データ保護への全体的なアプローチとは
Gartner®社の調査によると、2024年までに世界の人口の75%が最新のプライバシー規制の下で個人データを保有することになると予測されています¹。複雑化するポリシーとテクノロジーを駆使して、機密データへのアクセス性と保護性を確保することが、これからのデータ・リーダーの責務となります。データ保護とは、プライバシー、コンプライアンス、データ・セキュリティー、データ倫理の総称です。データ保護とサイバーセキュリティーに対して包括的なアプローチを取ることで、ランサムウェアなどのサイバー攻撃を防ぎ、また規制を順守して高額な罰金を回避し、信頼性の高いAIを提供し、卓越した顧客体験を実現できます。
2022年には、データ侵害のコストは過去最高を記録し、平均で435万米ドルに達しました²。これには、ブランドの評価や顧客ロイヤルティーに関する目に見えないコストは含まれていません。消費者は自分の個人データを保護することを望んでおり、ポリシー・メーカーは新たなデータ・プライバシー規制によってこのような要望に対応しています。こうしたデータ・コンプライアンス・ニーズの高まる新たな時代への準備ができていない企業は、大きな代償を払うことになります。GDPR、CCPA、LGPDなどの規制が台頭するにつれ、企業全体のデータ戦略に包括的なデータ保護を取り入れることが世界標準となりつつあります。
このアプローチでは、データを収集し、そのデータのコンプライアンスと非公開性を維持する方法を検討するだけでなく、現在世界中で機密データがどのように使用されているのかを理解する必要があります。そのため、これからの企業は以下のような問いかけをしなければなりません。このデータを収集するのは倫理的に正しいか。この情報を使って何をするつもりなのか。私たちはこのデータを収集した個人に対して自分たちの意図を説明したか。このデータはどのくらいの期間、どこで保存されるのか。リスク管理やマルウェアの進歩に適切に対応できているか。データ収集に携わる人、特に企業の経営陣は、このようなテーマに精通している必要があります。
IBMのDistinguished Engineer(技術理事)であり、信頼できるデータおよびプライバシー・エンジニアリング・ストラテジー&ソリューション担当CTOであるNeera Mathurは、「データ保護に関するポリシーは企業の最上層部で決定し、全社で適用されなければなりません」と述べています。Mathurは次のように続けます。「弊社のCEOであるArvind Krishnaは、『信頼こそが我が社の経営ライセンスである』という有名な発言をしましたが、この言葉がすべてを物語っていると思います。IBMに提供される個人データは、IBMで適切に管理されます。データを適切かつ倫理的に保護することで、弊社に携わる皆様の弊社に対する信頼が高まります。責任とは企業の最上層から始まり、徐々にすべての部門に広がっていくものである、私はそう考えています」
Gartnerr®社の調査によると、2024年までに世界の人口の75%が最新のプライバシー規制の下で個人データを保有することになると予測されています¹。
2022年には、データ侵害コストは過去最高を記録し、平均で435万米ドルに達しました²。
弊社のCEOであるArvind Krishnaは、『信頼こそが我が社の経営ライセンスである』という有名な発言をしましたが、この言葉がすべてを物語っていると思います。IBMに提供される個人データは、IBMで適切に管理されます。データを適切かつ倫理的に保護することで、弊社に携わる皆様の弊社に対する信頼が高まります。責任とは企業の最上層から始まり、徐々にすべての部門に広がっていくものである、私はそう考えています。
Neera Mathur
IBM、Distinguished Engineer(技術理事)、信頼できるデータおよびプライバシー・エンジニアリング・ストラテジー&ソリューション担当CTO
IBM
データ保護の柱
データ倫理、データ・プライバシー、データ・セキュリティーという3本の主要な柱は、データ保護という傘の下で相互に機能して、絶え間なく変化する規制とビジネスの期待に対応するよう構築された柔軟なフレームワークをサポートし、ユーザーの信頼を確保します。
1本目の柱
概要
データ倫理
