目次
データプライバシーとは?
データプライバシーとは、個人情報の適切な取り扱いと保護に関する概念です。人々は毎日個人データを提供しています。データプライバシー法は、組織にデータを安全に保管し、第三者と非倫理的に共有することを避けるよう要求することで、人々を保護しています。米国のデータプライバシー保護法やEUの一般データ保護規則(GDPR)などの一部の法律は、さらに厳格な規定を設けています。組織は多くの場合、情報漏洩が発生した際にはユーザーに通知し、ユーザーのデータがどのように使用され、収集されるかを正確に伝えることが求められています。
サイバーセキュリティ教育とトレーニングを始めましょう
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
データプライバシーの重要性
個人を特定できる情報(PII)は、個人または企業の顧客を特定するために使用できるあらゆるデータであり、以下のようなものが含まれます。
- 氏名
- 住所
- 社会保障番号または納税者番号
- クレジットカード情報
- 生年月日
保護されていないデータは、しばしば盗まれ、個人情報窃盗や不正行為に悪用されます。そのため、PIIを収集する組織は、倫理的かつ安全に保管しなければなりません。また、誰がアクセスや共有を許可されているかについて、慎重にルールを設定する必要があります。消費者データプライバシー規制は、企業にこれらを遵守するよう要求しています。規制は、個人データをどのように収集し共有してよいかを定義し、法律に従わない場合の罰則を概説しています。規制を遵守しない組織は、多額の罰金に直面する可能性があります。
データプライバシーは、顧客データであれビジネス情報であれ、情報を収集、保存、または管理するあらゆる組織にとって重要な側面です。以下を含む多くの理由から、データプライバシーは重要な意味を持ちます。
- 個人情報の保護: データプライバシーは、個人が自身の情報をどの程度プライベートに保つかを選択できるようにし、同意なしに個人情報が使用または共有されることを防ぎます。これにより、個人を個人情報窃盗、詐欺、その他のサイバー犯罪から保護します。
- 信頼の維持: データプライバシーは、個人と組織の間の信頼を確立する上で極めて重要です。データプライバシーを優先し、個人情報保護への取り組みを示す組織は、信頼性と誠実さの評判を築きます。これにより消費者の信頼感を醸成し、より強固な関係と長期的なロイヤリティを確立するのに役立ちます。
- 規制の遵守: データプライバシーは、EUの一般データ保護規則(GDPR)やブラジルの一般個人情報保護法などの様々な法律や規則によって規制されています。組織は、事業を行う地域に関連するすべてのデータプライバシー規制を遵守し、法的および財務的な罰則を避ける必要があります。
- 自律性の保持: データプライバシーは、個人が自身のデータがどのように、誰によって、なぜ使用されているかを知ることを可能にし、個人データの処理と使用方法について制御力を与えます。これは個人の自律性を保つのに役立ちます。
- ビジネス情報の保護: 企業が事業を運営し市場で競争するための情報も、データプライバシーの懸念事項です。これには、独自の研究、知的財産、企業秘密、財務情報などが含まれます。企業情報、従業員データ、顧客やクライアントと共有する情報のプライバシーを維持することが不可欠です。
データプライバシー規則は、多くの場合、組織にユーザーデータがどのように収集され、共有されるかをユーザーに伝えることを要求しています。これにより、ユーザーはデータを提供するかどうかについて、情報に基づいた決定を下すことができます。一般データ保護規則(GDPR)などの一部のコンプライアンス規制では、消費者が要求した場合、システムからデータを削除することを組織に義務付けています。
データセキュリティとプライバシーは協力して消費者を保護します。データセキュリティはデータへのアクセスを可能にするツールと手順を管理します。一方、データプライバシーは、どのデータが重要で、なぜそのデータの機密性が高いのかを定義します。データプライバシーがなければ、個人のデータがデータ所有者の同意なしに第三者に売却される可能性があります。コンプライアンス規制は、組織に対して、ユーザーに自身のデータに対する法的権利と、第三者がそのデータをどのように使用できるかについてある程度の管理権を与えることを要求しています。
データプライバシーのベストプラクティス
データプライバシーは、ますます多くの情報がデジタル化されクラウドに保存されるにつれて、大きな懸念事項となっています。これは、脅威の状況の拡大と攻撃の洗練化と並行して進んでいます。データを保護するために最新のベストプラクティスを活用することが不可欠です。
- 強力なパスワードポリシー: 組織と個人の両方が、各アカウントに強力で固有のパスワードを要求し、定期的にパスワードを更新するポリシーを採用すべきです。
- 多要素認証(MFA): 可能な限りMFAを有効にします。パスワードに加えて、通常は電話やメールに送信されるコードを使用するなど、2段階目の認証が必要になります。
