データプライバシーとは？課題とソリューション

データプライバシーとは、個人情報の適切な取り扱いと保護に関する概念です。人々は毎日個人データを提供しています。データプライバシー法は、組織にデータを安全に保管し、第三者と非倫理的に共有することを避けるよう要求することで、人々を保護しています。米国のデータプライバシー保護法やEUの一般データ保護規則（GDPR）などの一部の法律は、さらに厳格な規定を設けています。組織は多くの場合、情報漏洩が発生した際にはユーザーに通知し、ユーザーのデータがどのように使用され、収集されるかを正確に伝えることが求められています。

個人を特定できる情報（PII）は、個人または企業の顧客を特定するために使用できるあらゆるデータであり、以下のようなものが含まれます。

• 氏名
• 住所
• 社会保障番号または納税者番号
• クレジットカード情報
• 生年月日

保護されていないデータは、しばしば盗まれ、個人情報窃盗や不正行為に悪用されます。そのため、PIIを収集する組織は、倫理的かつ安全に保管しなければなりません。また、誰がアクセスや共有を許可されているかについて、慎重にルールを設定する必要があります。消費者データプライバシー規制は、企業にこれらを遵守するよう要求しています。規制は、個人データをどのように収集し共有してよいかを定義し、法律に従わない場合の罰則を概説しています。規制を遵守しない組織は、多額の罰金に直面する可能性があります。

データプライバシーは、顧客データであれビジネス情報であれ、情報を収集、保存、または管理するあらゆる組織にとって重要な側面です。以下を含む多くの理由から、データプライバシーは重要な意味を持ちます。

• 個人情報の保護: データプライバシーは、個人が自身の情報をどの程度プライベートに保つかを選択できるようにし、同意なしに個人情報が使用または共有されることを防ぎます。これにより、個人を個人情報窃盗、詐欺、その他のサイバー犯罪から保護します。
• 信頼の維持: データプライバシーは、個人と組織の間の信頼を確立する上で極めて重要です。データプライバシーを優先し、個人情報保護への取り組みを示す組織は、信頼性と誠実さの評判を築きます。これにより消費者の信頼感を醸成し、より強固な関係と長期的なロイヤリティを確立するのに役立ちます。
• 規制の遵守: データプライバシーは、EUの一般データ保護規則（GDPR）やブラジルの一般個人情報保護法などの様々な法律や規則によって規制されています。組織は、事業を行う地域に関連するすべてのデータプライバシー規制を遵守し、法的および財務的な罰則を避ける必要があります。
• 自律性の保持: データプライバシーは、個人が自身のデータがどのように、誰によって、なぜ使用されているかを知ることを可能にし、個人データの処理と使用方法について制御力を与えます。これは個人の自律性を保つのに役立ちます。
• ビジネス情報の保護: 企業が事業を運営し市場で競争するための情報も、データプライバシーの懸念事項です。これには、独自の研究、知的財産、企業秘密、財務情報などが含まれます。企業情報、従業員データ、顧客やクライアントと共有する情報のプライバシーを維持することが不可欠です。

データプライバシー規則は、多くの場合、組織にユーザーデータがどのように収集され、共有されるかをユーザーに伝えることを要求しています。これにより、ユーザーはデータを提供するかどうかについて、情報に基づいた決定を下すことができます。一般データ保護規則（GDPR）などの一部のコンプライアンス規制では、消費者が要求した場合、システムからデータを削除することを組織に義務付けています。

データセキュリティとプライバシーは協力して消費者を保護します。データセキュリティはデータへのアクセスを可能にするツールと手順を管理します。一方、データプライバシーは、どのデータが重要で、なぜそのデータの機密性が高いのかを定義します。データプライバシーがなければ、個人のデータがデータ所有者の同意なしに第三者に売却される可能性があります。コンプライアンス規制は、組織に対して、ユーザーに自身のデータに対する法的権利と、第三者がそのデータをどのように使用できるかについてある程度の管理権を与えることを要求しています。

データプライバシーは、ますます多くの情報がデジタル化されクラウドに保存されるにつれて、大きな懸念事項となっています。これは、脅威の状況の拡大と攻撃の洗練化と並行して進んでいます。データを保護するために最新のベストプラクティスを活用することが不可欠です。

