主眼としています。2021年には10組織のうち9組織がサイバーセキュリティ予算を増額していることから、ハッカーやその他の犯罪者からの防御が極めて重要であることは明らかです。
データ保護は組織のデータをセキュアに保つことを目的としているため、守秘性の高い情報を保存、収集、管理するあらゆる組織にとって不可欠です。組織が効果的なデータ保護戦略を策定していれば、データの盗難、破損、損失を防止できます。また、データ保護戦略を成功させることは、災害や情報漏えいが発生した際の被害の最小化につながります。
データ保護とデータプライバシーの違いとは?
データプライバシーとデータ保護は、混同して使われることがあります。しかし、両者には明確な違いがあり、組織を完全に保護するためには、違いを理解しておくことが重要です。データ保護は不正アクセスの防止に重点を置いています。それに対し、データプライバシーは正当なアクセスの確保を目的としており、その多くは誰がデータへの正当なアクセス権を持つかを決定することに帰着します。結果として、データ保護はより技術的な側面が強く、データプライバシーはポリシーに重点を置いたものとなります。
データ保護とプライバシーの7つの違い
データ保護とデータプライバシーのプロトコルや戦略を効果的に導入しようとしていると仮定しましょう。そのようなケースでは、両者の主な違いを理解し、それらがどのように連携して機能するかを学ぶことで、大きなメリットが得られます。両者の違いをよく理解することで、どちらか一方に過度に依存しない状態を確保できます。また、違いに関する詳細情報に加えて、保護とプライバシーに関する基本原則を活用することで、組織における保護対策をより堅牢なものにすることができます。
データ保護とデータプライバシーの主な違いを以下に示します。
1. データ保護とプライバシーでは、責任範囲が異なる
データ保護とデータプライバシーの導入を検討している場合には、両者の責任範囲を理解することが重要です。データプライバシーは、業界や政府が定めたさまざまな規制を遵守し、企業を法的トラブルから守る役割を担います。さらに、データプライバシーは、組織内でデータが共有される際の利用に関するポリシーを明確にする役割も果たします。
データプライバシーがポリシーや規制の遵守を担う一方で、データ保護はデータを保護する仕組みを確立します。これらの仕組みには、多くの場合、さまざまな規制やポリシーを遵守させるために設計された手順やツールが含まれます。データ保護の体制を整えることで、組織は悪意のある者によるデータへのアクセスや利用を防ぐために必要なツールを備えることになります。
2. データ保護がデータプライバシーを保証するとは限らず、その逆もまた然り
データ保護策を策定したからといって、データプライバシーが確保できるわけではありません。同様に、強力なデータプライバシープロトコルがあるからといって、効果的なデータ保護が保証されるわけでもありません。例えば、データプライバシーのガイドラインを策定したとしても、データ保護プロトコルが不十分であれば、不正なユーザーによるデータへのアクセスを阻止することは困難です。さらに、データ保護プロトコルを整備したとしても、データプライバシーの基準が不足していれば、守秘性の高いデータが不正なユーザーに対して無防備な状態のままになってしまう恐れがあります。
データプライバシーとデータ保護は互いに切り離せない関係にあるため、データをセキュアに維持するには両方の要素が不可欠です。これらを併用することで、悪意のある攻撃者からデータを守るために必要な技術的および法的な管理措置を講じることができます。
3. 安全性の目標における違い
データプライバシーとデータ保護は、組織に対してそれぞれ異なる種類の安全性をもたらします。データプライバシーは、誰が組織のデータにアクセス可能かを規定するものです。これにより、悪意のある者によってデータが販売されたり、共有されたりすることを防止します。不正な販売からデータを保護するには、信頼できるユーザーだけがデータにアクセスできる状態を確実に維持しなければなりません。データの不正販売は利益が大きく、不満を抱いた従業員などの内部脅威に起因することが多いため、データプライバシーに関するポリシーの策定は不可欠です。
