ブログ記事

データ プライバシーとは

ComplianceSecurity
分で読めます

データ プライバシーは、一般的に、個人情報を許可なく共有すべきではないという概念であると考えられています。データ プライバシー ルールが導入されている場合、個人情報をいつ、どのように、どの範囲まで共有できるのかを個人が決定します。

個人情報には、幅広いデータが含まれます(例:個人の氏名、住所、電話番号、メール、社会保障番号、財務情報、健康記録、学歴、個人の行動や活動に関する詳細情報)。

データ プライバシーの定義

データ プライバシー(情報プライバシーとも呼ばれます)とは、個人データおよび組織の運営に使用されるデータ(企業秘密、販売、マーケティング計画、財務情報など)の機密性、完全性、正確性の維持に焦点を当てた、データ保護のサブセットです。データ プライバシーに関連する実際の業務は、組織や政府によって定められたデータ プライバシー コンプライアンス要件(下記で詳しく説明します)に基づいて行われることが多いです。

データ プライバシーのプロセス、プログラムは、次のような脅威から個人情報や機密情報を保護します。

  • 改ざん

  • 不適切なアクセス

  • 損失

  • 盗難

データ プライバシーの規律は、次のようなさまざまな要素で構成されています。

  • データ ガバナンス:個人情報や機密情報の収集、保存、保護、アクセス、使用方法を指示する標準や慣行を提示します

  • 法的枠組み:さまざまな組織によって策定され、データ プライバシー法によって施行されます

  • ポリシー:組織が収集、保存、処理する情報について、データ プライバシー要件を確実に遵守するために、組織によって制定されます

  • 慣行:ITインフラとデータ セキュリティ システムの実装、使用方法に関する確立されたベスト プラクティスです

  • サード パーティ管理プロトコル:サード パーティ組織(ベンダー、サービス プロバイダー、契約社員など)による個人情報、機密情報の取り扱い方法を指示します

データ プライバシーが重要である理由

データ プライバシーが重要である理由として、法的要件だけでなく、次のようなものが挙げられます。

データ ストレージ コストの削減

データ プライバシーにおける重要な要素の一つは、データの最小化と消去です。不要になったデータを削除することで、運用上の負担とデータ ストレージ コストを削減できます。

アイデンティティ(ID)盗難の防止

IDを盗むには、いくつかの重要な個人情報が必要です。データ プライバシーを伴うデータ保護システム、プロセスは、IDの盗難リスクを最小限に抑えるのに役立ちます。

個人情報や機密情報の悪用を軽減

データ プライバシーが保護されていないと、個人情報や機密情報が悪用される可能性があります。次に例を示します。

  • 犯罪者は個人情報を使用して、さまざまな方法で窃盗を行う可能性があります(例:銀行口座からの資金の引き出し、クレジット カードの使用、IDの盗難)

  • 個人の活動が本人の同意なしに追跡、監視される可能性があります

  • 個人情報が、ユーザーの同意なしにサード パーティや広告主に販売される可能性があります。その結果、望ましくない勧誘やマーケティング メッセージが送信される可能性があります

消費者の保護、企業評判の向上

データ プライバシーは、個人が企業に対して期待する消費者保護の一つです。データ プライバシーをサポートするポリシー、プログラム、プロセスにより、消費者保護を徹底、強化できます。また、個人のプライバシー権の保護に真摯に取り組み、献身的な姿勢を示すことで、企業評判の向上につながります。

情報漏洩の有効性、影響の軽減

データ プライバシーによるデータ保護は、情報漏洩を未然に防ぐのに役立ちます。情報漏洩が発生した場合でも、情報へのアクセスをブロックします。

事業運営のサポート

データ プライバシー ルールの範囲内で適切に使用することを条件として、企業は次のようなさまざまな方法で情報を活用できます。

  • 顧客、見込み客のデモグラフィック情報と行動に基づいたデータセットから、インサイトを取得

  • 潜在顧客の特定

  • 顧客のニーズを理解し、最適な商品、サービスを提供

  • 個人情報を使用して機械学習(ML)、人工知能(AI)システムをトレーニング

データ エコノミーの推進

顧客やユーザーに関するデータの収集、共有、使用に依存している組織にとって、データ プライバシーの保証は不可欠です。アプリケーション、ソーシャル メディア プラットフォーム、Webサイトの多くは、サービスを提供するためにユーザーに関する個人情報を収集、保存する必要があります。