• 強力なパスワードポリシー: 組織と個人の両方が、各アカウントに強力で固有のパスワードを要求し、定期的にパスワードを更新するポリシーを採用すべきです。
• 多要素認証（MFA）: 可能な限りMFAを有効にします。パスワードに加えて、通常は電話やメールに送信されるコードを使用するなど、2段階目の認証が必要になります。
• 定期的なソフトウェアアップデート: オペレーティングシステム、アプリケーション、デバイスを常に最新の状態に保ちます。これらの更新には、既知の脆弱性に対するパッチが含まれていることがよくあります。
• 機密性の高いタスクには公共Wi-Fiの使用禁止: 公共Wi-Fiネットワークは通常セキュリティが低いです。特にリモート従業員の場合、個人アカウントへのアクセスや機密性の高い操作を公共Wi-Fi上で行うことは避けましょう。
• 仮想プライベートネットワーク（VPN）の使用: VPNはインターネット接続を暗号化し、ハッカーがデータを傍受しにくくします。特に機密情報にアクセスする際はVPNを使用しましょう。
• デバイスの保護: スマートフォン、タブレット、コンピューターをロックするために、PIN、生体認証（指紋など）、強力なパスワードを使用します。
• 教育とトレーニング: 組織は従業員にデータプライバシーのベストプラクティスとセキュリティ意識プロトコルについてトレーニングを行い、明確なデータプライバシーポリシーを維持すべきです。
• ソーシャルエンジニアリング攻撃への注意: フィッシング攻撃に警戒し、個人情報を要求する個人や機関の身元を常に確認します。未知の送信元からのメールのリンクや添付ファイルには注意しましょう。
• 機密データの暗号化: デバイスに保存されているデータやオンラインで送信されるデータを保護するために暗号化ツールを使用します。
• 定期的なバックアップ: 暗号化された外付けハードドライブや信頼できるクラウドサービスなど、安全な場所に定期的にデータをバックアップします。
• オンラインでの個人情報共有を制限: ソーシャルメディアやその他のプラットフォームでの過剰な情報共有を避けます。サイバー犯罪者が個人情報を盗むために、さまざまな情報を組み合わせる可能性があります。
• プライバシー設定の確認: ソーシャルメディアアカウント、オンラインサービス、デバイスのプライバシー設定を定期的に確認します。共有される個人データの量を制限するように設定を調整します。
• 定期的な監査とアクセスのモニタリング: 組織は、機密データにアクセスできる人を定期的に監査し、必要な人員のみにアクセスが制限されていることを確認すべきです。
• インシデント対応計画: コミュニケーション、技術的対応、法的考慮事項を含む、データ侵害に対する明確な計画を用意します。

これらのベストプラクティスを採用することで、個人と組織は積極的にデータを保護し、リスクを軽減することができます。

これらの課題を理解することで、個人や企業は対策を講じ、機密情報をより適切に保護することができます。

データプライバシーとデータセキュリティは協調して機能しますが、全く異なる概念です。

データプライバシーは信頼に関するものです。顧客が自身のプライベートなデータを提供するためには、組織を信頼する必要があります。消費者からの信頼を得たい組織は、データプライバシーを真摯に考えなければなりません。これは、顧客サービスとデータ管理へのアプローチにおいて、データプライバシーを最優先事項とすることで実現します。リスクは高いです。データ侵害が発生した後、信頼の喪失は組織が収益を失う最大の要因となることがよくあります。顧客が組織への信頼を失うと、他の企業へビジネスを移します。

データプライバシーは概念である一方、データセキュリティは実践に関するものです。データを安全に保つには、多くの技術とITチームの努力が必要です。データセキュリティは、手順、ツール、ソフトウェア、監査、モニタリングの組み合わせであり、これらすべてが協力して機能します。脅威アクターに攻撃の最適な手段を知られないよう、これらの対策をすべて秘密にしておくことが重要です。対照的に、データプライバシーは一定レベルの透明性を前提としています。組織は、人々にどのようにデータを安全に保っているかを伝える必要があります。なぜなら、透明性が信頼を構築するからです。根本的に、データプライバシーとデータセキュリティの間には緊張関係があります。

