Gartnerの調査によると、2024年までに世界人口の75%が最新のプライバシー規制の下で個人情報の保護を受けるようになると予測されています¹。データ・リーダーとしての役割は、ますます複雑化するポリシーとテクノロジーを制御し、機密データへのアクセスと保護の両方を確実にすることです。データ保護は、プライバシー、コンプライアンス、データ・セキュリティー、データ倫理を包含する総称です。データ保護とサイバーセキュリティーに対して包括的なアプローチを取ることは、ランサムウェアを含むサイバー攻撃に対する保護手段であり、法規制への準拠を維持することで、高額な罰金を回避し、責任あるAIを提供し、優れた顧客体験を創出します。
2024年に、データ侵害のコストは過去最高を記録し、平均488万米ドルに達しました。²また、そこではブランドの評判や顧客ロイヤルティーに対する隠れたコストは考慮されていません。消費者は個人データの保護を望んでおり、政策立案者は新たなデータ・プライバシー規制でこれに対応しています。この新しい時代のデータ・コンプライアンスのニーズに備えていない組織は、高い代償を払うことになりかねません。GDPR、CCPA、LGPDのような規制が増えるにつれて、全体的なデータ保護をデータ・ストラテジー全体に織り込むことが組織にとって世界的な期待になりつつあります。
このアプローチは、データがどのように収集され、そのコンプライアンスと非公開性を維持するかということだけでなく、機密データが今日の世界でどのように使用されているかを理解することでもあります。そのため、組織は次のような質問をせざるを得なくなります。このデータを収集することは倫理的か。この情報を使って何をするのか。このデータを収集した個人と意図を共有しているか。このデータはいつまで、どこに保存されるのか。リスク管理やマルウェアの進歩に対応できているか。データ収集業務に携わる人、特に組織のリーダーは、これらの会話によく精通している必要があります。
Gartnerの調査によると、2024年までに世界人口の75%が最新のプライバシー規制の下で個人情報の保護を受けるようになると予測されています。¹
2024年に、データ侵害のコストは過去最高を記録し、平均488万米ドルに達しました。²
データ倫理、データ・プライバシー、データ・セキュリティーという3つの主な枠組みは、データ保護の傘の下で共に機能し、刻々と変化する規制やビジネスへの期待、責任あるAIの拡張、ユーザーの信頼の維持に対応する柔軟なフレームワークをサポートします。
枠組み1
データ保護に関する組織の文化的見解は、データ・プライバシーおよびセキュリティー・ポリシーの制定と実行の方法に反映されます。ハーバード・ビジネス・スクールは、「データ倫理」を、個人情報の収集、保護、使用に結びついた道徳的義務、およびこれらの行為がもたらす影響と定義しています³。データに関する適切な意思決定を行い、責任あるAIを推進するために、データ倫理の以下の原則を考慮してください。
データ倫理を正しく理解するには、使用しているデータの所有者を知ることから始まります。ユーザーがデータを提供したからといって、そのデータを所有することにはなりません。同意は必須であり、データ保護とデータ尊重も同様です。データの整合性を維持するとは、決してデータを悪用せず、使い終わったらすぐにデータを消去することを意味します。
データ保護の用語では、透明性とは、データがどのように使用されるかをお客様と明確にすることを意味します。Pew Research Centerによると、81%の人が、データ収集の潜在的リスクはメリットを上回ると答えています。⁴このような歴史的な不信感を克服するためには、ユーザーが顧客データの目的とライフサイクルを理解できるようにすることで、組織が顧客データを適切かつ最善の意図で使用するという安心感を持てるようにします。
企業が情報を収集し、保管し、分析する場合、その情報を最初に取得した際に合意した目的以外で使用、保管、共有、維持、保持、または消去してはなりません。この事例では、データ倫理とセキュリティー・ポリシーを強化するために、データ・プライバシー・ストラテジーが再び登場します。
組織がソリューション・プロバイダーであれ、デジタル・プロバイダーであれ、データと機械知能を利用する際には、常に目的を明確にしてください。責任あるAIは、データとテクノロジーがどのように連携し、なぜAIがそのような決定を下すのかをユーザーが理解できるようにします。説明ツールキット、AI手法の分類法、AIガバナンス・ソリューションなど、AIへの信頼を高めるツールは、ユーザーが意図を知り、テクノロジー、プロセス、データ利用の成果を信頼できるようにするのに役立ちます。
データ侵害、ランサムウェア攻撃、手違いはお客様にとって有害であり、お客様の忍耐力、ロイヤルティー、組織に対する信頼が試されることになります。これらは起こり得る問題であり、今後も起こると思われるため、リスク管理上の保護手段を講じることは極めて重要です。あるIBMの調査によると、セキュリティー・ストラテジーの一環としてAIとオートメーションを完全に導入している企業は、まだ導入していない企業と比較して、データ侵害のコストを平均305万米ドル削減していることがわかりました。
