データ保護とは

効果的なデータ保護戦略は、単にデータを保護するだけではありません。紛失または破損の際には、データを複製して復元します。なぜなら、データ保護の主な原則は、データを保護し、かつデータの可用性をサポートすることだからです。可用性とは、データ侵害やマルウェア攻撃などでデータが損傷、紛失、破損した場合でも、ユーザーが業務運営のためにデータにアクセスできるようにすることです。

データの可用性に着目することで、データ保護がデータ管理と密接に関連している理由を説明できます。データ管理とは、データが正確かつ安全で、戦略的なビジネス上の意思決定に活用できることを保証するために、ライフサイクル全体を通じてデータを管理することに焦点を当てた、より大規模な取り組みです。

今日、データ保護戦略には、データのバックアップやリストア機能といった従来のデータ保護対策と、事業継続と災害復旧（BCDR）計画の両方が含まれます。このため、多くの組織では、より広範なデータ保護戦略の一環としてサービスとしての災害復旧（DRaaS）などのサービスを導入しています。

多くの人がデータ保護とデータ・セキュリティーという用語を同じ意味で使用していますが、これらは2つの異なる分野であり、決定的な違いがあります。

データ・セキュリティーは、デジタル情報を不正アクセス、破損、盗難から保護することに焦点を当てたデータ保護の一部分です。これは物理的なセキュリティー、組織のポリシー、アクセス制御など、情報セキュリティーのさまざまな側面を包含しています。

対照的に、データ保護はデータ・セキュリティーのすべてを包含し、さらにデータの可用性を重視します。

データ保護とデータ・セキュリティーには、データ・プライバシーが含まれます。データ・プライバシーは、個人は自分の個人データを管理すべきであるという一般原則をサポートするポリシーに焦点を当てており、組織がデータをどのように収集し、保存し、使用するかを決定できることも含まれます。

言い換えれば、データ・セキュリティーとデータ・プライバシーはどちらも、データ保護という広範な分野における一部分です。

データ保護の重要性を理解するために、社会におけるデータの役割を考えてみましょう。誰かがオンラインでプロフィールを作成したり、アプリで購入したり、Webページを閲覧したりすると、個人データの証跡が増え続けます。

企業にとって、このデータは非常に重要です。これは、業務の合理化、顧客へのより良いサービスの提供、重要なビジネス上の意思決定に役立ちます。実際、多くの組織はデータに依存しているため、短時間のダウンタイムやわずかなデータ損失でさえ、業務や利益に深刻な打撃を与えかねません。

IBMの「データ侵害コスト」によると、2023年のデータ侵害に対する世界の平均コストは445万米ドルで、3年間で15％増加しました。

その結果、多くの組織が、より広範なサイバーセキュリティーへの取り組みの一環として、データ保護に重点を置いています。強固なデータ保護戦略により、組織は脆弱性を強化し、サイバー攻撃やデータ侵害からより良く身を守ることができます。サイバー攻撃が発生した場合、データ保護対策ではデータの可用性を確保することでダウンタイムを短縮し、命を救うことができます。

また、データ保護対策は、組織が絶えず進化する規制要件に準拠するのにも役立ちます。その多くは多額の罰金を科せられる可能性があるものです。例えば、2023年5月にアイルランドのデータ保護機関は、GDPR違反を理由にカリフォルニアに拠点を置くMeta社に13億米ドルの罰金を科しました。データ保護は、データ・プライバシーに重点を置くことで、組織がこうした違反を回避するのに役立ちます。

データ保護戦略は、個人データの処理を合理化したり、重要な洞察を得るために重要なデータをより適切にマイニングしたりするなど、効果的な情報ライフサイクル管理（ILM）の多くの利点ももたらすことができます。

データが多くの組織の生命線となっている世界では、企業が重要なデータをどのように処理し、扱い、保護し、最大限に活用するかを知る必要性が高まっています。

データ保護の重要性を認識する中で官公庁・自治体やその他の当局は、企業が顧客と取引するために遵守すべきプライバシー規制やデータ標準を、これまで以上に制定しています。

最も一般的なデータ・コンプライアンスの規制と規格には、次のようなものがあります。

一般データ保護規則（GDPR）は、「データ対象者」と呼ばれる個人の個人情報を保護するために欧州連合（EU）によって制定された包括的なデータ・プライバシー・フレームワークです。

GDPRは主に個人情報（PII）に焦点を当て、データ・プロバイダーに厳しいコンプライアンス要件を課しています。また、ヨーロッパ内外の組織がデータ収集の実践について透明性を保つことを義務付けています。組織は、データの取り扱いを監督するデータ保護責任者を任命するなど、特定のデータ保護措置を採用する必要もあります。

また、GDPRにより、EU市民は自分のPIIの管理を強化し、名前やID番号、医療情報、生体認証データなどの個人データの保護を改善できるようになります。GDPRから免除されるデータ処理活動は、国家安全保障や法執行活動、ならびにデータの純粋に個人的な使用のみです。

GDPRの最も顕著な側面の1つは、コンプライアンス違反に対する妥協のない姿勢です。プライバシー規制を遵守しない者には多額の罰金を科しています。これらの罰金は、組織の世界的な年間売上高の4％または2,000万ユーロのいずれか大きい方に達する可能性があります。

医療保険の相互運用性と説明責任に関する法律（HIPAA法）は、1996年に米国で可決されました。同法は、医療機関や企業が患者の個人健康情報（PHI）をどのように扱い、その機密性とセキュリティーを保証するかについてのガイドラインを定めています。

