いまさら聞けない「データセキュリティ」と「データプライバシー」の違いとは?:データを守る「3大概念」【後編】
データを守ることに関する概念は混同しやすい。「データセキュリティ」と「データプライバシー」の違いを押さえておこう。
企業が利用するデータが多様になり、その量が増大するのと同時に、データを「守る」ことや「正しく取り扱う」ことがより重要になっている。データを守ることに関する3つの概念「データ保護」「データセキュリティ」「データプライバシー」はそれぞれどう違うのか。本稿は、データセキュリティとデータプライバシーについて解説する。
「データセキュリティ」と「データプライバシー」の違い
併せて読みたいお薦め記事
連載:データを守る「3大概念」
データ保護の知識を深めるには
データセキュリティとは、データの作成から破棄までのライフサイクルにおいて、盗難や破損、不正アクセスからデータを守ることを指す。データセキュリティのポイントは、以下の通りだ。
- ストレージ、サーバ、ネットワークなどインフラのセキュリティ対策
- ID・アクセス管理を中心としたデータへのアクセス制御
- データ利用の記録(ロギング)やシステム管理による不正アクセスの検出
- セキュリティ証明書を用いた暗号化通信などを含めた暗号化の技術
データセキュリティの第一歩は、セキュリティポリシーを定めることだ。セキュリティポリシーでは、保護対象となるデータやそれらへのアクセス方法、暗号化の実装方法などを文書化する。従業員向けのセキュリティ教育を実施し、セキュリティポリシーを丁寧に説明することも欠かせない。
データ保護と同様、データセキュリティはコンプライアンス(法令順守)を徹底する上でも欠かせない。ビジネスパートナー契約の締結や外部から投資を受けるといった際に、データセキュリティの実施が条件となる場合もある。
データプライバシーとは
データプライバシーは、個人情報を中心としたデータを正しく管理・利用することだ。その際、特にデータの扱いを巡る透明性を追求することがポイントになる。データプライバシーを確保するに当たり、以下を定める必要がある。
- データを収集・利用する理由
- データを収集・利用する方法
- データの管理や保護の方法
- データを追加したり変更したりする権限を割り振るユーザー
データプライバシーを確保するための具体策としては、以下のような取り組みがある。
- 利用するデータがいつ、どのように収集されたのかを確認する
- 誤っているデータや古いデータがあれば、修正・更新する
- 必要に応じて、データを利用できないようにする
- 利用後にデータを削除するようユーザーに要求する
特に、北米や欧州など海外で事業展開する組織にとってデータプライバシーの徹底は不可欠だ。念頭に置いておきたい、データプライバシーに関する主な法律は以下の通り。
- 米国
- 2003年カリフォルニア州オンラインプライバシー保護法(CalOPPA)
- カリフォルニア州消費者プライバシー法(CCPA)
- ユタ州消費者プライバシー法(UCPA)
- カナダ
- 個人情報保護及び電子文書法(PIPEDA)
- オーストラリア
- 1988年プライバシー法
- 欧州連合(EU)
- EU一般データ保護規則(GDPR)
データプライバシーに関するさまざまな法律があり、それぞれに特有の条件や義務がある。違反した場合は高額な罰金が課せられる可能性があるので、注意が必要だ。
データを守るのは誰か
データ保護、データセキュリティ、データプライバシーに関して誰がその役割を担うのか。一般的な考え方は次の通りだ。
- ビジネスリーダー
- データ保護、データセキュリティ、データプライバシーの目標を設定し、達成する責任を負う。
- 顧問弁護士
- 法律専門家としてビジネスリーダーにアドバイスする。
- データ管理責任者
- ビジネスリーダーや顧問弁護士と協力して、データ保護、データセキュリティ、データプライバシーのポリシーとプロセスを作成する。
- 技術リーダー
- 現場でデータ保護、データセキュリティ、データプライバシーの運用を担当する。
- スタッフ
- データの取り扱いについて教育・訓練を受け、安全なデータ利用にコミットする。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.