データの誤使用とは?
データの時代と言われて久しいが、このところの"デジタルトランスフォーメーション(DX)"を掛け声に、多くの企業がデータ活用に本腰を入れ始めている。「データの安全性」というと、悪意ある人がシステムに不正アクセスすることで起こるデータ漏洩が思い浮かぶが、ユーザーが提供したデータの誤った使用が関連したトラブルも考えられる。ID管理をサービスとして提供するOktaが、公式ブログで「What Is Data Misuse?」としてデータの誤使用がなぜ起こるのかと、その対策について同社のSenior Product Marketing Manager, SecurityであるSwaroop Shamさんが記している。
What Is Data Misuse?(okta official blog)
データの誤使用とはどういうことか? データの活用はマーケティングや顧客管理、製造、物流、人事と様々なところで進んでいるが、データ収集時にユーザーと交わした合意、企業のポリシー、データプライバシーに関連した法など、データの使用には制限がある。目的としていたのとは異なる方法でデータを使うことが、誤使用となる。
「データの窃盗とは異なり、データの誤使用は必ずしもサイバー攻撃で起こるわけではないし、ユーザーの同意なしに収集されたデータではない」とブログは記している。ユーザーにしてみれば、特定の用途なら合意できるとして自分の情報を提供したのに、その条件や制限が無視されたことになる。
データ誤使用の例としてブログでは、2015年のMorgan Stanleyの事件(財務アドバイザーが資産管理の顧客の口座情報をダウンロードしてオンラインで公開した)、Google(欧州のGDPR/EU一般データ保護法に違反して個人情報を広告主に渡していたという主張でフランス政府が5000万ユーロの罰金を科すなど)、Uber(社内用データマイニングツール「God View」を使ってジャーナリスト、政治家、セレブらを追跡)などの著名企業の例を挙げている。
上記の例でわかるように、原因としては、従業員がデータの処理や管理をきちんと行っていない、データ収集時のミス、保存時の分類ミスなどが考えられるという。そして、データの誤使用はGDPR、カリフォルニア州プライバシー保護法などの法に抵触する。日本にも個人情報保護法があるが、違反が認められると罰則が科される。今年の6月12日に改正公布されており、命令違反や虚偽報告などの罰則の引き上げ、法人への大幅な超科もある(個人情報保護委員会Webサイト)。
データの誤使用を防ぐポイント
では、データの誤使用はどうやって防ぐことができるのか? Oktaのブログでは、以下の5つをアドバイスしている。
1)IDとアクセス管理
データの保護の第一歩と言えるのがIDとアクセス管理だ。ユーザー名とパスワードだけではなく、複数の要素を用いたMFA(Multi Factor Authentication)により信頼できるユーザーのみがアクセスできるようにしたい。
2)必要最小限のアクセス
アクセス権の付与については、必要最小限(need-to-know)のコンセプトが重要という。これを確実にするために、ネットワーク上の活動を追跡するアクティビティログ、それを補完するアクティビティモニタリングを用意することで、ユーザーがどのようにデータとやりとりしているのかを把握できる。
3)行動のアラートとアナリティクスの設定
従業員の環境を継続的にモニタリングするのは簡単なことではない。記事では、セキュリティに関連するイベントを通知するアラート機能を導入することを推奨している。なお、リアルタイムアナリティクスは、「データの誤使用を阻止するために不可欠」と記している。
4)チームの教育
自社のデータセキュリティに関連したポリシーや手順について、チーム内で周知徹底を図ろう。その際は、なぜ重要なのかの背景として、データの誤使用が法的、財務的な損害を及ぼし、自社のブランドが傷つくことなどを説明しておこう。
5)データアクセスのプロセスを明確に
顧客はデータが安全であり、同時にデータ活用により得られる便利なサービスを使いたいと思っている。顧客からの信頼を得るためには、顧客が自分のデータを管理をできるツールを提供しよう。
