データ保護とプライバシーの概要

  • 7 分

ビジネス データと個人データは貴重です。 個人またはビジネス データの未承認の公開やアクセス、処理、使用は個人や企業に大きな損失をもたらす可能性があります。

量が増え続けるデータは、デバイス、組織のファイル サーバー、クラウド ストレージ サービスなど、多くの場所に存在します。 データは、多くの異なるデバイスの使用によって、さまざまな場所からアクセスされる可能性もあります。 データの漏えい、誤用、紛失のリスクはかつてないほど大きくなっています。

企業や個人がデータ保護の必要性を理解し、データを保護するために必要なスキルを学ぶことが重要です。 データ保護の重要性は、作成され保存されるデータの量と秘密度と共に増加します。

データ保護とデータ プライバシー

"データ保護" は違法または未承認のアクセス、使用、破棄、破壊、紛失からデータを保護することに関係します。 "データ プライバシー" は個人データの収集、使用、許可される処理、および個人が収集された自分に関するデータをコントロールするためのどのような権利を持つかに重点を置きます。

データ保護は通常、データに対する技術的なコントロールと関係があります。 データ プライバシーは一般的に、法的または規制上の要件を意味します。 データ保護はデータ プライバシーを保証するものではなく、その逆も然りです。

データ保護

"データ保護" には、価値ある情報を破損、侵害、損失から守るために利用できるプロセス、手順、テクノロジが含まれます。 データ保護を保証できる単一の製品やテクノロジは存在しないということを認識することが重要です。 むしろ、データを保護するには利用可能な手順、テクノロジ、製品の組み合わせが必要になるでしょう。

データ保護対策を計画して実装するには、次の要素を考慮してください。

  • データ タイプの秘密度。 すべてのデータが同じレベルの保護を必要とするわけでもなければ、同じデータ保護の手法から恩恵を受けるわけでもありません。 たとえば、メール アドレスなどの個人データには、社会保障番号や医療情報などのより機密性の高い個人データと同じ保護は必要ないかもしれません。

  • データがどこに保存されるか。 適切なデータ保護のテクノロジや手法は、データをどこに保存するかに依存する場合があります。 たとえば、モバイル デバイスに保存するデータには、会社のファイル サーバーやクラウドに保存するデータとは異なるデータ保護を使用する場合があります。

  • 適用されるデータ保護要件と規制。 法令で特定のデータ保護要件が定められていることがあります。 法務チームと連携して、自分がこれらの要件と、それらがどのように自分のビジネスに適用されるのかについてのしっかりした理解を持っていることを確認します。

  • データ保護を可能にするテクノロジ。 すべてのシナリオで完全なデータ保護を保証する単一のテクノロジは存在しません。 特定のニーズに適した利用可能なすべてのプラットフォーム、プロセス、テクノロジについて理解を深めます。

データ保護を保証する単一の手法またはテクノロジは存在しません。 しかし、次に示す主要な原則はデータ保護戦略を設計する際に重要です。

  • データの作成または収集時に、データのライフサイクルを通じてデータについて回る一定レベルのデータ保護を実装します。

  • 組織の従業員がデータ共有を理解し、自分が何のデータを共有しているか、それを誰と共有しているか、それをどのように共有しているか意識していることを確かめます。 データ アクセスと共有をコントロールすることは、データ保護の中核です。

  • 特定のデータを保護するだけでなく、ユーザー ID、ユーザーがデータにアクセスするデバイス、ネットワーク トラフィックも保護するようにします。

データのプライバシー

データ プライバシーでは、次に示す関心事に対処することが一般的です。

  • どのエンティティがデータを収集できるのか。
  • どのエンティティがデータにアクセスできるのか。
  • どの組織が収集したデータを処理できるのか。
  • 組織がどれだけの期間データを保持できるのか。
  • 個人が自分のデータに対してどのレベルのコントロールを持っているのか。

プライバシーに関する法律と規制

さまざまな法律が個人や企業が自身のデータを誰が使用するかをコントロールする権利を定義し、さまざまな種類のデータを処理するための要件を明記しています。 多くの国や地域 (場合によっては特定の州) には、プライバシーや個人データの保護を扱う法律または規制があります。 以下のユニットでは、これらのプライバシーの法律の詳細について説明します。

一般に、プライバシーに関する法令は、組織 (場合によっては個人) がどのように個人データを収集、使用、保存してよいかに関する法的枠組みを定めています。 多くの場合、法律と規制では組織がデータのプライバシーを保護するために使用する必要がある特定のテクノロジが定義されたり規定されたりはしていません。 組織はコンプライアンスに準拠しているテクノロジ、運用、その他の適切なデータ プライバシー保護対策を見つける必要があります。

データ プライバシー コンプライアンスを定義する

内部のコンプライアンスの枠組みは、データのアクセス、使用、保護のための原則と手順に重点を置いたものである必要があります。 組織の内部的なデータ処理ポリシーの設計は、組織および処理されているデータに適用される法律と規制の要件を反映したものである必要があります。

データ保護責任者 (DPO) は、州、国、地域の法律と規制と、組織の内部ポリシーに基づくデータ処理要件を理解する必要があります。 DTO はその上でデータ収集、ストレージ、保護のための適切な手順とテクノロジを定義できます。

Microsoft は、お客様の組織が国、地域、業界に固有のデータの収集と使用に関する要件に対処することを支援するコンプライアンス認証を提供しています。 後のユニットでは、これらのオファリングについて説明します。