オンライン小売業者は、顧客データをパートナーと共有する前に、常にユーザーからの明示的な同意を得る必要があります。ナビゲーション・アプリケーションは、活動データを匿名化してから、移動傾向に合わせて分析します。学校は、生徒の情報を提供する前に、保護者に身元を確認するよう求めます。
これらは、誰が個人データを閲覧できるか、収集できるか、どのように使用できるかなど、個人データは個人が管理すべきであるという原則であるデータ・プライバシーを組織がどのようにサポートしているかを示す例の一部にすぎません。
今日の企業にとって、データ・プライバシーの重要性はいくら強調してもしすぎることはありません。EUで施工されているGDPRのような広範囲の規制は、機密情報の保護を怠った組織に多額の罰金を科しています。プライバシー侵害は、悪意のあるハッカーによるものでも、従業員の過失によるものでも、企業の評判と収益を破壊する可能性があります。一方、データ・プライバシーを優先する企業は、消費者との信頼を築き、これを優先しない競合他社よりも優位に立つことができます。
しかし、多くの組織は、全力で取り組んでいるにもかかわらず、プライバシー保護に苦労しています。データ・プライバシーは科学というよりも技であり、企業が収集したデータから価値を引き出す能力を妨げずに、法的義務、ユーザーの権利、サイバーセキュリティー要件の間でバランスを取ることが重要です。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
支出やその他の機密性の高い財務情報を追跡するために使用する予算管理アプリケーションを考えてみましょう。ユーザーがサインアップすると、アプリケーションは収集するデータとそのデータの使用方法を明確に説明するプライバシー通知を表示するので、ユーザーは自分のデータの使用を個別に承認または拒否できます。
例えば、アプリケーションがパーソナライズされたオファーを表示できるようにしながら、第三者と個人データを共有することを拒否することができます。
アプリケーションは、すべてのユーザーの財務データを厳重に暗号化します。バックエンドの顧客データにアクセスできるのは管理者のみです。その場合でも、管理者は、ユーザーの明示的な許可がある場合にのみ、顧客のアカウントの問題のトラブルシューティングを支援するためにデータにアクセスできます。
この例では、一般的なデータ・プライバシー・フレームワークの3つの主要コンポーネントを示しています。
関連規制への準拠は、多くのデータ・プライバシーの取り組みの基礎となります。データ保護法はさまざまですが、一般的には個人データを収集する組織の責任と、そのデータを所有するデータ主体の権利が定義されています。
IBM OpenPages Data Privacy Managementによってコンプライアンスの精度を向上させ、監査時間を短縮する方法についてご説明します。
欧州連合のプライバシー規制であるGDPRは、欧州内外の組織によるEU居住者の個人データの取り扱い方法を規定しています。これはおそらく最も包括的なプライバシー法であり、最も厳格な規制の1つでしょう。コンプライアンス違反に対する罰則は、最高2,000万ユーロ、または前年度における全世界の売上高の4%のいずれか高い方に達する可能性があります。
2018年データ保護法は、本質的にはGDPRの英国版です。これは従来のデータ保護法に代わるものであり、EUで施工されている同等のデータ保護法と同じ権利、要件、罰則の多くを定めています。
カナダのPIPEDAは、民間企業が消費者データを収集および使用する方法を規定しています。PIPEDAはデータ主体にデータに対するかなりの制御権を与えますが、これは商業目的で使用されるデータにのみ適用されます。ジャーナリズムや研究など他の目的で使用されるデータは除外されます。
米国の多くの州には独自のデータ・プライバシー法があります。最も有名なのは、California Consumer Privacy Act(CCPA)です。これは、「カリフォルニア州で事業を営む」行為を定義していることから、Webサイトを持つほぼすべての組織に適用されています。
CCPAは、カリフォルニア州民に、データの販売を阻止し、要求に応じてデータを削除するなどの権利を付与しています。現在は、違反するごとに、組織に最大7,500米ドルの罰金が科せられます。つまり、罰金総額はあっという間にかなりの額に達する可能性があります。なぜなら、企業がユーザーのデータを同意なしに販売した場合、販売する記録ごとに1つの違反とみなされるからです。