データプライバシーが不正販売に対する安全性を高めるのに対し、データ保護は、ハッカーによる攻撃・被害の防止に重点を置いています。データ保護では、ハッキングによるデータセキュリティの侵害を阻止するために必要なツールや手順を導入します。このように、データプライバシーとデータ保護により得られる安全性の種類を理解することで、情報の安全性を脅かすさまざまな侵入行為に対し、より適切な対応策を講じることができます。
4. データ保護プロトコルを導入する前に、プライバシーの要件を明確にする
データ保護プロトコルを導入する前に、顧客やユーザーからどのようなデータを収集する必要があるかを整理することが重要です。決済情報、秘密情報、個人識別情報を収集するかどうかに関わらず、データ保護の検討は、データプライバシーの検討の後に行われるべきものです。データ保護は、既に収集され保存されているデータを対象とするものであるため、組織はまず、そもそもどのようなデータを収集したいのかを精査する必要があります。
データ保護プロトコルを策定するにあたっては、まず、必要なデータと不要なデータを分類することから始めます。データプライバシーの要件から確認することで、より適切なデータ保護基準の設定が可能になります。その結果、不要な保護対策に時間を消費することなく、より効果的なデータセキュリティ対策を実施することができます。
5. プライバシーの保護には、セキュリティの確保が不可欠
ユーザーや顧客からデータを収集する企業においては、データプライバシーのプロトコルを整備しただけでは、データの保護対策としては不十分です。データプライバシーの通常の対象範囲は、どのように合法的にデータを収集するか、収集後のデータをどう扱うかという点に限定されており、収集した情報のセキュリティについてはほとんど実効性がありません。
データプライバシーだけでは情報のセキュリティを制御しきれないため、データ保護対策も講じる必要があります。データ保護の仕組みを導入することで、悪意のある者によるデータへの不正アクセスを阻止できます。データプライバシーとデータ保護は共生関係にあり、真のデータプライバシーを実現するには、組織的なデータセキュリティ対策が不可欠です。
6. 企業は保護に、ユーザーはプライバシーに責任を負う
ユーザーや顧客からデータを収集する企業は、誰がデータプライバシーとデータ保護の管理責任を負うのかを明確にしておく必要があります。データの収集と保存において、多くの場合に、ユーザーがデータプライバシーを管理し、組織がデータ保護を管理します。通常では、各ユーザーが、共有するデータの内容や共有相手を自ら決定し、データプライバシーにおいて重要な役割を担います。
ユーザーがデータプライバシーにおいて重要な役割を担う一方で、ユーザーが組織と共有したデータを保護する責任の大部分は組織にあります。多くのケースで、ユーザーは自分のデータに対してどの程度のセキュリティを望むかを示し、組織はそれを受けて、適切なデータ保護対策を講じなければなりません。組織が責任を果たすことで、法的なトラブルや信頼性の低下を避けることができます。
7. 組織が誰にデータへのアクセスを許可するかと、実際に誰がデータにアクセスできるかは異なる
データ保護とデータプライバシーをさらに区別するうえで重要なのは、データプライバシーが「誰にデータへのアクセス許可を与えるべきか、あるいは与えるべきではないかの判断に重点を置いている」と理解することです。組織が情報へのアクセスを許可すべき対象を決定する過程で、その組織のデータプライバシーの基準も更新されていくことになります。データへのアクセス権を誰に付与すべきかを決定することは不可欠です。しかし、それだけでは不正アクセスから情報を完全に保護することはできません。
データプライバシーだけでは、不正な第三者からの情報を完全に保護することはできないため、次のステップとしてデータセキュリティが必要になります。言い換えると、データプライバシーがアクセスに関する基準を定義し、データセキュリティがその基準の確実な適用を可能にします。
データプライバシーとデータ保護を導入するためのヒント
