データ・プライバシーとは

企業は、Eメールアドレスや生体認証、クレジットカード番号などのユーザー・データを定期的に収集します。こうしたデータ。エコノミーに属する組織にとって、データ・プライバシーをサポートすることは、データ処理の前にユーザーから同意を得る、データを悪用から保護する、ユーザーがデータを積極的に管理できるようにするなどの措置を講じることを意味します。

多くの組織には、一般データ保護規則（GDPR）などの法律に基づいてデータ・プライバシーの権利を維持する法的義務があります。公式のデータ・プライバシー法が存在しない場合でも、企業はプライバシー対策を採用することで利益を得られる可能性があります。ユーザーのプライバシーを保護するのと同じ慣行とツールで、機密データとシステムを悪意のあるハッカーから守ることができます。

データ・プライバシーとデータ・セキュリティーは別個の分野ですが、関連しています。どちらも企業のより広範なデータ・ガバナンス戦略の中核となる要素です。

データ・プライバシーは、データ主体、つまりデータを所有するユーザーの個人の権利に焦点を当てています。組織にとって、データ・プライバシーの実践とは、ユーザーが関連するデータ・プライバシー規制に従ってデータを制御できるようにするポリシーとプロセスを導入することです。

データ・セキュリティーは、不正アクセスや悪用からデータを保護することに重点を置いています。組織にとって、データ・セキュリティーの実践は主に、ハッカーや内部脅威によるデータの改ざんを防ぐための制御を導入することが主なものです。

データ・セキュリティーは、適切な人物のみが適切な理由で個人データにアクセスできるようにすることで、データ・プライバシーを強化します。データ・プライバシーは、あらゆるデータセットに対して「適切な人物」と「適切な理由」を定義することで、データ・セキュリティーを強化します。

多くの組織では、法務、コンプライアンス、IT、サイバーセキュリティー部門の代表者を含む学際的なチームがデータ・プライバシーを監督しています。これらのチームは、ユーザーのプライバシーの権利に基づいて、組織が個人データを収集、使用、保護する方法を規定するデータ管理ポリシーを作成します。また、ユーザーが権利を行使するプロセスを設計し、データを保護するための技術的制御を実装します。

組織は、NISTプライバシー・フレームワーク¹や公正な情報実践原則など、さまざまなデータ・プライバシー・フレームワークを使用してデータ・ポリシーを指針化できます。²さらに、組織のデータ・ガバナンス戦略の詳細は、企業が遵守する必要があるプライバシー法（存在する場合）に大きく依存します。

とはいえ、ほとんどのフレームワークや規制に記載されている一般的なデータ・プライバシー原則がいくつかあります。これらの原則は、多くの組織のデータ・プライバシー・ポリシーやプロセス、制御に影響を及ぼします。

現在、平均的な組織は膨大な量の消費者データを収集しています。組織には、善意からではなく、規制遵守やセキュリティー体制、競争上の優位性の問題として、このデータのプライバシーを確保する責任があります。

国連³のような機関は、プライバシーを基本的人権として認めており、多くの国がこの権利を法律に明記したプライバシー規制を採用しています。ほとんどの規制には、違反した場合に厳しい罰則が設けられています。

欧州連合の一般データ保護規則（GDPR）は、世界で最も包括的なデータ・プライバシー法の1つと考えられています。これは、欧州内外に拠点を置くあらゆる企業がEU内居住者のデータを処理する際に従わなければならない厳格な規則を定めています。違反者には、最高2,000万ユーロまたは同社のグローバル売上高の4%の罰金が科せられます。

EU以外の国々にも、英国のGDPRやカナダの個人情報保護および電子文書法（PIPEDA）、インドのデジタル個人データ保護法など、同様の規制要件があります。

米国には、GDPRほど包括的な連邦データ保護法はありませんが、より対象を絞った法律がいくつかあります。児童オンライン・プライバシー保護法（COPPA）COPPAは、13歳未満の児童の個人データの収集と処理に関する規則を定めています。医療保険の相互運用性と説明責任に関する法律（HIPAA）は、医療機関および関連団体が個人の健康情報の扱い方を対象としています。