以下にいくつかの主要な違いを示します。

データプライバシー

• データプライバシーは、データの適切な取り扱い、収集、保存、削除、および保護に焦点を当てています。
• 個人が自身の個人情報とその使用、アクセス、または共有方法を管理できるようにすることに関するものです。
• データプライバシーは、個人データの機密性と適切な使用を保護し、個人にそのデータがどのように処理されるかを決定する権利を与えることに焦点を当てています。
• プライバシー規制の遵守と個人のプライバシー設定の尊重が含まれます。

データセキュリティ

• 一方、データセキュリティは、データを不正アクセス、使用、開示、改ざん、または破壊から保護することに関するものです。
• データセキュリティには、データプライバシーを保護するために使用される手順、ツール、ソフトウェア、認証、監査、ユーザー情報のモニタリングなどの措置が含まれます。
• 個人データを保護し、セキュリティ侵害や機密情報への不正アクセスを防ぐための方針、方法、その他の手段の実施が含まれます。
• データセキュリティは、データの可用性、完全性、機密性の保護に焦点を当てています。
• 暗号化、アクセス制御、ファイアウォール、侵入検知システム、その他のセキュリティ技術などの対策が含まれます。

要するに、データプライバシーにはデータセキュリティが必要ですが、データセキュリティがあるからといって、必ずしも組織がデータプライバシーを重視しているとは限りません。

データプライバシーとデータセキュリティは異なりますが、密接に関連しており、機密情報を保護するために協力して機能することが多いです。データプライバシーは個人データが適切に扱われることを保証し、データセキュリティは不正アクセスや悪用からデータを保護するための技術的および運用上の保護措置を提供します。

コンプライアンスも、データプライバシーとセキュリティの重要な部分です。コンプライアンス法は、組織がどのようにデータを保護すべきかを規定することが多いです。例えば、HIPAA（医療保険の携行性と責任に関する法律）では、患者データへのアクセス要求があるたびに監査証跡が必要です。組織に監査証跡がない場合、多額の罰金が科されます。もう一つの例はGDPRです。この法律では、ユーザーが要求するたびに、組織がシステムからデータを削除するためのツールを備えていなければならないと定められています。

これらの権利を認識することで、個人はより適切にデータを管理し、その適切な利用を確保できます。組織は法的影響や金銭的責任を回避するために、これらの権利を尊重しなければなりません。

CCPAを除き、上記のデータプライバシー法は連邦政府の規制に基づいていますが、他にもいくつかの法律が各州で定められています。米国のいくつかの州は、米国企業が州民の情報を保存する方法を監督する独自の規制を持っています。カリフォルニア州、ニューヨーク州、メリーランド州、マサチューセッツ州、ハワイ州、ノースダコタ州には、消費者データの保存と共有の方法を規制する法律があります。例えば、ニューヨーク州のSHIELD法は、ニューヨーク州民のデータを保存する企業に、より強力なサイバーセキュリティ要件を課すことで、データセキュリティを向上させることを目的としています。

国際的なユーザーデータを扱う企業は、欧州居住者に影響を与える法律を遵守するという負担を抱えています。米国企業にとっては、2つの主要なプライバシー法が主な関心事となっていますが、EU居住者のデータに関しては、以下の2つのプライバシー規制もあります。

• Cookie法：Cookieとは、ウェブサイトが情報を保存するためにユーザーの端末に保存される小さなファイルです。この情報は、第三者に送信されるか、デバイスが盗まれた場合に開示される可能性があります。Cookie法では、ウェブサイトがユーザーのデバイスにCookieを保存する前に、ユーザーの同意が必要となります。
• 一般データ保護規則（GDPR）：GDPRは、EU居住者のデータを管理する最も厳格なデータプライバシー法の一つです。GDPRに違反した企業は、数百万ドルの罰金や罰則を受ける可能性があります。GDPRは、データプライバシー、データセキュリティ、組織の説明責任、および違反に対する罰則を監督しています。EUの消費者データを保存する組織は、ユーザーデータの保存、共有、収集の方法を公開し、ユーザーが企業システムからデータを削除するための簡単な方法を提供しなければなりません。

これらのソリューションを提供することで、Proofpointは組織がデータプライバシー規制を遵守し、機密データを保護し、顧客の信頼を維持するのを支援します。