HIPAA法によると、「対象事業体」は特定のデータ・セキュリティーおよびコンプライアンス基準を守る必要があります。これらの事業体には、医療従事者や保険プランだけでなく、PHIにアクセスできるビジネス関係者も含まれます。データ伝送サービス、医学転写サービス・プロバイダー、ソフトウェア会社、保険会社などがPHIを処理する場合は、HIPAA法に準拠する必要があります。

California Consumer Privacy Act（CCPA法）は、米国における画期的なデータ・プライバシー法です。

GDPRはGDPRと同様に、データの取り扱いについて透明性を確保する責任を企業に課し、個人が個人情報をより自由に管理できるようにします。CCPA法に基づき、カリフォルニア州の居住者は、企業が収集したデータの詳細を要求し、データ販売をオプトアウトし、データの削除を要求することができます。

しかし、GDPRとは異なり、CCPA（および他の多くの米国データ保護法）はオプトインではなくオプトアウトを定めるものです。企業は、特に断りがない限り、消費者情報を利用できます。また、CCPA法は、特定の年間収益のしきい値を超える企業や大量の個人データを扱う企業にのみ適用されるため、すべてではありませんが、多くのカリフォルニア州の企業に関係します。

ペイメントカード業界のデータ・セキュリティー規格（PCI-DSS）は、クレジットカードのデータを保護するための一連の規制ガイドラインです。PCI-DSSは政府の規制ではなく、ペイメントカード業界セキュリティー基準審議会（PCI SSC）として知られる独立規制機関が実施する一連の契約上の約束です。

PCI-DSSは、カード会員データの収集・保存・送信などを扱うあらゆる企業に適用されます。クレジットカード取引にサードパーティーのサービスが関与している場合でも、企業は引き続きPCI-DSS準拠の責任を負い、カード所有者のデータを安全に管理・保管するために必要な措置を講じる必要があります。

データ保護の状況が進化するに伴い、いくつかのトレンドが組織の機微情報保護のための戦略を形成しています。

これらのトレンドには、次のようなものがあります。

多くの場合、組織はサイバー脅威から保護し、データの完全性・機密性・可用性を確保するために、いくつかのデータ保護ソリューションとテクノロジーを使用しています。

こうしたソリューションには、次のようなものがあります。

• データ損失防止（DLP）とは、サイバーセキュリティー・チームが機微データを盗難・紛失・悪用から保護するために使用する戦略やプロセス、テクノロジーを指します。DLPはユーザーのアクティビティーを追跡し、不審な行動にフラグを立てて、機微情報への不正アクセスや送信・漏洩を防ぎます。

• データのバックアップとは、重要な情報のセカンダリー・バージョンを定期的に作成し、保存することです。バックアップは、データの損失や破損が発生した場合に組織がシステムを迅速に以前の状態に復元できるようにすることで、データの可用性をサポートし、ダウンタイムや潜在的な損失を最小限に抑えます。

• ファイアウォールは、送受信されるネットワーク・トラフィックを監視・制御することで、データに対する防御の第一線として機能します。これらのセキュリティー障壁は、事前に設定されたセキュリティー・ルールを強制し、不正アクセスを防ぎます。

• 多要素認証などの認証と承認テクノロジーは、ユーザーのIDを確認し、特定のリソースへのアクセスを規制します。これらを組み合わせることで、許可された個人のみが機密情報にアクセスできるようになり、全体的なデータ・セキュリティーが強化されます。

• IDおよびアクセス管理（IAM）ソリューションは、ユーザーIDと権限の管理を一元化します。役割と責任に基づいてユーザー・アクセスを管理することで、組織は不正なデータ・アクセスのリスクを軽減し、重要なデータを危険にさらし得る内部脅威を減らせます。

• 暗号化により、データはコード化された形式に変換され、適切な復号化キーがなければ読み取れなくなります。このテクノロジーはデータ転送とデータ・ストレージを保護し、不正アクセスに対する防御をさらに強化します。

• エンドポイント・セキュリティーは、コンピューターやモバイル・デバイスなどの個々のデバイスを悪意のあるアクティビティーから保護することに重点を置いています。これには、ウイルス対策ソフトウェアやファイアウォール、その他のセキュリティー対策など、さまざまなソリューションが含まれます。

• ウイルス対策およびマルウェア対策ソリューションは、ウイルスやスパイウェア、ランサムウェアなど、データを侵害するおそれのある悪意のあるソフトウェアを検知・防止・削除します。

• パッチ管理により、ソフトウェアやオペレーティング・システム、アプリケーションに最新のセキュリティー・パッチが適用されていることが保証されます。定期的な更新によって、脆弱性の解消や潜在的なサイバー攻撃からの保護が可能になります。

• データ消去ソリューションは、ストレージ・デバイスからの安全かつ完全なデータ消去を保証します。消去は、機微情報への不正アクセスを防ぐためにハードウェアを廃止する場合に特に重要です。

• アーカイブ・テクノロジーは、履歴データの体系的なストレージと検索を容易にします。アーカイブはコンプライアンスの点で有用であり、組織がデータを効率的に管理し、データ損失のリスクを軽減するのに役立ちます。

• 認証および監査ツールは、組織が業界規制や社内ポリシーへの準拠を評価・証明するのに役立ちます。定期的な監査により、データ保護対策が効果的に実施され、維持されていることも確認されます。

• DRaaSなどの災害復旧ソリューションは、破壊的な事象の後にITインフラとデータを復元します。災害復旧には多くの場合、ダウンタイムを最小限に抑えるための包括的な計画やデータのバックアップ戦略とメカニズムが含まれます。