枠組み2
データ倫理とは、データ管理のための原則的な行動と実践の企業文化を確立することです。理想的には、このような倫理とデータ・リテラシーの文化が組織全体に採用され、製品や業務に反映されます。一方、データ・プライバシーは、人、ビジネス・プロセス、テクノロジーを通じて、これらの原則的な行動を活性化するポリシーとプラクティスを定義し、データの収集から保存に至るデータのライフサイクル全体で運用することです。この方法は、データ・ファブリック・アプローチの一環として、強固なデータ・ガバナンス・フレームワークを構築し、自動化することの中核となる部分です。
データ・ガバナンスは、プライバシーを確保するためにデータへのアクセスを制限することと、分析を向上させるためにデータへの幅広いアクセスを可能にすることのバランスを取るのに役立ちます。不正アクセスから保護しつつ、組織としてデータをよりシームレスに使用するためには、データ・アクセス制御などの適切なデータ・プライバシー・ツールを導入する必要があります。これらをAIと組み合わせることで、機密データを匿名化して個人を特定できないようにしたり、データにタグ付けしてポリシーの施行を可能にしたりできます。
データ・ファブリックのような適切なデータ・アーキテクチャーを厳密なデータ管理と組み合わせることは、情報データのプライバシーと安全性を確保しながら、データ・ユーザーがそこからインサイトを得るのに非常に役立ちます。
「データ保護フレームワークは、規制の変更、サードパーティーのデータ、AI規制、そして次の25の開発が何であろうと、未知のものに対処するために、弾力性と即応性に富んでいる必要があります」とIBMのチーフ・プライバシー・オフィスのサービス、コンプライアンス&リサーチ担当バイス・プレジデントであるLee Coxは述べています。続けて、「プライバシーと倫理、そしてデータ・ガバナンスの間には、私たちが予想した以上の相乗効果があります。しかし、現在のテクノロジーでは、以前よりもはるかに効率的に、大規模に、自信を持ってデータを活用できるようになっています」と語っています。
データ・プライバシーとは、まず第一に顧客データを保護し、規制が変化する中で信頼を維持することです。しかし、今日の市場では、それがビジネスの差別化要因でもあります。「プライバシーは競争上の優位性の一部であり、全社的な実践に関わり、プライバシー・プログラムを支えるテクノロジーをグローバルに構築することで、収益に直接貢献します」と、IBMの最高プライバシー責任者であるChristina Montgomeryは述べています。
2018年に欧州連合(EU)が一般データ保護規則(GDPR)を導入したことで、IBMを含む多くの組織がプライバシー・プログラムの開発を加速する必要に迫られました。グローバル企業にとって、論理的な最初のステップは、現地の法的要件をグローバルなプライバシー・コンプライアンス・フレームワークに調和させ、統合することです。例えば、何千もの既存のデータ・リポジトリーからメタデータを分類し、中央のデータ・ファブリックに統合することで、IBMは、会社全体でどのような種類の個人情報が、誰によって処理され、どこに保存されているかを迅速に特定できるようになりました。統一されたプライバシー・フレームワークを持つことで、メタデータ駆動型のアプローチと信頼できる唯一の情報源が提供されます。これはIBMが規制リスクにさらされる状況を減らすための基本となります。
進化し続けるデータ・プライバシー規制を先取りする方法をご紹介します。
単なる法規制の遵守にとどまらない組織は、お客様との信頼関係を築きながら、競合他社と差別化を図ることができます。データ・プライバシーに対するこの包括的で適応型のアプローチは、他のメリットももたらします。
データ・リスクを理解する
データの使用状況と、お客様と規制上の責任に対するリスクを評価します。
安全なデータ共有
サイバーセキュリティー管理により個人情報を保護し、信頼されるエクスペリエンスを提供します。
インシデント対応の自動化
リスクやコンプライアンスの問題を修復し、より簡単に拡張するために効率的に対応します。
枠組み3
「テクノロジーは進化していますが、脅威もまた飛躍的に増大しています」と、IBMのデータ・プラットフォーム・サービス担当ディスティングイッシュト・エンジニア兼グローバルCTOのMehdi Charafeddineは述べています。「幸いなことに、データ保護を適用し、データ・プライバシーをサポートする洗練された方法がますます増えています」
Gartnerによると、データ・セキュリティーは、転送時または保存時の機密情報資産を保護するプロセスと関連する方法論で構成されています。そのため、データ・セキュリティーは、暗号化、多要素認証、マスキング、消去、データ・レジリエンスなど、データ・プライバシーを保護するためのツールやソフトウェアにほかなりません。しかし、適切な管理とポリシーを確立することは、適切なアプリやアルゴリズムを導入することと同様に、組織文化の問題でもあります。
