データプライバシーとは？データセキュリティとの違いやデータ保護について

多くの組織が個人情報を保有する時代において、このデータの使用、収集、保存、配布する方法を規定するのが規制基準です。データプライバシー規制は、顧客データを非倫理的な使用や第三者への提供から保護することを目的としています。規制の中には、データ侵害があった場合にユーザーに通知することや、データがどのように使用され、収集されるかを説明する文書を一般に公開することを要求するものがあります。

個人を特定できる情報 (PII) には、消費者や企業の顧客個人を特定するために使用できるあらゆる情報が含まれます。この情報には、氏名、住所、社会保障番号、クレジットカードのデータ、生年月日、その他の個人情報が含まれます。これらの情報を収集する組織は、情報を倫理的に保管し、データを従業員、提携企業、およびサードパーティアプリケーションと共有する際の承認ルールを慎重に設定する必要があります。消費者データのプライバシーに関する規制は、組織が顧客の個人情報を収集・共有する際に厳格なルールに従うことを保証するものであり、違反した場合には多額の罰金を科せられる可能性があります。

ユーザーのデータを窃盗や悪用から保護することで、個人情報の窃盗や詐欺行為を減らすことができます。また、データプライバシーは、ユーザーに、自分のデータがどのように共有・収集されるかについての情報を提供し、組織に自分の情報を持っていてほしいかどうかについて合理的な判断をしてもらうためのものです。一般データ保護規則 (GDPR) などの特定のコンプライアンス規制では、消費者がシステムからのデータ削除を要求した場合、組織はデータを削除することが義務付けられています。

データセキュリティとプライバシーは、消費者の情報を保護するために連携しています。データ保護に関わるセキュリティに基づき、アクセスを可能にするツールと認証手続きを決定します。データプライバシーは、極めて重要なデータと、そのデータがなぜ機密であるかを明確にします。データプライバシーがなければ、組織はデータを受け取る人やデータ所有者の同意を無視し、データを第三者に売却して利益を得ることができます。ユーザーが自分の情報に対する法的権利を持ち、その情報が企業に使用される時の方法をコントロールできるようにするために、コンプライアンス規制に企業は従わなければなりません。

データプライバシーとデータセキュリティは一体となって機能しますが、全く別のものです。顧客にデータを提供してもらうには、信頼が必要です。顧客の信頼を維持するためには、組織はデータプライバシーを真剣に考え、顧客サービスとデータ管理の一環として維持しなければなりません。データ侵害が発生した後、信頼の喪失は大きな後遺症の1つとなり、顧客が別のプロバイダーを見つけたり、その企業から製品を購入しなくなったりすることで、多大な収益の損失をもたらします。

データセキュリティには、手順、ツール、ソフトウェア、認証、監査、ユーザー情報の監視などがあります。プライバシーは概念的なものであり、データセキュリティはデータのプライバシーを保護するための行動を意味します。企業は、データセキュリティ戦略を非公開にすることで、攻撃者からの防御レベルを高めることができますが、データプライバシーは透明性を前提としています。データプライバシーにはデータセキュリティが必要です。しかし、データセキュリティがあっても、組織にとってデータプライバシーが保証されているとは限りません。

データプライバシーとセキュリティに共通するもう一つの要素は、コンプライアンスです。企業がデータセキュリティをどのように導入するかは、多くの場合、コンプライアンス規制によって決まります。例えば、HIPAA (Health Insurance Portability and Accountability Act) などのコンプライアンス規制では、ユーザーの個人情報へのすべてのアクセス要求に対する監査証跡が要求されます。もし企業がアクセスを追跡できなければ、違反した場合に多額の罰金を科せられる可能性があります。また、GDPRでは、ユーザーの要求に応じてデータをシステムから削除するツールを備えることが求められています。

データ保護をめぐるユーザーの権利は、消費者の居住国によって決まります。例えば、一般データ保護規則 (GDPR) は、2018年に発効した欧州連合 (EU) の裁定です。2018年のカリフォルニア消費者プライバシー法 (CCPA) は、GDPRと似ていますが、企業がカリフォルニア在住者のデータを保存・共有する方法に特化しています。ビジネスを監督するコンプライアンス規制を定義することは、データ保護権を理解する上で重要です。コンプライアンス規制の中には、保存するデータの種類に特化したものがあります。例えば、医療保険の相互運用性と説明責任に関する法律 (HIPAA) は、患者のデータ保護権を定義し、プロバイダ、病院、その他の患者情報を保存・収集するあらゆる組織にガイダンスと医療サイバーセキュリティの基準を提供しています。