米国には国家レベルでの広範なデータ・プライバシー規制はありませんが、より的を絞った専門的な法律がいくつか存在しています。
例えば、児童オンラインプライバシー保護法(COPPA)では、13歳未満のユーザーからデータを収集および処理する前に、保護者の許可を得ることを組織に義務付けています。現在米国上院で審議中の児童オンライン安全法(KOSA)が成立すれば、児童のデータの取り扱いに関する規則はさらに厳しくなるでしょう。KOSAは、オンライン・サービス企業を対象に、18歳未満のユーザーに対して最高レベルのプライバシー設定をデフォルトにすることを義務付けています。
医療保険の相互運用性と説明責任に関する法律(HIPAA法)は、医療提供者、保険会社、およびその他の企業が個人の健康情報を保護する方法を規定した連邦法です。
ペイメント・カード業界のデータ・セキュリティー基準(PCI DSS)は法律ではなく、VisaやAmerican Expressなどのクレジットカード会社のコンソーシアムによって策定された一連の基準です。これらの基準は、企業が顧客の支払いカード・データをどのように保護しなければならないかを概説しています。
PCI DSSは法的要件ではありませんが、クレジットカード会社や金融機関は、非遵守の企業に罰金を課したり、ペイメント・カードの処理を禁止したりすることもできます。
プライバシー・コンプライアンスはまだ始まったばかりです。法律を遵守することで罰則を回避できますが、個人を特定できる情報(PII) やその他の機密データをハッカー、不正使用、その他のプライバシーの脅威から完全に保護するには十分ではない可能性があります。
組織がデータのプライバシーを強化するために使用する一般的な原則と実践には、次のものがあります。
効果的なデータ・ガバナンスを実現するには、組織は保有するデータの種類、データの保存場所、およびその使用方法を把握する必要があります。
生体認証や社会保障番号などの一部のデータには、他のデータよりも強力な保護が必須です。データがネットワーク内をどのように移動するかを把握することで、使用状況を追跡し、疑わしいアクティビティーを検出し、適切な場所にセキュリティー対策を講じることができます。
最後に、完全なデータの可視性により、データ主体の情報へのアクセス、更新、または削除の要求に応じることが容易になります。組織がデータの網羅的なインベントリーを持っていない場合、削除リクエスト後に一部のユーザー・レコードが意図せず残ってしまう可能性があります。
あるデジタル小売業者は、名前、Eメール・アドレス、保存された支払い情報など、保有するさまざまな種類の顧客データをすべてカタログ化します。データの種類ごとに、システムとデバイス間でどのように移動するか、誰がデータにアクセスできるか(従業員と第三者を含む)、そしてデータがどのように使用されるかをマッピングします。最後に、小売業者は機密レベルに基づいてデータを分類し、それぞれの種類に適切な制御を適用します。この企業はデータ・インベントリーを最新の状態に保つために定期的な監査を実施しています。
組織は、ユーザーにデータの収集と処理に対する可能な限りの制御権を与えることで、プライバシーにおけるリスクを制限することができます。企業がユーザーのデータを使って何かを行う前に必ずユーザーの同意を得ていれば、その企業が誰かのプライバシーを侵害することは難しくなります。
とはいえ、組織は場合によっては本人の同意なしにデータを処理しなければならないこともあります。加害者が隠したい犯罪を新聞が報道するなど、こうした場合に、企業は正当な法的理由があることを確認する必要があります。
SNSプラットフォームは、セルフサービスのデータ管理ポータルを構築しています。ユーザーは、サイトと共有するすべてのデータをダウンロードし、データを更新または削除し、サイトが自分の情報をどのように処理するかを決定できます。
広範囲に網を張り巡らせたくなるかもしれませんが、企業が収集する個人データが多ければ多いほど、プライバシー・リスクにさらされる可能性は高くなります。これを避けるため、組織は制限の原則を採用することができます。つまり、データ収集の特定の目的を特定し、その目的を達成するために必要な最小限のデータだけを収集します。
保持ポリシーも制限する必要があります。組織は、特定の目的が達成されたら、すぐにデータを破棄する必要があります。
