ブログ記事

機密情報とは

ComplianceSecurity
分で読めます

機密情報とは

機密情報には幅広いデータが含まれますが、共通しているのは、その露出が人々や組織にリスクをもたらすということです。機密情報の種類には、次のようなものがあります。

  • ビジネス関連データ:会計情報、財務、計画、企業秘密

  • 政府データ:部外秘情報、制限情報、極秘情報、最高機密情報

  • 個人データ:メール アドレス、電話番号、住所、病歴

  • 取引データ:銀行口座情報、クレジット カード番号、社会保障番号

多くの機密情報は、政府や組織によって策定、施行された、国内外の法規制によって保護されています。これらの保護規制では、不正アクセスから機密情報を保護することを義務付けています。

ここでは、いくつかの機密情報カテゴリを詳しく説明します。

個人情報

個人情報は、個人を特定できる情報(PII)と呼ばれることが多いです。機密情報の大部分を占めており、個人を直接追跡することができます。個人情報が開示されると、該当する個人に損害を与える可能性があります。個人情報は、個人を識別できるため、匿名データのを非匿名化するために使用される可能性があります。

個人情報は、単体では機密情報ではないという点に留意してください。複数の個人情報を関連付けることで、その集合体がPIIとして扱われる可能性があります。そのため、組織は、コンプライアンス違反による罰則やその他の悪影響を回避するために、個人情報と機密情報に同水準の保護を適用することが推奨されます。

個人情報に含まれる機密情報の種類には、次のようなものがあります。

ビジネス情報、顧客情報

ビジネスに関する機密情報には、露出された場合に組織にリスクをもたらすあらゆる情報が含まれます。機密情報とみなされるビジネス情報、顧客情報の例には、次のようなものがあります。

国家機密情報

国家機密情報とは、機密レベル(最高機密、極秘、部外秘)に基づいてアクセスが制限されている政府情報を指します。

最高機密最高機密の国家機密情報は、最高レベルの保護を必要とする国家安全保障情報を指します。機密情報がこの指定を受けるには、高いハードルを乗り越える必要があります。

連邦規則集(CFR)によると、最高機密の国家機密情報が認可なしでアクセスされた場合、「国家安全保障に極めて重大な損害」をもたらすことが合理的に予想されます。

CFRに規定されている「極めて重大な損害」の例には、次のようなものがあります。

極秘極秘の国家機密情報とは、CFRによって「厳重な保護」を必要とすると認められた機密情報のことです。極秘の国家機密情報に対して不正アクセスが行われた場合、「国家安全保障への重大な損害」が引き起こされることが合理的に予想されます。

CFRに規定されている「重大な損害」の例には、次のようなものがあります。

部外秘部外秘として分類されている政府情報は、未認証アクセスが発生した場合に「国家安全保障への損害」を引き起こすことが合理的に予想されます。部外秘情報は保護する必要があるものの、極秘情報や最高機密情報と同水準の保護は必要ありません。

部外秘情報の例には、次のようなものがあります。

保護対象保健情報(PHI)、電子化された保護対象保健情報(ePHI)

PHI(ePHI)とは、米国における医療保険の相互運用性と説明責任に関する法令(HIPAA法)によって規制されている機密情報の一種です。PHI、ePHIには、個人を特定できる医療情報や、医療サービスの提供中に作成、使用、開示される医療情報が含まれます。また、物理レコードまたはデジタル レコードに記録、保存される、個人の医学的、身体的、精神的健康に関連するあらゆる情報が含まれます。

PHI、ePHIの例には、次のようなものがあります。

学歴

教育に関する情報や学歴は機密情報とみなされ、潜在的な雇用主、公的資金を受けている教育機関、外国政府によるアクセスが厳しく規制されています。

学歴の例には、次のようなものがあります。

機密情報と個人情報の比較

機密情報に関する法規制

ここでは、機密情報に言及し、その保護を義務付けている法規制をいくつか紹介します。

国内法

米国

国際法

機密情報を統制する米国の州法

法規制に含まれる機密情報関連の主なカテゴリ

米国のさまざまな法規制では、機密情報の取り扱いについて、次のような条項を定めています。

生体認証

  • 消費者が生体認証情報の販売をオプト アウトできるようにする

  • 生体認証識別子の収集、保持に関する、書面によるポリシーの作成

  • 特定の種類の生体認証(指紋、顔、声、虹彩、手のひらなど)を実装

児童のオンライン プライバシー

  • マーケティング目的での未成年ユーザーに関する情報収集の禁止

  • 未成年者に関する個人情報がすでに収集されている場合、Webサイト、オンライン サービス、アプリケーションの運営者に対して、当該情報を削除するように要求

接続された端末(スピーカー、スマートフォン、カメラ、ビデオ監視など)法規制では、接続された端末を通じて取得されたデータについて、個人の同意なしに次の行為を行うことを禁止している場合があります。

  • 収集

  • 保存

  • 使用

消費者の権利機密情報、個人情報に関連する、次のような特定の消費者の権利を付与します。

  • アクセス:保存されている消費者情報を表示

  • 削除:消費者情報の削除を要請

  • 修正:不正確な情報の更新を要請

位置情報プライバシー

  • 消費者の地理位置情報または全地球測位システム(GPS)データを許可なく転送、販売することを禁止

Webサイト プライバシー

  • 個人を特定できる情報を収集する、商用Webサイト、オンライン サービスの運営者に対して、個人情報の共有慣行について顧客に通知することを要求

  • インターネット ブラウザー情報を共有する前に同意を得ることを要求

プライバシー バイ デザインで機密情報を確実に保護

機密情報の保護は、企業にとって極めて重要です。機密情報を保護するために、プライバシー バイ デザインのアプローチを採用する組織が増えています。このセキュリティ アプローチでは、すべてのポリシー、システム、端末の実装と展開において、プライバシー保護対策を組み込みます。

組織は、プライバシー バイ デザインを導入することで、次の7つの基本原則に基づいて、機密情報を確実に保護できます。

さまざまな法規制を遵守し、機密データ保護に対する期待に応えるために、組織は何らかの方法で機密情報を保護する必要があります。

FAQ

よくある質問

機密情報と個人情報の違いは何ですか?

機密情報は、主に組織やビジネスに関連する重要な情報で、その漏洩が経済的損失や競争上の不利益をもたらす可能性があるため、厳重に保護されます。一方個人情報は特定の個人に関連する情報で、個人のプライバシーを守るために保護されます。

秘密情報とは何ですか?

秘密情報とは、秘密保持契約(NDA)を結ぶ際に秘密保持義務の対象となる情報のことで口頭、文書、電磁的記録その他いかなる形態、媒体によるかを問いません。どの情報が秘密情報に該当するかは、契約を結ぶ当事者間で取り決めが行われます。

関連コンテンツ

機密情報についてもっと詳しく知る

データ プライバシーとは

組織がコンプライアンス要件にとどまらず、人々の期待に応えるためにデータ プライバシーを保護する必要がある理由をご確認ください。

記事を読む

データ侵害とは

強力な情報漏洩防止システムと対応計画を備えた組織は、被害を抑えながら速やかに復旧できることが繰り返し実証されています。その詳細をご確認ください。

記事を読む

アタック サーフェスとは

アタック サーフェスの管理、削減に関するベスト プラクティスに従って、組織がサイバー セキュリティ体制をどのように改善できるのかをご確認ください。

記事を読む