データセキュリティとデータプライバシーの違いとは

データプライバシーについて考えるとき、次のような疑問を持つかもしれません。

  1. 「データセキュリティとデータプライバシーは同じものではないのか?」
  2. 「データプライバシーとデータセキュリティはどのように違うだろうか?」

ネット上で検索すると、このような疑問に辿り着くことが多いと思います。次のクイズに答えてご自分の視点を見てみましょう。

データセキュリティとデータプライバシークイズ

これらの推奨事項のうち、データセキュリティまたはデータプライバシーのベストプラクティスの特徴として挙げられるものはどれですか?

回答はいかがでしたか?

各質問に「データセキュリティ」と答えた場合、正しいかもしれません。

しかし、

各質問に「データプライバシー」と答えた場合、それもまた正しいかもしれません。

結局のところ、とても複雑なのです。

データセキュリティとデータプライバシーを比較してみましょう

「データセキュリティ」は、管理するアクセス制御の問題として定義されることが多く、「データプライバシー」は通常、データ公開の問題を緩和するためのデータガバナンスポリシーとして定義されます。何故でしょうか?

データセキュリティ

ドアのロックと同じように、データセキュリティは、アクセスを決定するためのはっきりとした制御になる傾向があります。例えば:

  • 会社のサーバー上のデータにアクセスできるかできないか
  • データが「信頼できる従業員」の手に渡っているか、「悪意のある人物」(悪意のある外国政府のような)によってハッキングされているか。
  • データは、「認証された」(承認された)ユーザーのみがロックを解除して使用できるように暗号化されているか、クリアテキスト(暗号化されていない文)であり、誰でも制限なくアクセスできるか。

データプライバシー

一方、データプライバシーは、データの不正使用や誤用を制限するなどグレーゾーンを制御するニュアンスをもつ傾向があり、適切なデータの使用を可能にするコンテキストまたは状況を定義するポリシーと大きく関係しています。

  • 顧客データにアクセスする権利があるが、それを使用して自分の親和性の高いマーケティングプログラムを促進できるか?
  • データは信頼できるデータスチュワードによって使用されているが、顧客はデータが他の人と共有されることを承認しているか?
  • 機密データは暗号化されているが、効果的な顧客サービスのためにどのような属性を見る必要があるか?

これらの2つの領域は関連しています。データセキュリティはデータアクセスを保護する効果的な制御ですが、オープンアクセスと保護の中間に位置するデータプライバシーは、データ公開の緩和および規制し、データ使用のリスクを想定するグレーゾーンとなります。

「データプライバシー」は、このような基本的な質問に答えるのに役立ちます。

保護されたデータへのアクセスが許可されている場合、データは適切に公開され、データ所有者、データ利用者、およびその他関係者のポリシーに従って使用されているだろうか?

クイズに戻って、データプライバシーのベストプラクティスと比較して、データセキュリティのベストプラクティスをより明確にするために、以下のアクティビティをより適切に区別できるかどうかを見てみましょう。

データ使用におけるコンテキストはデータプライバシーの懸念を解決することとは異なります。違いが分かるでしょうか?

データセキュリティとデータプライバシーの重要性:いわゆるグレーゾーン

前の図から分かるように、主に使用状況に着目したグレーゾーンがあります。保護された(使用できない)データとセキュリティコントロールのないデータのセキュリティ範囲の間に完全な答えがないため、データプライバシーが主に適用されます。

これは、データリスクの露出の問題です。

  • データガバナンス制御は、機密性を合理的な程度に保護するデータ公開を制限するのに十分強力かつ効果的か。
  • ポリシーは、少なくとも、データ使用に対するデータ所有者の期待と一致しているか。
  • すべてのデータ利害関係者は、信頼できる関係を損なう可能性のあるデータ公開への潜在的な悪用に対して、予想されるデータ価値創造の機会を危険にさらすことをいとわないか