ある公衆衛生機関は、特定の地域における病気の蔓延を調査しています。同機関は調査対象の世帯から個人を特定できる情報を一切収集しません。誰かが病気かどうかだけを記録します。調査が完了し、感染率が決定されたら、同機関はデータを削除します。
組織は、サード・パーティーの取引先が行うすべての活動を含め、データを使用して行うすべてのことについてユーザーに最新情報を提供する必要があります。
銀行はすべての顧客に毎年プライバシーに関する通知を送信します。これらの通知には、銀行が口座保有者から収集するすべてのデータ、規制遵守や信用決定などにそのデータをどのように使用するか、またそのデータをどのくらいの期間保持するかが概説されています。同行はまた、プライバシー・ポリシーに変更が加えられた場合には、すぐに口座名義人にその旨を通知します。
厳格なアクセス制御は、不正なアクセスや使用を防止するのに役立ちます。正当な理由でデータを必要とする人だけが、データにアクセスできるようにすると良いでしょう。組織は、データへのアクセスを許可する前に、多要素認証(MFA)またはその他の強力な手段を使用してユーザーIDを確認する必要があります。IDおよびアクセス管理(IAM)ソリューションは、組織全体で、詳細なアクセス制御ポリシーを適用するのに役立ちます。
あるテクノロジー企業は、役割ベースのアクセス制御ポリシーを使用して、従業員の役割に基づいてアクセス権限を割り当てます。ユーザーは、主要な職務を遂行するために必要なデータにのみアクセスでき、承認された方法でのみ使用できます。例えば、人事部長は従業員レコードを閲覧できますが、顧客レコードは閲覧できません。カスタマーサービス担当者は、顧客アカウント情報を閲覧できますが、顧客が保存した支払いデータを確認することはできません。
組織は、保存中、転送中、使用中のデータを保護するために、さまざまなツールと戦術を組み合わせて使用する必要があります。
医療提供者は患者データの保存を暗号化し、侵入検知システムを使用してデータベースへのすべてのトラフィックを監視します。データ損失防止(DLP)ツールを使用して、データの移動方法と使用方法を追跡します。従業員アカウントが患者データを不明なデバイスに移動するなどの不正なアクティビティーが検知されると、DLPはアラームを発して接続を切断します。
プライバシー影響評価(PIA)は、特定のアクティビティーがユーザーのプライバシーにどの程度のリスクをもたらすかを判断します。PIA は、データ処理がユーザーのプライバシーにどのような害を及ぼす可能性があるか、また、そのようなプライバシーに関する懸念をどのように防止または軽減するかを特定します。
あるマーケティング会社では、新しい市場調査プロジェクトを開始する前に必ずPIAを実施しています。同社はこの機会を利用して、処理活動を明確に定義し、データ・セキュリティーにおけるギャップを解消します。これにより、データは特定の目的にのみ使用され、あらゆる段階で保護されます。企業が合理的に軽減できない重大なリスクを特定した場合、研究プロジェクトを再編成するか、キャンセルします。
データ・プライバシー・バイ・デザインおよびデータ・プライバシー・バイ・デフォルトとは、組織が行うすべてのこと(構築するすべての製品、従うすべてのプロセス)においてプライバシーが中核となるべきであるという哲学です。どのようなシステムのデフォルト設定でも、最もプライバシーに配慮した設定にする必要があります。
ユーザーがフィットネス・アプリにサインアップすると、アプリのプライバシー設定は自動的に「データを第三者と共有しない」にデフォルト設定されます。組織がデータを販売できるようにするには、ユーザーは手動で設定を変更する必要があります。
データ保護法を遵守し、プライバシー慣行を採用することは、組織が最大のプライバシーリスクの多くを回避するのに役立ちます。それでも、企業が何に注意すべきかを知るために、プライバシー侵害の最も一般的な原因と要因のいくつかを調査することには価値があります。
組織がネットワークを完全に可視化できない場合、その死角となっている部分で、プライバシー侵害が蔓延してしまう可能性があります。従業員が機密データを保護されていないシャドーIT資産に移動する恐れがあります。上司にはこうした行動を見つけて修正する監視能力がないため、従業員が対象者の許可なく個人データを定期的に使用してしまう可能性があります。この場合、サイバー犯罪者は気付かれずにネットワーク内をこっそりと動き回ることができます。
