データ増加に伴う情報漏えい、リスクを下げるデータ管理の3つのポイント

データを「保護」するための匿名化を標準のプロセスへ

競争の激しい市場において、データはもはや商品としてではなく、ビジネス価値創造のために組織全体で活用されるべき貴重な資産と認識され始めています。データを価値創造のために活用するには、誰もが必要な情報にタイムリーにアクセスできるよう組織全体でデータの民主化を進めていく必要がありますが、同時にデータのセキュリティレベルは維持しなければなりません。

そのためにはまず、重要なデータのうち、どれに悪用や侵害の恐れがあるか、優先順位を付ける必要があります。次に、従来のサーバーアクセス制御やファイアウォールといったサイバーセキュリティツールに頼るのではなく、データのマスキングや暗号化、IDベースのアクセス制御などの、データを起点とした保護を検討する必要があります。

データ流出のリスクを最小限に抑えるために、データの匿名化は有効な手段の一つです。例えば、連絡先や健康に関わる記録、財務情報などの「Personal Identifiable Information（PII＝個人を特定できる情報）」を「マスキング（匿名化）」することで機密性を維持できます。さらに、PIIの記録を暗号化すれば、残りのデータから個人を特定することもできなくなります。万が一、データの不正使用やデータ漏えいが発生しても、特定の個人にリンクされた機密データを読んだり、アクセスしたりすることができないため、個人のプライバシーを保護できます。

また、欧州のGDPRによるプライバシー規制にも注意が必要です。GDPRにより、ユーザーは企業が持つ自身の個人情報へのアクセス権利が確立されたため、企業はユーザーから要求された場合、個人情報がどのデータストアに格納されているかを公開しなければなりません。

これに対して、企業はデータ管理ツールを通じて、顧客管理システム上にある住所やマイナンバーなどの機密データをユーザーや従業員などの個人にひもづけておくことで、プライバシーに関する要求に応えることができるようになります。このようなメリットに加えて、勤務時間外のデータアクセスや不規則なアクセスの検出の監視ができるほか、外部からのデータリスクの追跡、データの誤用やプライバシー侵害の是正を行うなど、プライバシーポリシーや規制要件に準拠した状態を保つこともできます。

AIを活用する

現在、多くの組織がパンデミックに対するレジリエンスを構築するために、DX（デジタルトランスフォーメーション）を急ピッチで進めており、事業規模の拡大に向けて自社が収集するデータを増やし続けています。しかし、変化し続ける複雑なデータプライバシー規制を守りデータを保護するために、データリスクを特定、監視、是正するのは容易なことではありません。

そこで、AIを中心としたデータプライバシーガバナンスを導入すれば、一般的で繰り返し何度も行うようなタスクは自動化によって容易に管理でき、より正確なガバナンスを短時間で、より少ないエラーで実現することができます。

例えば、データを保護する過程においてはまず、対象データの特定が必要となります。それには、ファイル内のどのフィールドにあるデータが「名前」や「メールアドレス」といった個人情報なのかを分類、タグ付けする作業を行います。これを手作業で行う場合、データの中身を一つ一つ確認して、Excel上のデータ一覧に対してマーキングしていくような作業が発生するため多大な人的コストが発生します。

しかし、AIを搭載したデータ管理ツールを用いれば、AIが学習したフィールドの名称、またそのフィールドに付随する実際の値のパターンから、類似するデータを自動的に判別し、タグ付けを行うことが可能となります。

また、AIの活用は、異常値や異常をほぼリアルタイムで検出することができるだけでなく、リスク評価や機密データ管理、管理上必要な包括的なレポーティングが可能となるため、監査対応や規制遵守の取り組みにおいて非常に有効といえるでしょう。

以上、情報漏えいのリスクを下げるためにデータマネジメントで気を付けたいポイント3つをご紹介しました。本稿が、データの活用が当たり前となった今こそ、データマネジメントが果たすセキュリティの重要性を再確認する機会となりますと幸いです。