テクノロジーの観点からは、データ・ファブリック・アーキテクチャーでデータを保護することができます。これは、ユーザーがアプリケーションの時点でデータに接する「フロントドア」と、データが生成および保存されるソースつまり「バックドア」でデータを保護するもので、その間のあらゆる場所でデータを保護するのは言うまでもありません。このフロントドア、バックドアのアプローチは、適切なデータ・セキュリティー・ポリシーと管理を実施する上で極めて重要です。
もう1つの考慮すべき点は、複数の地域で事業を展開することです。データのサイロや中央ガバナンスの欠如により、データサイエンティストが地域をまたいで分析を実行することは現実的でないことがよくあります。データ・ファブリックがあれば、「データを想像してシミュレーションし、モデルを作る」必要はありません。この最新のデータ・アーキテクチャーを使用すると、組織は適切なガバナンスとプライバシー・ルールを整備した上で、データサイエンティストにデータを提供できるため、組織横断的な取り組みを実行していることを実感できます。
データ・セキュリティー対策をエンドツーエンドのデータ管理に織り込むことは、特に機密データのセキュリティーとプライバシーの両方をサポートする上で重要です。例えば、病院での医学研究を例にとってみましょう。病院は、第三者の専門家やデータサイエンティストと協力している場合があります。彼らは、規制された情報や個人情報を見ることなく、特定のデータやアプリケーションで作業する必要があります。自動化された役割ベースのデータ・ポリシーは、アプリケーション・レベルでプライバシーとコンプライアンスの観点からデータを保護しながら、さまざまな関係者とのコラボレーションを可能にします。同時に、責任あるAIのためには、データが保存されているソース、例えば最初に収集されたオンプレミスのデータベースでデータを保護する必要があります。そうでなければ、サイバー犯罪者がこれらのシステムに侵入した場合、患者情報は依然として脆弱な状態になってしまいます。
データ・セキュリティーが正しく実施されている場合、人、プロセス、テクノロジーが統合され、AIに対する信頼が構築されます。企業のあらゆる分野で情報セキュリティーを優先するためのベスト・プラクティスを以下に紹介します。
機密データを保護するための重要な手順には、可視性の自動化、コンテキスト化、アクセス・ポリシーの制御、継続的なモニタリングの実施により、侵害につながる前に脆弱性とリスクを特定することが含まれます。
自動的に作成され安全に分離されたデータ・コピーなどの統合された機能スイートにより、データ管理に対するゼロトラスト・アプローチをサポートし、オンプレミスまたはハイブリッドクラウド展開におけるサイバーセキュリティーのギャップに対処できます。
増大するプライバシー義務に対処するだけでも十分大変です。レポートの作成に追われることは、チームにとって別の苦労が増えることになりかねません。 オートメーション、分析、アクティビティー監視により、コンプライアンス・プロセスを簡素化します。
テクノロジーの仕組みを理解し、安全で信頼できるものだと感じれば、人々はそれを信頼する傾向がはるかに強くなります。炎症性腸疾患(IBD)の治療薬に対する患者の反応(陽性か陰性)を95%の確率で正確に予測する、IBMが開発したワークフローについて考えてみましょう。IBD患者データと薬剤反応を調査するための説明可能なAI技術を組み合わせることで、結果として得られた一連のアルゴリズムは、IBDデータのブラックボックスを解き明かし、IBDに苦しむ人々が市販されているさまざまな薬剤や開発中の薬剤にどのように反応するかを理解し、予測し、説明することが可能であることを示しました。
データ保護への包括的なアプローチは、一回限りのものではありません。それは、法律や規制、ビジネス・ニーズやお客様の期待の変化とともに進化する、継続的で反復的なプロセスです。継続的な努力に価値があることを理解しましょう。データ・ストラテジーは、データ駆動型の組織の中核に位置する競争上の差別化要因として、他とは一線を画すものです。
結局のところ、データ保護とは信頼を育むことです。進化するデータ環境の中でコンプライアンスとセキュリティーを確保し、倫理的で持続可能かつ適応性のあるデータ・ストラテジーを実現にすることで、組織をマーケット・リーダーに育てることができます。
脚注
¹ Gartnerは2024年までのプライバシー・トレンド、トップ5を特定 、プレス・リリース、Gartner、2022年5月31日。
² 2024年データ侵害のコストに関する調査 IBM Securityの委託によるPonemon Instituteのレポート、2024年7月。
³ Principles of Data Ethics for Business、Business Insightsのブログ 、Harvard Business School Online、2021年3月16日。
⁴ Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information 、Pew Research Center、2019年11月15日。