データ保護に関する企業の文化的視点は、データ・プライバシーとデータ・セキュリティーのポリシーの制定や実行方法に表れます。Harvard Business Schoolでは、「データ倫理」を個人情報の収集、保護、使用に関連する道徳的義務、およびこのような行為が及ぼす影響と定義しています³。データに関して責任ある決定を行い、信頼できるAIを推進するには、以降で例証するデータ倫理の原則を検討する必要があります。
権利の帰属
権利の帰属
データ倫理の習得は、使用しているデータの所有者を知ることから始まります。ユーザーが貴社にデータを提供したからといって、貴社がそのデータを所有できるわけではありません。ユーザーから同意を得ることに加えて、データ保護とデータ尊重の遵守が不可欠です。データ保全性の保持とは、決してデータを不正利用したり、利用後すぐ廃棄したりしないことを意味します。
透明性
透明性
データ保護の観点では、「透明性」とは、顧客のデータがどのように使用されるかについて顧客からの承認を得ることを意味します。米非営利調査機関、Pew Research Centerの調査によると、81%の人が、データ収集に伴う潜在的リスクがメリットを上回ると考えています⁴。こうした記録的な不信を克服するために、顧客データの目的とライフサイクルに関するユーザーの理解を高めるだけでなく、貴社が顧客データを誠意を持って適切に使用することをユーザーにお知らせすることで、ユーザーに安心していただかなければなりません。
プライバシー
プライバシー
企業が情報を収集、保管、分析する場合、その情報は、最初にその情報を取得した際に同意を得た内容以外の目的で使用、保管、共有、管理、保持、廃棄できません。これにより、データ・プライバシー戦略が、データ倫理やデータ・セキュリティーのポリシーを強化することにもつながります。
目的
目的
貴社がソリューション・プロバイダーであるか、デジタル・プロバイダーであるかにかかわらず、データや機械知能を使用する際には、常に目的を明確にする必要があります。信頼できるAIは、データとテクノロジーがどのように連携し、なぜAIがその意思決定を行うのかを必ずユーザーが理解できるようにします。説明ツールキット、AIテクノロジーの分類、AIガバナンス・ソリューションなどの、AIの信頼性を高めるためのツールにより、ユーザーが貴社の目的を理解して、貴社のテクノロジー、プロセス、さらにはそのデータの使用結果を信用できるようになります。
予防
予防
データ侵害、ランサムウェア攻撃、ユーザーによる手違いなどは顧客に害を及ぼし、貴社に対する顧客の忍耐、ロイヤルティー、信頼を損ねる可能性があります。このような問題は起こり得るものであり、実際に起こるため、リスク管理のための安全措置を整備しておくことが不可欠です。IBMのある調査によると、セキュリティー戦略の一環としてAIや自動化を十分に導入している企業は、これをまだ行っていない企業と比較して、データ侵害時にかかるコストを平均305万米ドル節約しています。
2本目の柱
概要
データ・プライバシー
データ倫理とは、原則に従った行動と慣例によりデータ管理を実現するエンタープライズの文化を確立することです。このような倫理とデータ・リテラシーの文化が企業全体で採用され、自社の製品および運用に反映されるのが理想的です。一方、データ・プライバシーとは、人、ビジネス・プロセス、テクノロジーを通じてこれらの原則に従った行動を活性化させるポリシーと慣例を定義し、収集から保存に至るデータのライフサイクル全体でこれらのポリシーと慣例を運用可能にすることです。データ・ファブリック・アプローチの一環としてデータ倫理とデータ・プライバシーを作成して自動化することで、堅固なデータ・ガバナンス ・フレームワークを構築できます。
データ・ガバナンスにより、プライバシー保護のためのデータへのアクセス制限と、分析力向上のためのデータへのアクセス拡大とのバランスを取ることができます。組織が不正アクセスからデータを保護する一方でデータへのアクセスをよりスムーズにするためには、データ・アクセス制御などの適切なデータ・プライバシー・ツールを実装する必要があります。こうしたデータ・プライバシー・ツールをAIと結合すると、識別不能な方法で使用できるように機密データを匿名化し、ポリシーの適用を可能にするためにデータをタグ付けすることが可能になります。
データ・ファブリックなどの適切なデータ・アーキテクチャーを厳しいデータ管理と組み合わせると、個人データを非公開かつセキュアに保ちながら、データ・ユーザーがその個人データから洞察を獲得しやすくなります。