データプライバシーとデータ保護は密接に関連しており、企業においては、両方を適切に導入することが求められます。効果的なデータプライバシーとデータ保護基準を導入するための主なヒントを以下にご紹介します。
1. 専門家の知見が重要
データプライバシーとデータ保護の基準や仕組みを確立する前に、その分野の知識を持つ専門家の協力を得ることが重要です。法的リスクや信頼性の低下を回避するには、適切なデータプライバシー対策が必要です。そのため、多くの組織がデータプライバシー基準の策定を専門家に依頼します。例えば、政策、エンジニアリング、法律などの分野の専門家を採用し、データプライバシーソリューションの構築や検証を実施するケースがあります。
IT、データセキュリティの専門家に相談してソリューションを構築する方法も一般的です。重要な情報や業務を保護するにはデータ保護が必須であり、効果的なセキュリティ体制の確保には専門家のノウハウが欠かせません。データプライバシーとデータ保護の専門家を頼ることで、可能な限り堅牢なデータ保護をめざします。
2. 従業員による守秘性の高い情報へのアクセスを制限する
企業がデータ漏えいを起こしたり、規制を遵守できなかったりする主な原因の一つは、人為的ミス(ヒューマンエラー)です。このリスクを考慮すると、従業員による守秘性の高いデータへのアクセスを制限することは、多くの場合において賢明な判断となります。データにアクセスできる人数を減らすことで、ミスや情報の不適切な使用によるリスクを低減できます。
当然ながら、従業員には業務の遂行に必要なデータへのアクセス権は付与する必要があります。従業員にどの程度のアクセス権を与えるかを決定する際には、誰がどのようなデータを必要としているか、また、データの使用状況をどのように監視するかを必ず検討してください。データを必要とする人物にのみアクセス権を付与し、データの適切な取り扱いについてのトレーニングを実施することで、人為的ミスによるリスクを低減できます。
3. 可能な限り自動化を行う
ミスを減らすためにデータへのアクセスを制限するだけでなく、データ保護とプライバシーに関するプロセスの多くを自動化することで、人為的ミスのリスクを低減できます。データプライバシーとデータ保護ソリューションを導入すれば、セキュリティやコンプライアンスに関する多くの業務を容易に自動化できます。例えば、データ分類プロセスを自動化することで、スタッフは他の重要な業務に注力できると同時に、分類ミスの防止につながります。
日々の業務を遂行するなかで、全ての規制やコンプライアンスについてスタッフが完全に記憶するのはほぼ不可能です。データコンプライアンスの自動化により、スタッフは規制の遵守について過度に心配する必要がなくなり、ミスを犯しやすい状況に置かれることもなくなります。また、自動化された保護ソリューションは、データ漏えいのリスク低減と、業務上のエラーの防止を可能にします。
Boxによるデータ保護とプライバシーの支援
Boxでは、データ保護とデータプライバシーは密接に関連していると考えています。Boxのインテリジェントコンテンツ管理プラットフォームは、データ保護とプライバシーに関する専門知識を活かし、お客さまのデータを保護するために必要なプライバシーとセキュリティの機能を提供します。Boxのプラットフォームがどのようにデータ保護とプライバシーの強化を実現するかについてご理解いただけるよう、Boxのセキュリティとコンプライアンスのソリューション、ならびにBox Shieldについて以下に説明します。
セキュリティとコンプライアンスのソリューション
Boxのセキュリティとコンプライアンスのソリューションは、情報の流れを保護・管理することで、データのプライバシーと保護を実現します。主な特長を以下に示します。
- コンプライアンスとガバナンスの簡素化:Box Governanceは、世界各国のさまざまなプライバシー規制やコンプライアンス要件への対応を簡素化します。コンテンツクラウドにデータを保管することで、コンテンツの廃棄、保存、保持に関する調整可能なデータプライバシーポリシーを容易に設定できます。Boxの活用により、罰金を回避し、責任ある組織としてのブランドのレピュテーションも高まります。
