データプライバシーとデータ保護

6月 24, 2019 セキュリティとコンプライアンス, MOVEit

このブログでは、アメリカにおけるデータプライバシー(Data Privacy)とデータ保護(Data Protection)の言葉の使われ方に関して議論します。別の国での使用法とは、相違がある可能性がありますので、その点をご承知おきください。

データプライバシーとデータ保護は非常に密接な相互関連があるので、同義語のように捉えられがちです。しかし、データプライバシーとデータ保護の違いをしっかり認識しておくことは、大変重要です。その理解があった上で初めて、お互いに適切に補完させ合うことが可能になります。個人識別可能情報が収集、保存、または使用される場合は、プライバシーに関する懸念が生じます。

簡単に言えば、データ保護とは、不正アクセスからデータを保護することです。データプライバシーは、アクセス権限を誰が所有し、誰がアクセス権限を認定するかするかといった問題です。別のとらえ方として、データ保護は本質的に技術的な問題であり、データプライバシーは法律や規制にかかわる法的問題と分類することもできます。

データプライバシーとデータ保護は、ビジネス、政治、文化と深くかかわるプライバシーとサイバーセキュリティの重要な問題に複雑に織り込まれているので、両者を区別することは重要です。コンプライアンス規制の対象となる業界には、プライバシー法に関連する重要な法的義務があり、データ保護を確実に実行しても必要なすべてのコンプライアンス規制を満たしていない可能性があります。

用語のややこしさ

さらに面倒なことに、ストレージネットワーキング・インダストリ・アソシエーション(Storage Networking Industry Association、SNIA )によれば、「個人情報の管理」を対象とする法律や規制は、通常、米国では「プライバシーポリシー」で扱われますが、EUや他の地域では「保護ポリシー」の中で対処されます。

欧州連合(EU)の一般データ保護規則(GDPR)は、2018年5月25日に施行される厳しい規制で、EUで発生するトランザクションにおいてEU在籍者の個人データとプライバシーを保護することが企業に求められています。しかし、GDPRのデータ保護法は、個人識別情報の見解が米国とは大きく異なります。GDPRコンプライアンスのためには、cookiesにについても、社会保障番号などの保存された個人情報と同じレベルのデータ保護を適用する必要があります。

GDPRに準拠していることを確認してください。「GDPRへの準備」をダウンロードしてください。

プライバシーとセキュリティ:一方は他方を保証しない

データプライバシーとデータ保護を比較するときに理解しておくべき重要なことは、個人データが技術によって保護されていない限り、データプライバシーは保証できないということです。個人データが盗まれる可能性がある場合は、プライバシーは保証されず、ID盗難やその他の個人セキュリティ侵害のリスクがあります。しかし、逆は必ずしも真実ではありません。個人データは、高いプライバシーを保証することなく保護することができます。

どのように?受けたサービスに対してクレジットカードを使うことは、2つのことを意味します。まず第一に、サービス提供者と支払いシステムが個人データを保護(特に、サーバー犯罪者や他の第三者が同意なしにクレジット情報にアクセスしないよう、確実に保護)するという点に関して信頼していることを意味します。同時に、サービス提供者が提供された情報を悪用せずデータプライバシーを尊重する点に関して信頼していることも意味します。

技術だけでは個人データのプライバシーを保証することはできません。ほとんどのプライバシー保護プロトコルは、データにアクセスする権限を得た個人からの保護という点では依然として脆弱です。権限を与えられた個人が担う責任は、技術的なもの以上に、プライバシー法に関するものです。

技術から信頼へ

権限を与えられた、技術を利用するユーザーがプライバシー法の責任を負っているため、技術はデータプライバシーと無関係であることはできません。オープンWebアプリケーションセキュリティプロジェクト(OWASP)の倫理綱領は、セキュリティ担当者に対し、「職業的活動の過程で遭遇する専有または機密情報に関して適切に守秘義務を遂行する」ことを求めています。

つまり、いくら高い技術があっても、データプライバシーを確保する上では信頼が中心的役割を果たさざるを得ないということです。

そしてそれは、ファイル転送に関わる人々の負担を倍増させます。データはWebノードを通過しますが、そのセキュリティレベルは旧式のはがきと同等です。つまり、パケットを扱うすべてのサーバーは、転送先のIPアドレスだけではなく、メッセージ(最終的にはプレーンなバイナリデータです!)を読み取ることができます。非常に基本的なレベルではプライバシーはなく、公開されているWebを介して送信されるものについてはセキュリティ保護がありません。

転送中の個人データを保護するための信頼できる手法は、不正な第三者がデータを入手することができても内容を読み取れないようにする暗号化です。公開されているWebを介して送信される電子メールに個人識別可能情報を入れて送れば、個人情報の盗難の危険にさらされるプライバシーリスクが発生します。エンドツーエンドの暗号化によって、既知のIPアドレスを持つ「承認されたユーザー」(送信者と受信者)だけがプライバシーの関門を通過し、データにアクセスできます。

データプライバシーとデータ保護に関して、テクノロジー・サービスが提供できることは、以上のようなことです。どう活用するか、または対応しないのか、という最終判断は、IT管理者の考え次第です。

Rick Robinson