企業ネットワークが複雑になり、オンプレミスの資産、リモートワーカー、クラウド・サービスが混在するようになるにつれて、ITエコシステム全体でデータを追跡することが難しくなります。組織は、攻撃対象領域管理ソリューションやデータ保護プラットフォームなどのツールを使用して、プロセスを合理化し、データがどこに保存されていてもデータを保護することができます。
IBMデータ・プライバシー・ソリューションを使用することにより、ユーザー同意管理や包括的なデータ・ガバナンスなどの主要なプライバシー原則への準拠を徹底できる仕組みについてご説明します。
一部の規制では、自動処理に関する特別なルールが定められています。例えば、GDPRでは、自動データ処理を通じて行われた決定に対して異議を申し立てる権利が人々に与えられています。
生成人工知能の台頭により、さらに厄介なプライバシー問題が生じる可能性があります。組織は、これらのプラットフォームが入力したデータをどのように処理するかを必ずしも制御できるわけではありません。ChatGPTのようなプラットフォームに顧客データを入力すると、オーディエンスの洞察を得るのに役立つ可能性がありますが、AIはそのデータをトレーニング・モデルに組み込む可能性があります。データ主体が自分のPIIをAIのトレーニングに使用することに同意しなかった場合、これはプライバシー侵害に該当してしまいます。
組織は、AI処理を含むデータの処理方法をユーザーに対して明確に説明し、対象者の同意を得る必要があります。ただし、組織も、AIがデータを使用して行うすべての処理を把握しているわけではない可能性があります。そのため、企業は、自社のデータを最大限に制御できるAIアプリケーションの導入を検討する必要があります。
IBMのデータ侵害のコストに関する調査によると、アカウントの盗難がデータ侵害の主な原因でした。組織は、ユーザーに必要以上の権限を与えると組織の命運を天に任せることになります。ユーザーが持つアクセス権限が多ければ多いほど、ハッカーがアカウントを乗っ取って与える被害が大きくなるからです。
そのため、組織は最小権限の原則に従う必要があります。ユーザーには、業務を遂行するために必要な最小限の権限のみを与える必要があります。
従業員は、組織のポリシーやコンプライアンス要件を認識していない場合、誤ってユーザーのプライバシーを侵害する可能性があります。また、個人生活においてプライバシーに関する適切な習慣を身につけないことで、会社を危険にさらす場合もあります。
例えば、従業員が個人のSNSアカウントで情報を過剰に共有すると、サイバー犯罪者はこの情報を利用して、いかにも本物らしいEメールを使用したスピア・フィッシング攻撃やビジネス・メール詐欺攻撃を仕掛けることができます。
ユーザーのデータを第三者と共有することは必ずしもプライバシー侵害にはなりませんが、リスクが増大する可能性があります。データにアクセスできる人が増えるほど、ハッカー、内部の脅威、さらには従業員の過失によって問題が発生する可能性も高まります。
さらに、悪意のある第三者が企業のデータを、その第三者のための、許可されていない目的のために使用し、本人の同意なしにデータを処理する可能性があります。
組織は、すべてのデータ共有契約が、顧客データの適切な保護と使用についてすべての当事者に責任を負わせる法的拘束力のある契約によって管理されていることを確認する必要があります。
個人情報はサイバー犯罪者にとって主要なターゲットであり、個人情報を悪用して個人情報を盗んだり、金銭を盗んだり、闇市場で売却したりする可能性があります。暗号化やDLPツールなどのデータ・セキュリティー対策は、企業のネットワークの保護と同様に、ユーザーのプライバシー保護にも欠かせません。
プライバシー規制は世界中で厳しくなり、平均的な組織の攻撃対象領域は拡大し、AIの急速な進歩により、データの使用および共有の方法が変化しています。このような環境において、組織のデータ・プライバシーストラテジーは、セキュリティー体制を強化し、競合他社から一線を画すための優れた差別化要因となり得ます。
例えば、暗号化やIDおよびアクセス管理(IAM)ツールなどのテクノロジーを考えてみましょう。これらのソリューションは、データ侵害が成功した場合の経済的打撃を軽減するのに役立ち、データ侵害のコストに関する調査によると、組織は最大572,000米ドルのコストを節約できます。さらに、適切なデータ・プライバシーの実践により、消費者との信頼関係が育まれ、ブランド・ロイヤルティも強化されます。
データ保護がビジネスのセキュリティーと成功にとってますます重要になるにつれ、組織はデータ・プライバシーの原則、規制、およびリスク軽減を最優先にして取り組む必要があります。