- 定期的なソフトウェアアップデート: オペレーティングシステム、アプリケーション、デバイスを常に最新の状態に保ちます。これらの更新には、既知の脆弱性に対するパッチが含まれていることがよくあります。
- 機密性の高いタスクには公共Wi-Fiの使用禁止: 公共Wi-Fiネットワークは通常セキュリティが低いです。特にリモート従業員の場合、個人アカウントへのアクセスや機密性の高い操作を公共Wi-Fi上で行うことは避けましょう。
- 仮想プライベートネットワーク(VPN)の使用: VPNはインターネット接続を暗号化し、ハッカーがデータを傍受しにくくします。特に機密情報にアクセスする際はVPNを使用しましょう。
- デバイスの保護: スマートフォン、タブレット、コンピューターをロックするために、PIN、生体認証(指紋など)、強力なパスワードを使用します。
- 教育とトレーニング: 組織は従業員にデータプライバシーのベストプラクティスとセキュリティ意識プロトコルについてトレーニングを行い、明確なデータプライバシーポリシーを維持すべきです。
- ソーシャルエンジニアリング攻撃への注意: フィッシング攻撃に警戒し、個人情報を要求する個人や機関の身元を常に確認します。未知の送信元からのメールのリンクや添付ファイルには注意しましょう。
- 機密データの暗号化: デバイスに保存されているデータやオンラインで送信されるデータを保護するために暗号化ツールを使用します。
- 定期的なバックアップ: 暗号化された外付けハードドライブや信頼できるクラウドサービスなど、安全な場所に定期的にデータをバックアップします。
- オンラインでの個人情報共有を制限: ソーシャルメディアやその他のプラットフォームでの過剰な情報共有を避けます。サイバー犯罪者が個人情報を盗むために、さまざまな情報を組み合わせる可能性があります。
- プライバシー設定の確認: ソーシャルメディアアカウント、オンラインサービス、デバイスのプライバシー設定を定期的に確認します。共有される個人データの量を制限するように設定を調整します。
- 定期的な監査とアクセスのモニタリング: 組織は、機密データにアクセスできる人を定期的に監査し、必要な人員のみにアクセスが制限されていることを確認すべきです。
- インシデント対応計画: コミュニケーション、技術的対応、法的考慮事項を含む、データ侵害に対する明確な計画を用意します。
これらのベストプラクティスを採用することで、個人と組織は積極的にデータを保護し、リスクを軽減することができます。
データプライバシーの課題
急速に進化する脅威の状況と規制環境を考えると、組織はデータプライバシーに関して以下のような継続的な課題に直面しています。
- データプライバシーポリシーを組織のプロセスに組み込み、さまざまな規制を遵守することは、困難な可能性があります。
- 認識不足や一貫性のないポリシーにより、組織がデータプライバシー規制を遵守することが困難になっています。
- デバイスの増加と収集される個人データの増加により、データプライバシー基準を維持することが難しくなっています。
- データ保護とプライバシーに関する規制はますます複雑化し、入り組んだものになっています。異なる管轄区域の規則に遵守する必要性は、組織にとってリソースを多く必要とする可能性があります。
- 急速な技術の進歩により、プライバシーとデータ保護に新たな課題や要件が生じる可能性があります。
- セキュリティ対策の不備や人為的ミスにより、組織はデータ侵害のリスクにさらされる可能性があります。
- データプライバシーを維持するための全体的なコストが増加する可能性があります。
これらの課題を理解することで、個人や企業は対策を講じ、機密情報をより適切に保護することができます。
データプライバシーとデータセキュリティの違い
データプライバシーとデータセキュリティは協調して機能しますが、全く異なる概念です。
データプライバシーは信頼に関するものです。顧客が自身のプライベートなデータを提供するためには、組織を信頼する必要があります。消費者からの信頼を得たい組織は、データプライバシーを真摯に考えなければなりません。これは、顧客サービスとデータ管理へのアプローチにおいて、データプライバシーを最優先事項とすることで実現します。リスクは高いです。データ侵害が発生した後、信頼の喪失は組織が収益を失う最大の要因となることがよくあります。顧客が組織への信頼を失うと、他の企業へビジネスを移します。
データプライバシーは概念である一方、データセキュリティは実践に関するものです。データを安全に保つには、多くの技術とITチームの努力が必要です。データセキュリティは、手順、ツール、ソフトウェア、監査、モニタリングの組み合わせであり、これらすべてが協力して機能します。脅威アクターに攻撃の最適な手段を知られないよう、これらの対策をすべて秘密にしておくことが重要です。対照的に、データプライバシーは一定レベルの透明性を前提としています。組織は、人々にどのようにデータを安全に保っているかを伝える必要があります。なぜなら、透明性が信頼を構築するからです。根本的に、データプライバシーとデータセキュリティの間には緊張関係があります。
