データのセキュリティ管理とプライバシー保護について

Data Security and Privacy Protection2019年が始まりました。昨年を振り返ると、AI/IoTの利活用が徐々に浸透し、新聞でも毎週のように企業における取り組み記事が出るようになりました。そして、必要なデータをどうやって収集するのか、収集したデータをどう保護し、提供者へ利益を還元するかの議論も活発になっています。GAFAとは別に情報銀行を設立する動きも出てきています。今年は、ますますデータが資産として注目される年になると思われます。

みなさんの会社でも、データを利活用するための基盤を構築されていると思われます。その際に、データのセキュリティ管理やプライバシー保護はどこまで考えていますか?
個人情報や会社の機密情報が含まれるからと言って、何もかもアクセス制御を強化して漏洩しないようにしていては、部門や事業を横断したデータの利活用が難しくなります。

DMBOK2.0のデータセキュリティの章にも書かれていますが、まずは、ビジネスの目的や法規制と照らし合わせて、セキュリティやプライバシー保護の要件を検討します。

社内の売上や営業情報などを収集し事業別の経営情報を作成する場合と、個人の購買履歴やサービスの利用履歴データを分析するような場合では、セキュリティの要件は大きく異なってきます。前者であれば、市場への公表前に外部に漏れてしまうとインサイダーとなりますし、後者であれば、個人のプライバシー保護として気を配る必要があります。
法規制としては、社内のコンプライアンスルールで決められたもの、法律で決められたもの(個人情報保護法等)、輸出規制に関するもの、特許や技術関連の情報などの国外への持ち出し規制、業界内や契約に基づく規制などを参照していきます。

そして、機密が高いデータ(センシティブデータ資産)を特定します。これらは業界や組織によってデータ量の大小も異なり、種類も様々です。おおよそ、個人識別情報、財務上のセンシティブ情報(インサイダー情報など)、個人健康情報、教育記録などでしょうか。

その後、これらを保護するために必要な処置を検討します。アクセス権を設定する、個人情報が特定されないように匿名化する等になります。

AI/IoTで使われるデータの中には、個人情報に該当するものが含まれている場合もあると思われます。個人情報の取扱いは厳しくなっており、気を付ける必要があります。
個人情報保護法とそのガイドラインでは、個人情報(氏名、住所、電話番号等)は匿名化して扱うことや個人IDは削除もしくはハッシュ化して特定されないようにして保持することを規定しています。(https://www.ppc.go.jp/personal/legal/)
また、第三者へ情報提供するのであれば、取得元となる個人から利用許諾を取得する必要なども出てきます。利用許諾を都度得ることが煩雑なため、匿名化した情報に対しては不要としたい動きもあるようですが、現状は認められていません。

AI/IoTでデータ利活用を想定する場合、機械に取り付けられたセンサー情報であれば、技術的な機密の範疇で管理することになりますが、工場や店舗などの施設内で撮影した人の動きなどの画像データ(これも個人情報?)、人の動きを表すGPSなどの位置情報の収集を対象とした場合は、個人が特定できないように処置を施すのと、利用許諾の取得も求められます。

総務省と経済産業省が協力しているIoT推進コンソーシアムでは、これらのデータの取扱いに関するガイダンスなども出しています。それらを参考に、現在保持しているデータの管理方法を検討するとよいでしょう。(一例ですが、カメラ画像利活用サブワーキンググループ http://www.iotac.jp/wg/data/camera/ などがあります。)

データが資産として認識されているからこそ、今後もデータを中心としたセキュリティ管理やプライバシーの保護に着目していきたいと思います。