データセキュリティの標準的なアクティビティ解説
企業間のデータの共同利用やBtoCマーケティングなど、データ活用の取り組みが広がる中、様々なリスクからのデータ資産保護は、どの企業にとっても重要な課題になっています。
今回は、DMBOK2 第7章「データセキュリティ」を参考に、データマネジメントにおける活動内容をご紹介します。
データセキュリティとは?
DMBOK2では「セキュリティポリシーや手順を定義、立案、開発、実行し、データと情報資産に対して適切な認証と権限付与を行い、アクセスを制御し、監査をすること」と定義しています。また、DMBOK2ではその意義を「リスク削減」と「事業の成長」としています。
データが資産として価値あるものと認識される今日では、機密情報やプライバシーの保護、コンプライアスの遵守に取り組むことが、企業の信頼性と競争力の向上に繋がります。(逆の場合、企業は社会的な信頼を失い、利益を損ないます。)よって、データ(特に規制に対応すべきデータ)を取り扱う場合、データセキュリティ管理は大変重要なテーマです。
データセキュリティ管理のアクティビティ
DMBOK2では、以下の5つのアクティビティに取り組むべきと述べています。
- データセキュリティ要件の特定
・対応すべき規制と処置内容の特定
・規制対象となるデータの特定 - データセキュリティ・ポリシーの定義
・規制に準じたポリシーの定義
・運用の手順や体制の整備 - データセキュリティ基準の定義
・データへのアクセス範囲を示す機密レベルの定義
・アクセス権限の付与単位とするロールの定義 - セキュリティリスクの現状評価
・システムのセキュリティ対策の現状評価
・データ保護要件の特定と対策実施 - コントロールと手順の実施
・手順にしたがったデータセキュリティの運用
・運用状況(規制の遵守状況)の監視
以降は、具体的なアクティビティの内容について、DMBOK2の内容を元に、筆者のコンサルティング経験を踏まえた解釈も交えながら解説していきます。
アクティビティの実践内容
1.データセキュリティ要件の特定
まず、対象となるデータと、そのデータが業務でどのように利用されるのかを把握します。例えば、
・取引先より顧客の属性情報(性別・年齢・居住地・趣味嗜好など)と商品の購買履歴を入手する。
・これらを用いて、顧客属性に基づく購買行動の傾向を分析し、取引先にレポートする。
・取引先の顧客にはEU域も含まれる。
など。
ここまで把握できれば、対応すべき規制や規程が特定できます。この場合は、個人情報保護法やGDPR、取引先と自社との契約内容になります。対応すべき規制は取り扱うデータと利用の仕方によっても異なるため、データをどのように利用しているか把握しておくこともデータセキュリティ要件を特定する上で必要です。
2.データセキュリティ・ポリシーの定義
セキュリティ要件に基づいてポリシーを作成します。多くの企業では、情報セキュリティポリシーや個人情報に対するプライバシーポリシーなど、既に当該データに対する行動指針が定められています。よって、外部規制を受けるような新しい種類のデータを取り扱う際、既存のポリシーの内容で十分かどうかを評価します。既存のもので不十分な場合には、ポリシーを補強します。
ポリシーに準じて適切にデータを管理するためには、手順と体制の整備が必要です。
例えば、データには後述する「データセキュリティ基準」を照らし合わせて適切な機密レベルを割り当て、それに沿ってアクセス権を利用者へ付与し、不適切な利用が行われていないか定期的に監視するといった手順を整理します。
そして、整備した手順を実行するための体制とその役割を定義します。
データセキュリティに関する体制として、次のような役割の設置が考えられます。
・データ管理者:データの機密レベルの決定やデータアクセスの認可
・システム管理者:ロールの実装、認可に基づくアクセス権付与、データ保存・廃棄
・セキュリティ管理者:データベースへのアクセス状況の監視
3.データセキュリティ基準の定義
情報漏洩やコンプライアンス違反を防ぐ手段の一つとして、適切なアクセス権限の管理は欠かせません。そのため、アクセス権限を付与する際の基準を定義します。一般的に、機密レベルとアクセスロールの二つが、主要な基準として定められます。
・機密レベル
「一般公開」または「全社員向け」など、制限をあまり設けず広く公開する低いレベルから、ごく一部に公開を限定する高いレベルまで、データに対する機密レベルを定義します。自社の情報管理規程などで定義されている機密レベルを基に、機密に該当するデータと機密レベルごとにアクセスを許可する範囲(部内公開や役職者限定など)を定義します。
・ロール
データへのアクセス権限の付与はグループの単位で定義します。例えば、全社公開するデータには全従業員ロール、人事部門に公開を限定する社員機密情報は人事ロール、特定業務担当のみに制限する極秘情報は限定ロールというように、機密レベル毎、さらには機密レベルと規制の組合せ毎などに応じて、ロールを定義します。
4.セキュリティリスクの現状評価
DMBOK2では、データセキュリティの活動として規制に基づく要件を特定しポリシーや手順を整備することに加え、ネットワークやデータベースなど、ITインフラに係るリスクも評価すべきと述べています。
例えば、データの連携経路でデータの授受・保存はセキュアな環境で行われているか、保存・利用するデータは難読化やマスキングが施され容易に解読できないように対策されているか、などの評価を行い、リスクがある場合には必要なインフラ対策を実施します。
5.コントロールと手順の実施
アサインされたセキュリティの担当者が、定義した基準と手順に基づいて運用します。そして、手順が正しく運用されているかを定期的に監査し、不備があった場合には是正します。
また、データ利用の目的変更や新たなデータの取り扱いが必要になった場合や、規制の要件が変わった場合は、最初のステップに戻りポリシーや手順を見直します。
データセキュリティ管理が着実に運用されるためには組織文化の醸成も重要になります。多くの企業が既に取り入れているように、従業員への教育やテスト、セキュリティに関する情報発信にデータセキュリティに関するテーマを加えることより、現場で職務に従事する人たちの理解向上に繋がります。
データセキュリティ管理を見直してみよう
これまでご紹介したように、データセキュリティを担保するにはポリシーや手順の整備と、手順に則った正しい運用に努める必要があります。
しかし、これらの取り組みを新たに既存の業務に組み込むのは簡単ではありません。データを取り扱う側に負担をかけずに、着実に実行できる手順を検討することも重要です。
データ活用に既に取り組まれている、もしくはこれから取り組まれる中で、データセキュリティのプロセスを点検・導入する際は、今回のブログをぜひご参考にしてみてください。