「規制の変更、サード・パーティー・データ、AIに関する新たな規制、さらに今後発生する可能性のある様々な新展開などに対処するために、データ保護フレームワークは柔軟性と対応性に非常に優れている必要があります」と、IBMチーフ・プライバシー・オフィスのサービス、コンプライアンス&リサーチ担当バイス・プレジデントのLee Coxは述べています。「データ・プライバシー、データ倫理、データ・ガバナンスの間には、当初考えられていたよりもかなり密接な関連性が存在します。しかし最新のテクノロジーを活用して、以前よりもはるかに効率的かつ大規模に、データを信頼して処理できるようになりました」
データ・プライバシーのメリット
データ・プライバシーのメリット
データ・プライバシーは、顧客データを保護しながら変化する規制の中で信頼を維持する過程における最優先事項です。ただし今日の市場においては、データ・プライバシーはビジネス上の差別化要因にもなります。「プライバシー・プログラムをグローバルにサポートするテクノロジーを向上させることで、データ・プライバシーは弊社全体のビジネスの手法を高め、収益の増大に直接的に寄与して弊社の競争上の優位性を促進します」とIBMのチーフ・プライバシー・オフィサーのChristina Montgomeryは述べています。
2018年のGDPRの導入により、IBMを含む多くの企業は、プライバシー・プログラムの策定を加速させようという意欲をかき立てられました。グローバル企業にとって必然的な最初の一歩は、ローカルな法的要件を調整して、グローバルなプライバシー・コンプライアンス・フレームワークに統合することです。例えばIBMでは、数千の既存のデータ・リポジトリーのメタデータを分類し、中央のデータ・ファブリックに統合しています。これにより、どのようなタイプの個人情報が現在社内で処理されていて、その処理を担当しているのが誰で、そのデータがどこに保存されているのかを素早く確認できるようになっています。また統合型のプライバシー・フレームワーク(PDF、4.7 MB)を実現することで、メタデータ駆動型の手法と、IBMの規制リスクを軽減するための基本となる信頼できる唯一の情報源が確立されました。進化し続けるデータ・プライバシー規制の先を進み続ける方法をご覧ください。
データ・プライバシーの要素
データ・プライバシーの要素
単なる規制コンプライアンスだけでなく、それ以上のセキュリティーを実現する企業は、顧客との信頼を築き、競合他社を制することが可能になります。この包括的で状況適応型のデータ・プライバシーの手法は、以下のようなメリットをもたらします。
データ・リスクの把握
データの使用状況と、顧客と規制上の責任に対するリスクを評価します。
安全なデータ共有
サイバーセキュリティーを制御することにより個人データを保護し、信頼できる体験を提供します。
インシデント対応の自動化
インシデント対応を効率化して、リスクとコンプライアンスの問題を修正し、より簡単に拡張できるようにします。
3本目の柱
概要
データ・セキュリティー
「テクノロジーは進化していますが、脅威も急激に増大しています」とIBMの技術理事、およびデータ・プラットフォーム・サービス担当グローバルCTOであるMehdi Charafeddineは述べています。「幸いにも、データ保護を適用し、データ・プライバシーをサポートするための多くの優れた手法が登場してきています」
Gartner社によると、データ・セキュリティーは、データの移動中や保存中にかかわらず、機密情報資産を保護するプロセスと手法で構成されています。そのためデータ・セキュリティーでは、暗号化、多要素認証、マスキング、消去、データ・レジリエンスなど、データ・プライバシーを保護するために使用されるツールやソフトウェアのすべてが重要です。とはいえ、適切なアプリケーションやアリゴリズムを実装するだけでなく、適切な制御やポリシーを実装できる企業文化を醸成することも非常に重要です。
テクノロジーの観点から言えば、データはデータ・ファブリック・アーキテクチャーを使用して保護できます。データ・ファブリック・アーキテクチャーでは、ユーザーがアプリケーションでデータと対話する「フロント・ドア」と、データが生成および保存されるソースである「バック・ドア」に加えて、これらの2つのドアの間に存在するすべての場所でデータが保護されます。このフロント・ドア/バック・ドアのアプローチは、適切なデータ・セキュリティー・ポリシーと制御を確保するのに不可欠です。