これらの法律に基づく罰則は重大なものになる可能性があります。たとえば、2022年にEpic GamesはCOPPA違反で2億7,500万ドルという記録的な罰金を科されました。⁴

米国には、California Consumer Privacy Act（CCPA）などの州レベルのプライバシー規制もあり、カリフォルニア州の消費者が自分のデータがいつどのように処理されるかをより詳細に制御できるようになっています。CCPAはおそらく最もよく知られた州のプライバシー法ですが、バージニア州消費者データ保護法（VCDPA）やコロラド州プライバシー法（CPA）などの他の法律にも影響を与えています。

現在、組織はユーザーの社会保障番号や銀行口座の詳細など、多くの個人情報（PII）を収集しています。こうしたデータはハッカーの標的となり、個人情報の盗難や金銭の奪取またはダークウェブでの販売に利用される可能性があります。

さらに、企業は知的財産や財務データなど、ハッカーが狙う可能性のある独自の機密データを持っています。

IBMの「データ侵害のコスト2023」レポートによると、1企業あたりの平均データ侵害コストは4.45百万米ドルです。システムのダウンタイムによるビジネスの損失や、データ侵害の検出と修復にかかるコストなど、多くの要因がこの価格に影響しています。

データ・プライバシーをサポートする同様のツールの多くは、違反の脅威を軽減し、全体的なサイバーセキュリティー体制を強化することもできます。たとえば、不正アクセスを防止するIAMソリューションは、プライバシー・ポリシーを適用しながらハッカーを阻止するのに役立ちます。データ・セキュリティー・ツールは、多くの場合、進行中のサイバー攻撃のシグナルとなる不審な活動を検出できるため、インシデント対応チームはより迅速に行動できるようになります。

同様に、従業員と消費者は、データ・プライバシーのベスト・プラクティスを採用することで、最も被害の大きいソーシャル・エンジニアリング攻撃の一部から防御できます。詐欺師は、説得力のあるビジネスEメール詐欺（BEC）やスピア・フィッシングのルースを作成するために使用できる個人データを見つけるために、ソーシャルメディアアプリを探し回ることがよくあります。共有する情報を減らし、アカウントをロックダウンすることで、ユーザーは詐欺師を1つの強力な弾薬源から切り離すことができます。

ユーザーのプライバシー権を尊重することで、時に組織に競争上の優位性をもたらすことがあります。

消費者は、個人データを適切に保護しない企業に対する信頼を失う可能性があります。たとえば、ケンブリッジ・アナリティカのスキャンダルをきっかけに、Facebookの評判は大きな打撃を受けました。⁵消費者は、過去にプライバシーを十分に確保できなかった企業と貴重なデータを共有することに消極的であることがよくあります。

逆に、データ・プライバシーの保護に定評のある企業は、ユーザー・データの取得や活用が容易にできる可能性があります。

さらに、相互接続されたグローバル経済では、データはしばしば組織間を行き来することがよくあります。企業は、収集した個人データをクラウド・データベースに送信して保管したり、コンサルティング会社に送信して処理したりする場合があります。データ・プライバシーの原則と実践を採用することは、データが第三者と共有される場合でも、組織によるユーザー・データの悪用を防ぐのに役立ちます。GDPRなどの一部の規制下では、組織はベンダーやサービス・プロバイダーがデータを安全に保つことを保証する法的責任を負っています。

最後に、新しい生成人工知能テクノロジーは、データ・プライバシーに関する重大な課題を引き起こす可能性があります。これらのAIに提供される機密データはツールのトレーニング・データの一部となる可能性があり、組織がその使用方法を制御できない可能性があります。たとえば、Samsungのエンジニアは、ChatGPTにコードを入力して最適化することで、意図せずに独自のソースコードを漏洩してしまいました。⁶

さらに、組織がデータを生成AIにかける許可をユーザーから得ていない場合、これは特定の規制の下でプライバシー侵害となる可能性があります。

公式のデータ・プライバシー・ポリシーと管理は、法律違反やユーザーの信頼の失墜、偶発的な機密情報の漏洩などを起こさずに、組織がAIツールやその他の新しいテクノロジーを導入するのに役立ちます。