以下にいくつかの主要な違いを示します。
データプライバシー
- データプライバシーは、データの適切な取り扱い、収集、保存、削除、および保護に焦点を当てています。
- 個人が自身の個人情報とその使用、アクセス、または共有方法を管理できるようにすることに関するものです。
- データプライバシーは、個人データの機密性と適切な使用を保護し、個人にそのデータがどのように処理されるかを決定する権利を与えることに焦点を当てています。
- プライバシー規制の遵守と個人のプライバシー設定の尊重が含まれます。
データセキュリティ
- 一方、データセキュリティは、データを不正アクセス、使用、開示、改ざん、または破壊から保護することに関するものです。
- データセキュリティには、データプライバシーを保護するために使用される手順、ツール、ソフトウェア、認証、監査、ユーザー情報のモニタリングなどの措置が含まれます。
- 個人データを保護し、セキュリティ侵害や機密情報への不正アクセスを防ぐための方針、方法、その他の手段の実施が含まれます。
- データセキュリティは、データの可用性、完全性、機密性の保護に焦点を当てています。
- 暗号化、アクセス制御、ファイアウォール、侵入検知システム、その他のセキュリティ技術などの対策が含まれます。
要するに、データプライバシーにはデータセキュリティが必要ですが、データセキュリティがあるからといって、必ずしも組織がデータプライバシーを重視しているとは限りません。
データプライバシーとデータセキュリティは異なりますが、密接に関連しており、機密情報を保護するために協力して機能することが多いです。データプライバシーは個人データが適切に扱われることを保証し、データセキュリティは不正アクセスや悪用からデータを保護するための技術的および運用上の保護措置を提供します。
コンプライアンスも、データプライバシーとセキュリティの重要な部分です。コンプライアンス法は、組織がどのようにデータを保護すべきかを規定することが多いです。例えば、HIPAA(医療保険の携行性と責任に関する法律)では、患者データへのアクセス要求があるたびに監査証跡が必要です。組織に監査証跡がない場合、多額の罰金が科されます。もう一つの例はGDPRです。この法律では、ユーザーが要求するたびに、組織がシステムからデータを削除するためのツールを備えていなければならないと定められています。
データプライバシーと権利
ユーザーの権利は、多くの場合、居住地によって定められています。GDPRとカリフォルニア州消費者プライバシー法(CCPA)は、データの権利が居住地に基づいている良い例です。データの権利は、保存されているデータの種類にも依存しています。例えば、HIPAAでは、患者は自身の医療データに関する権利を持っています。HIPAAには、病院やその他の組織が患者データをどのように安全に保存し、収集するかを定める医療サイバーセキュリティ基準も含まれています。
すべてのデータプライバシー法は、類似の目標を目指しています。以下にいくつかの例を挙げます。
- ユーザーの同意:データプライバシー法は、誰かがユーザーのデータを第三者と共有する前に、ユーザーの同意を求めることを保証します。
- 法的影響:規制は、法律に従ってデータを取り扱わない組織に対してどのような処罰が科されるかを定めています。
- ユーザーの権利:ユーザーには特定の権利とそれらを行使する方法があります。例えば、一部の法律では、ユーザーが特定の通信チャネルを使用して個人データの削除を要求できるようにしなければならないと定めています。
- ユーザーの利益:データプライバシーは消費者の最善の利益となります。組織はこの利益を尊重し、保護する責任があります。
- データポータビリティの権利:個人は、広く受け入れられている機械可読形式で自身のデータを受け取り、別のデータ処理者に渡すよう要求できます。
- 異議を唱える権利:ダイレクトマーケティングなどの特定のケースでは、個人は自身の個人データの使用に反対できます。
- 自動化された意思決定の対象にならない権利: 個人は、自動化されたシステムやプロファイリングのみによる決定から免除され、そして重大な影響を与える可能性のある決定に対して異議を唱える権利を有します。
これらの権利を認識することで、個人はより適切にデータを管理し、その適切な利用を確保できます。組織は法的影響や金銭的責任を回避するために、これらの権利を尊重しなければなりません。
データプライバシー法
データプライバシーを統括する法律は一つではありません。その代わり、保存されているデータの種類や組織の所在地に応じた法律や枠組みの組み合わせが、従うべきデータプライバシー法の決定要因となります。ここでは、最も一般的なデータプライバシー法をいくつかご紹介します。
- カリフォルニア消費者プライバシー法 (CCPA): CCPAは、2020年1月1日に施行され、企業がカリフォルニア州民のデータを取り扱う方法を監督するものです。カリフォルニア州の住民は、企業がどのようにデータを収集しているかを知る権利があり、データにアクセスしたり、企業のシステムから削除したりすることができます。