「IBMの多くのお客様は、複数の地域でデータを運用されています」とIBMのデータ・ガバナンス、データ・プライバシー、データサイエンスのための製品管理担当ディレクターであるPriya Krishnanは述べています。「そのため、こうしたお客様のデータ・サイエンティストは、複数の地域をまたいで分析を実行したいと考えていました。しかし多くの場合、データのサイロ化や集中ガバナンスの欠如により、データを共有できません。このような場合、古い解決策に従えば「見つからないデータを想像したりシミュレーションを行うことで、そうしたデータをモデル化する」ことしかできませんでした。しかし、データ・ファブリックを実装することで、企業は適切なガバナンスとプライバシーのルールを適用してデータをデータサイエンティストに提供できるようになるだけでなく、データサイエンティストは組織横断型のイニシアチブを発揮できるようにしました」
データ・セキュリティー対策をエンドツーエンドのデータ管理に組み込むことは、特に機密データのセキュリティーとプライバシーの両方をサポートする上で重要です。ある病院での医療研究を例に取ってみましょう。この病院では、サード・パーティーの専門家やデータサイエンティストとたびたび協業しています。業務の中では特定のデータやアプリケーションの取り扱いが必要になるのですが、その専門家やデータサイエンティストには規制対象のデータや個人を特定できる情報を参照する権限がありません。こうした場合、自動化された役割ベースのデータ・ポリシーを導入することで、アプリケーション・レベルでのプライバシーやコンプライアンスの観点からこのような機密データを保護しながら、同時に異なる関係者とのコラボレーションができるようになります。さらに、信頼できるAIを実現するには、保管されているソース(例えば、そのデータが最初に収集された場所にあるオンプレミスのデータベースなど)で、そのデータが保護されている必要があります。そうしなければ、サイバー犯罪者がこれらのシステムに侵入した場合、患者情報は依然として脆弱な状況に置かれたままになります。
データ・セキュリティーを正しく実行することにより、人、プロセス、テクノロジーの全体で、AIに対する信頼を高めることができます。エンタープライズのすべての領域で情報セキュリティーを優先するために、以降のベスト・プラクティスを検討してください。
データがどこに存在し、誰がアクセスできるかを知る
データがどこに存在し、誰がアクセスできるかを知る
機密データを保護するための重要なステップには、可視化の自動化、コンテキスト化、アクセス・ポリシーの制御、さらに漏えいが発生する前に脆弱性やリスクを特定するための継続的な監視などがあります。
データを保護して最悪の漏えいを防ぐ
データを保護して最悪の漏えいを防ぐ
オンプレミス環境またはハイブリッドクラウド環境におけるサイバーセキュリティーのギャップに対処する、自動的に作成され、安全に隔離されるデータ・コピーなどの、統合機能スイートを備えたデータ管理へのゼロトラスト・アプローチをサポートします。
コンプライアンスの簡素化
コンプライアンスの簡素化
チームにとって、増加するプライバシーに関する規制の数に対処するだけでも十分大変です。その上、チームはレポート作成という作業にも対応しなければなりません。自動化、分析、アクティビティーの監視により、プロセスを簡素化します。
データ保護の開始点とは
こちらの6つのステップでデータ保護戦略を開始しましょう。
1
経営陣の動員
適切なデータ保護戦略を導入するには、企業全体の賛同を得る必要があり、そのような賛同は企業のトップからのサポートとスチュワードシップから始まります。
2
エグゼクティブによるチームの構成
データ保護に重点を置く戦略委員会を設立します。このステップによって、最高レベルのエグゼクティブがコミットしていることを示すことができます。例えばIBMでは、SVPレベルでプライバシー諮問委員会と倫理審査委員会がポリシーを推進し、データ保護に関する使命感を高めます。「これにより弊社の戦略を検証できるだけでなく、こうした手法はビジネス全体での意思決定と影響力を高めるための強力な促進要因の役割を果たします」とCoxは述べています。
3
コラボレーションの活性化