データ保護の権利は、地域やセキュリティを監督するコンプライアンス規制によって異なりますが、すべてのデータプライバシー法は類似した条件を掲げています。その一部は以下の通りです。

• 同意： 組織が自分の情報を配布したり、第三者に承諾したり、共有したりするには、ユーザーの同意が必要です。
• 法的義務： 地域や国の法律に基づいて、データを取り扱う組織の法的な影響や要件を規定する必要があります。
• 権利の行使： ユーザーが、自分の権利を行使する方法を定めていることが必要です。例えば、指定された通信手段を使って個人情報を削除するオプションを持っていなければなりません。
• 利害関係者： データプライバシーの最優先事項は消費者の利益であり、組織はこれを維持する責任があります。

データプライバシーを統括する法律は一つではありません。その代わり、保存されているデータの種類や組織の所在地に応じた法律や枠組みの組み合わせが、従うべきデータプライバシー法の決定要因となります。ここでは、最も一般的なデータプライバシー法をいくつかご紹介します。

• カリフォルニア消費者プライバシー法 (CCPA)： CCPAは、2020年1月1日に施行され、企業がカリフォルニア州民のデータを取り扱う方法を監督するものです。カリフォルニア州の住民は、企業がどのようにデータを収集しているかを知る権利があり、企業のシステムからデータにアクセスしたり削除したりすることができます。
• 医療保険の相互運用性と説明責任に関する法律 (HIPAA)： HIPAAは、組織が患者情報を保存、保護、共有、転送、監査する方法を定めた連邦法です。主に医療機関や病院に影響を与えますが、患者情報を保管するeコマースやその他のビジネスでも、セキュリティ管理にHIPAAの規制を適用する必要があります。
• 児童オンラインプライバシー保護法 (COPPA)： COPPAは、2000年に制定された古い法律で、企業が子どもの情報を収集し共有する方法を定めたものです。12歳未満の子供のデータを扱う組織は、スクリーンネーム、電子メールアドレス、チャットネーム、写真、オーディオファイル、ジオロケーション座標などを保護しなければなりません。
• PCI-DSS： 消費者金融やクレジットカードのデータを保管する小売業者や組織は、PCI-DSSの規制に従わなければなりません。このコンプライアンス基準は、ユーザーの支払い情報を保護し、詐欺や個人情報の漏えいを防ぐことに重点を置いています。オンラインストアを含む大規模な組織も小規模な組織も、消費者の金融取引データを保存するためには、PCI-DSS規制に従わなければなりません。

CCPAを除き、上記のデータプライバシー法は連邦政府の規制を対象としていますが、他にもいくつかの法律が各州で定められています。米国のいくつかの州は、米国企業が州民の情報を保存する方法を監督する独自の規制を持っています。カリフォルニア州、ニューヨーク州、メリーランド州、マサチューセッツ州、ハワイ州、ノースダコタ州には、消費者データの保存と共有の方法を規制する法律があります。例えば、ニューヨーク州のSHIELD法は、ニューヨーク州民のデータを保存する企業に、より強力なサイバーセキュリティ要件を課すことで、データセキュリティを向上させることを目的としています。

国際的なユーザーデータを扱う企業は、欧州居住者に影響を与える法律を遵守するというオーバーヘッドを抱えています。米国企業にとっては、2つの主要なプライバシー法が主な関心事となっていますが、EU居住者のデータに関しては、以下の2つのプライバシー規制があります。

• Cookie法： Cookieとは、ウェブサイトの情報を保存するためにユーザーの端末に保存される小さなファイルです。この情報は、第三者に送信されるか、デバイスが盗まれた場合に開示される可能性があります。Cookie法では、ウェブサイトがユーザーのデバイスにCookieを保存する前に、ユーザーの同意が必要となります。
• 一般データ保護規則（GDPR）： GDPRは、EU居住者のデータを管理する最も厳格なデータプライバシー法の一つです。GDPRに違反した企業は、数百万ドルの罰金や罰則を受ける可能性があります。GDPRは、データプライバシー、データセキュリティ、組織の説明責任、および違反に対する罰則を監督しています。EUの消費者データを保存する組織は、ユーザーデータの保存、共有、収集の方法を公開し、ユーザーが企業システムからデータを削除するための簡単な方法を提供しなければなりません。