- 医療保険の携行性と責任に関する法律 (HIPAA): HIPAAは、組織が患者情報を保存、保護、共有、転送、監査する方法を定めた連邦法です。主に医療機関や病院に影響を与えますが、患者情報を保管するeコマースやその他のビジネスでも、セキュリティ管理にHIPAA規制を適用する必要があります。
- 児童オンラインプライバシー保護法 (COPPA): COPPAは、2000年に制定された古い法律で、企業が子どもの情報を収集し共有する方法を定めたものです。12歳未満の子どものデータを扱う組織は、スクリーンネーム、電子メールアドレス、チャットネーム、写真、オーディオファイル、位置情報などを保護しなければなりません。
- PCI-DSS: 消費者金融やクレジットカードのデータを保管する小売業者や組織は、PCI-DSSの規制に従わなければなりません。このコンプライアンス基準は、ユーザーの支払い情報を保護し、詐欺や個人情報の漏えいを防ぐことに重点を置いています。オンラインストアを含む大規模な組織も小規模な組織も、消費者の金融取引データを保存するためには、PCI-DSS規制に従わなければなりません。
CCPAを除き、上記のデータプライバシー法は連邦政府の規制に基づいていますが、他にもいくつかの法律が各州で定められています。米国のいくつかの州は、米国企業が州民の情報を保存する方法を監督する独自の規制を持っています。カリフォルニア州、ニューヨーク州、メリーランド州、マサチューセッツ州、ハワイ州、ノースダコタ州には、消費者データの保存と共有の方法を規制する法律があります。例えば、ニューヨーク州のSHIELD法は、ニューヨーク州民のデータを保存する企業に、より強力なサイバーセキュリティ要件を課すことで、データセキュリティを向上させることを目的としています。
国際的なデータプライバシー
国際的なユーザーデータを扱う企業は、欧州居住者に影響を与える法律を遵守するという負担を抱えています。米国企業にとっては、2つの主要なプライバシー法が主な関心事となっていますが、EU居住者のデータに関しては、以下の2つのプライバシー規制もあります。
- Cookie法:Cookieとは、ウェブサイトが情報を保存するためにユーザーの端末に保存される小さなファイルです。この情報は、第三者に送信されるか、デバイスが盗まれた場合に開示される可能性があります。Cookie法では、ウェブサイトがユーザーのデバイスにCookieを保存する前に、ユーザーの同意が必要となります。
- 一般データ保護規則(GDPR):GDPRは、EU居住者のデータを管理する最も厳格なデータプライバシー法の一つです。GDPRに違反した企業は、数百万ドルの罰金や罰則を受ける可能性があります。GDPRは、データプライバシー、データセキュリティ、組織の説明責任、および違反に対する罰則を監督しています。EUの消費者データを保存する組織は、ユーザーデータの保存、共有、収集の方法を公開し、ユーザーが企業システムからデータを削除するための簡単な方法を提供しなければなりません。
データプライバシーに対するProofpointのソリューション
Proofpointは、組織がデータプライバシー規制を遵守しながらデータを保護するのを支援します。Proofpointは、これらの重要なニーズを満たすために、以下を含むさまざまなソリューションを提供しています。
- 情報保護ソリューション:Proofpointの情報保護ソリューションは、組織がデータを監査・発見し、GDPRやその他のコンプライアンス規制に準拠する戦略を立て、データを盗難や破壊から保護するのに役立ちます。
- 情報漏洩対策(DLP):ProofpointのDLP機能は、組織が自社固有の機密データを特定・分析するのを支援します。データ流出の伝送を検知し、規制遵守を自動化します。
- 脅威インテリジェンス:ProofpointはNexus脅威グラフを活用し、メール、クラウド、その他のテレメトリにわたる脅威インテリジェンスを組み合わせて、組織がデータ漏洩のインシデントに迅速に対応できるよう支援します。
- メール保護:Proofpointのメール保護ソリューションは、収集したデータを分析し、その結果をセキュリティ強化に適用することで、継続的な脅威から組織を保護します。
- セキュリティ意識向上トレーニング:Proofpointは、組織が従業員にデータ保護のベストプラクティスを教育し、潜在的に不注意なユーザーを事前に特定し、従業員を効果的なデータディフェンダーに変えるのを支援するセキュリティ意識向上トレーニングを提供します。
- コンプライアンスとアーカイブソリューション:Proofpointは、組織がより情報に基づいたコンプライアンス決定を行い、情報リスクを管理し、調査準備を容易にするインテリジェントコンプライアンスとアーカイブソリューションを提供します。
これらのソリューションを提供することで、Proofpointは組織がデータプライバシー規制を遵守し、機密データを保護し、顧客の信頼を維持するのを支援します。