戦略委員会は定期的に開催し、データ保護戦略の策定および検証を行う必要があります。このプロセスにより、データ保護とデータ・プライバシーがデータ保護とビジネス目標の中核を成していることを確認できます。データ・ガバナンスとデータ・プライバシーに重点的に取り組むIBMのデータ・ファブリック・アーキテクトであるChristopher Giardinaは、「最も優れたコラボレーション・モデルの1つは、中央データ・オフィス、CEOのオフィス、および中央プライバシー・オフィス間のコラボレーションです」と述べています。
4
サービス・ラインの強化
企業全体の経営陣に、データ保護要件を適切に満たしてすべてを行うよう促します。適切な戦略委員会、一元化されたデータ保護ポリシー、必要な教育サービスとテクノロジーにより、サービス・ラインとビジネス・ユニットは連携してデータ保護戦略の目標を達成できます。
5
戦略の統一
しっかりしたデータ保護フレームワークがあれば、統合データ戦略によって企業文化を変化させることで組織を変革するだけでなく、異なる部門やビジネス・ユニットをまとめあげることができます。CDOだけでなく、CPOやCIOもデータ保護の競争上の優位性について論じることができれば、信頼と透明性により増収を促進するビジネス・ケースの構築にもつながります。「エンタープライズ・レベルで見れば、これは社内に存在する従来型のサイロを解体しなければならないということです」とCoxは言います。
6
ガバナンスの自動化
データ保護とデータ・プライバシーを大規模に提供するには、企業はガバナンス・フレームワークを配置して、データをアクセス可能な状態でありながら保護された状態にしておく必要があります。データ・ファブリック・アーキテクチャーは、データ・ガバナンスおよびデータ・プライバシーを自動化し、将来に備えてレジリエンスを維持するのに必要な手法を企業に提供します。
お客様事例
信頼の問題
テクノロジーがどのように機能するのかを理解していただくだけでなく、安全で信頼できるテクノロジーだと感じていただけて初めて、そのテクノロジーは信頼されるようになります。そこで、IBMが開発したワークフローについて考えてみましょう。このワークフローは、過敏性腸疾患(IBD)の薬に対する患者の反応性(高いまたは乏しい)を正確に予測します(精度:95%)。このワークフローでは、薬剤反応を調べるためにIBD患者データと説明可能なAI技術を組み合わせることで、一連のアルゴリズムを獲得しました。このアルゴリズムにより、IBDデータのブラックボックスを解明することが可能であることが示されました。またIBDに苦しむ人々が、市販されている各種の薬や開発中の薬にどのように反応するかを理解、予測、説明することも可能になったのです。
継続的で反復的なジャーニー
データ保護への包括的なアプローチは、一度だけでは終わりません。これは、法律や規制、ビジネス・ニーズ、さらには顧客の期待の変化によって進化する、継続的で反復的なジャーニーです。この継続的な取り組みには、価値があります。なぜなら結果的にこの取り組みは、データ戦略をデータ駆動型企業の中核と設定することで、競争上の差別化要因を生み出しているからです。結局のところ、データ保護とは信頼を育む作業です。進化するデータ環境の中でコンプライアンスとセキュリティーを確保するための、倫理的で持続可能で適応性の高いデータ戦略を実現することが、企業をマーケット・リーダーに育てることになるのです。
次のステップ
どのように始めますか?
適切なデータ・アーキテクチャーは、反復的なプロセスで構築されていきます。時間の経過とともに、お客様のビジネスに適応しながら成長していきます。 ぜひ、IBMにご相談ください。
脚注
¹ 「2024年までのプライバシーに関する上位5つの傾向をGartner社が特定」(リンクはibm.comの外部にあります)、プレス・リリース、Gartner、2022年5月31日。
² 「データ侵害によって発生するコストに関するレポート(2022年)」(PDF、2.4 MB)、IBM Security®の委託によりPonemon Instituteが作成、2022年7月。
³ 「ビジネスのためのデータ倫理の5つの原則」、Business Insightsブログ(リンクはibm.comの外部にあります)、Harvard Business School Online、2021年3月16日。
⁴ アメリカ人とプライバシー:顧客の自分の個人情報に対する懸念、困惑、および管理できないことに関する感情(リンクはibm.comの外部にあります)、2019年11月15日。