- フリクションのない細粒度のセキュリティ:Box Shieldには、データのアクセス権限を制御する機能が組み込まれており、企業のニーズに合わせてセキュリティ制御をカスタマイズできます。これらの制御機能には、厳格なユーザー認証や細粒度の権限設定などが含まれます。さらに、Boxに追加される全てのファイルは、さまざまな場所でAES 256ビット暗号化が適用されます。また、Box KeySafeは、暗号化キーの管理を支援し、アクセスの追跡や不審なアクティビティの特定を可能にすることで、セキュリティをさらに強化します。
- 包括的な制御と可視性:承認された全てのユーザーが組織のデータを適切に利用していることを確認するには、データに対する包括的な制御と可視性が必要です。Boxは、社内外での業務の進捗状況の監視を可能にすることで、データアクセスの制御と可視性を実現します。監視機能に加え、Boxは完全な監査証跡によるインサイトを提供し、不適切なデータ利用が発生した場合の対策を支援します。また、Boxは機械学習を活用して脅威からの保護も実施します。
Box Shield
Box Shieldは、データ漏えいの防止、クラウドセキュリティポートフォリオとの統合、自動分類、インテリジェントな検知機能を備えています。これらの機能は、情報を簡単かつ効果的に保護するためのツールとしてお客さまを支援し、データセキュリティにおける優位性をもたらします。
Box Shieldの主な機能を以下に示します。
- インテリジェントな検知:機械学習を活用し、マルウェア攻撃、内部脅威、アカウントの不正利用に関する正確かつタイムリーなアラートをユーザーに通知します。管理者は、これらのアラートを評価して悪意のある行為者を特定し、対応策を講じることができます。脅威について確信が持てない場合には、アラート情報を他のツールに送信して詳細な分析を行うことも可能であり、セキュリティチームが可能な限り情報に基づいた効果的な判断を下せるよう支援します。
- データ漏えいの防止:データを漏えいから守るには、データ保護対策が必要です。Box Shieldはコンテンツの近くにデータ制御機能を配置し、ユーザーがアクセスポリシーを迅速に設定できるようにすることで、リアルタイムで漏えいを阻止します。フリクションレスなエンドユーザー体験を実現しており、ポリシーは容易に設定できます。データ漏えいのリスクを低減させると同時にスタッフの業務負荷を軽減し、他の業務への注力を可能にします。
- 自動分類:コンテンツを手動あるいは自動で分類できます。設定したデータポリシーに基づき、Box Shieldの強力なネイティブ機能がファイル内の顧客情報、個人識別情報、知的財産を識別し、それらを自動的に分類します。この自動分類機能により、組織の規模が拡大しても、時間を節約し、データを保護することができます。
- クラウドセキュリティポートフォリオとの統合:Box Shieldは、お客さまが既に利用されているクラウドベースのさまざまなセキュリティツールとの連携が可能です。アラートをCASBやSIEMと統合することで、一元化された可視性を提供します。この統合により、セキュリティポートフォリオ全体に価値のあるアラートと制御機能を追加することができます。
Boxが提供するソリューションの詳細
Boxは、データプライバシーとデータ保護に関する多様な支援策を備えており、貴社のニーズに沿ったソリューションを提供します。Boxのソリューションを導入することで、アクセス権、データ、ユーザーの細粒度の制御が可能となり、データのセキュリティを最大限に強化することができます。また、規制要件への準拠を簡素化し、データのライフサイクル全体にわたる管理とガバナンスを実現します。
Boxが提供するサービスについて詳しくは、こちらのページをご覧ください。ご質問、ご相談も承っておりますので、お気軽にご連絡ください。また、無料でお試しいただくこともできます。
**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、この記事で提供される情報は、法的助言の提供を意図したものではありません。適用される法律に対するコンプライアンスを検証する際には、お客さまが自らデューデリジェンスを実施することを推奨します。