データ プライバシーを統制する法律

米国のデータ プライバシー法

連邦データ プライバシー法には、次のようなものがあります。

一部の州では、次のようなデータ プライバシー法を制定しています。

国際データ プライバシー法

多くの国がデータ プライバシー法を制定しています。次に例を示します。

公正な情報慣行とは

データ プライバシーに関する多くの法規制は、「公正な情報慣行」で規定されている原則、慣行に基づいています。公正な情報慣行は、経済協力開発機構(OECD)のプライバシー保護と個人データの国際流通についてのガイドラインを通じて採択されました。

公正な情報慣行は、データの収集、使用に関するガイドラインを提供します。この慣行は、次の8つの原則で構成されています。

  1. 説明責任データ管理者は、公正な情報慣行の原則に影響を与える措置の遵守について、説明責任を負う必要があります。

  2. 収集制限個人情報の収集には制限を設ける必要があります。また、合法かつ公正な手段を通じて、必要に応じてデータ主体の認識または同意を確保したうえで、個人情報を取得する必要があります。

  3. データ品質個人情報は、その使用目的に関連しており、その目的に必要な範囲で、正確かつ完全であり、最新の状態に保たれている必要があります。

  4. 個人の参加個人は次の権利を持つべきです:

  5. 開示性個人情報に関する開発、慣行、ポリシーについて、総合的な開示性ポリシーを策定する必要があります。また、個人情報の存在、性質、主な使用目的、およびデータ管理者のID、通常の居住地を明確にするための手段を、いつでも利用できるようにする必要があります。

  6. 目的の明確化個人情報を収集する目的は、収集する前に明確化する必要があります。その後の個人情報の使用は、当該目的の達成、または当該目的と矛盾することなく、変更するたびに明確化されるその他の目的の達成に限定されます。

  7. セキュリティ保護措置合理的なセキュリティ保護措置により、データの損失、未認証アクセス、破壊、使用、改ざん、開示などのリスクから個人情報を保護する必要があります。

  8. 使用制限データ主体の同意がある場合、または法律によって要求される場合を除き、「目的の明確化」原則に従って明確化された目的以外の目的のために、個人情報を開示、利用、またはその他の方法で使用するべきではありません。

企業のデータ プライバシーの課題

数多くのツールを利用できるにもかかわらず、データ プライバシーは依然として、企業を悩ませる課題の一つであり続けています。データ プライバシー要件を遵守するために企業が対処しなければならない問題には、次のようなものがあります。

  • データ プライバシーのルールと規制が複雑に絡み合っている

  • どのデータを保持し、どのデータを削除すべきかを判断するのが困難

  • サード パーティのデータ共有を制御できない

  • データ ストアや端末のスプロールにより、可視性が低下

  • 膨大なデータ量

データ プライバシーをサポートするテクノロジー

データ プライバシーへの取り組みをサポートするために、次のようなさまざまなテクノロジー ソリューションを利用できます。

データ プライバシーはこれまで以上に重要

多くの政府は、データ プライバシーを人権の一つであるとみなしています。組織は、コンプライアンス要件にとどまらず、人々の期待に応えるためにデータ プライバシーを保護する必要があります。

FAQ

よくある質問

データ プライバシーとデータ セキュリティの違いは何ですか?

データ プライバシーはデータの「取り扱い」に関する問題であり、データ セキュリティはデータの「外部からの攻撃を含むあらゆるリスクから守るための方法」に関する問題です。両者は相互に関連しており、どちらも重要な要素です。

個人情報保護法とプライバシーの権利の違いは何ですか?

個人情報保護法は具体的な法的枠組みを提供し、プライバシーの権利はその根底にある基本的人権として広く認識されています。

関連コンテンツ

データ プライバシーついてもっと詳しく知る

データ ガバナンスとは?

多くの企業が非構造化データに対する侵害を経験し、管理方法に様々な課題を抱えています。本調査では、データ管理とガバナンスに関する取り組みについての調査アンケート結果から、改善の可能性について明らかにします。

記事を読む

機密情報とは

機密情報には幅広いデータが含まれますが、共通しているのは、その露出が人々や組織にリスクをもたらすということです。いくつかの機密情報カテゴリを詳しく説明します。

記事を読む

GDPR準拠の課題とその対応方法

GDPRに準拠するためには、取り扱うすべての機密情報を把握し、ビジネスプロセス、テクノロジーを含む包括的なアプローチが不可欠です。これは日本企業も例外ではありません。

ホワイトペーパーをダウンロード