現在、GDPR (EU一般データ保護規則)CCPA(カリフォルニア州消費者プライバシー法)、LGPD(ブラジル個人情報保護法)、PDPA(シンガポール個人情報保護法)など、新しいデータプライバシー義務が無数にあります。これらの義務は、主に、個人データの保護とデータの使用方法に関する消費者の承認を要求することにより、消費者のプライバシー(つまり、データの公開)を保護することを目的としています。また、強力なデータセキュリティ管理が必要であることに加えて、ポリシーを期待にさらに合わせるためにデータがどのように使用されるかについて透明性を備えたプライバシーをサポートする責任もあります。

データ暗号化やデータマスキングなどのセキュリティツールはデータプライバシーの保護に役立ちますが、露出が適切かどうか(および露出が適切でない場合は修正方法)を判断するためのインテリジェントな意思決定のためのデータプライバシーガバナンスが必要です。

データプライバシーガバナンスは、以下を可能にするのに役立ちます。

  • 機密データのデータユーザーと所有者、およびその他の利害関係者の間で合意された適切な注意の基準を反映するデータ使用ポリシーの実施
  • 機密データの分類とカタログ化により、対象範囲を決定し、個人情報などのさまざまなプライバシー義務の対象を決定
  • IDをデータにマッピングして、プライバシーポリシーについての定期的な問い合わせをモニターし、対応。たとえば、「誰のデータが、どのように、どこで使用されているか」を含むデータ主体アクセス要求(DSAR)
  • 定義および実施されているデータプライバシーポリシーに従って露出が適切かどうかを測定するためのデータプライバシーリスク分析
  • データリスクの露出がずれている場合は、データを保護するためのセキュリティ制御などの修復を有効にするか、データの保持に影響を与えるアクションを実行するか、データの最小化によるリスクを軽減
  • 最後に、データのプライバシー管理のギャップを特定し、ポリシーを改善し、データの使用が信頼できることを証明する問い合わせに対応するための監査とレポートの実施

データプライバシーガバナンス:プライバシーを管理するためにセキュリティを効果的に適用するための鍵

インフォマティカは、セキュリティとプライバシーの両面に対応し、永続データマスキング動的データマスキングなどのセキュリティテクノロジー、およびレコードやファイルで公開される機密データ属性を削減することでデータを匿名化および仮名化する関連テクノロジーを提供します。データとファイルを純粋に暗号化して使用できなくするのではなく、ベストプラクティスポリシーを反映した条件付き使用によってデータプライバシーの公開を制限します。これにより、データマスキングに微妙な違いが生じます。

また、さらに一歩進んで、ポリシー制御、データの検出と分類IDマッピング、リスクアナリティクス修復、および単一の一貫したプラットフォームでの監査とレポートを統合するデータプライバシーガバナンスソリューションは、期待される動作を促進するための自動化、AI、およびメタデータインテリジェンスを使用し、セキュリティ制御をより効果的に適用します。それは、機会とリスクの間の微妙な境界線を引くのを助けるために見えざる手を持っているようなものです。以下がその理由です。

データプライバシーの実装は、企業とその消費者の両方に同様に利益をもたらす

データあらゆるものから保護するのではなく、データプライバシーガバナンスはメタデータインテリジェンスと自動制御を適用して、個人データと機密データが適切に使用されるようにします。それは、誰もが望むことなのです。

企業は、消費者からより多くのインテリジェンスを引き出して製品やサービスを開発および改善し、ご愛顧とロイヤリティにつなげることができます。また、消費者は、信頼によって可能になるプライバシー権の範囲内でカスタマイズされたユーザーエクスペリエンスを受け取ることができます。

企業は、プライバシーのセキュリティ制御を適用してデータの使用を安全に民主化し、グローバルなプライバシー規制に準拠しながら、企業全体でより多くのビジネス価値を引き出すことに自信を持つことができます。それは、お互いにとってメリットがあります。

詳しくはこちら



本ブログは1月28日のNathan TurajskiによるData Security vs. Data Privacy—What’s the Difference?の翻訳です。