情報セキュリティと情報プライバシーの違い

情報セキュリティと情報プライバシーは、多くの企業にとってますます重要な課題となっています。情報漏えいは、金銭的な損失だけでなく、ビジネスや個人の生活に混乱をもたらす点で、企業と消費者双方にとって壊滅的な打撃となるリスクを生じさせます。2019年には4,000万人以上の米国人が医療データ漏えいの被害に遭いました。2018年の1,400万人から驚異的な増加です。

情報セキュリティと情報プライバシーは類似したテーマであるため、しばしば混同されがちです。しかし、これらは同一のものではなく、企業が両分野で効果的な対策を確保しようとするなら、異なるアプローチが必要です。

本記事では、情報プライバシーと情報セキュリティの違いを解説し、その差異が重要な理由を説明するとともに、企業がこれらの重要課題に取り組むためのベストプラクティスを提案します。

 

情報セキュリティとは?

情報セキュリティ(InfoSec、インフォセック)とは、企業が情報とインフラを不正アクセスや攻撃から保護するために採用する実践的手法です。

多くの企業は、包括的で詳細な情報セキュリティポリシーを実施し、データ、プログラム、ネットワークのセキュリティの確保をめざしています。基本的な情報セキュリティ対策には、データの暗号化、ファイアウォールの設置、サイバー攻撃を防ぐためのウイルス対策ソフトやマルウェア対策ソフトの使用などが含まれます。情報セキュリティ対策は、データが保存、処理、送信される過程、すなわちデータ利用時のあらゆる段階において、データを保護します。

データに対するセキュリティは、フィッシングメールやWebサイトのポップアップに潜むマルウェアから、キーロガープログラムや悪意ある行為者による直接的な攻撃まで、さまざまな方法で侵害される可能性があります。また、従業員が不正なユーザーにデータアクセス権限を提供した場合にも、データが危険にさらされるリスクが生じます。企業の情報セキュリティプログラムは、このような脅威を軽減し、情報システムの安全性を維持することを目的としたプログラムです。

 

データとシステムを セキュアに維持する必要がある

 

情報セキュリティが企業にとって重要な理由

企業がデータとシステムのセキュリティを確保すべき理由は複数あります。

事業の運営と機能の維持: 多くの企業は、業務を遂行するためにデータと情報インフラに大きく依存しており、企業の情報やプログラム、ネットワークがハッカーに侵害された場合には、業務が停止するおそれが生じます。侵害されたネットワークは比較的容易に復旧できるかもしれません。しかし、貴重な情報の回復はまた別の問題となるでしょう。この点は、システムが短時間停止しただけでも業務に深刻な支障をきたすミッションクリティカルな業界においては、特に重要な問題になります。

財務損失の防止:セキュリティ侵害による財務損失は、しばしば深刻なものとなります。米国におけるデータに対するセキュリティ侵害の平均コストは819万ドル、医療分野では平均1500万ドルに上ります。効果的な情報セキュリティ対策は、こうした莫大な損失を防ぐのに役立ちます。

データの守秘性の維持:特定の情報は、信頼できる限られた人物以外には漏らすべきではありません。収益性を確保するため、企業秘密その他の守秘性の高い情報を確実に保護する必要があります。

規制および倫理基準の遵守: 米国では情報セキュリティに対する厳格な包括的規制は存在しません。しかし、医療や教育の分野では、特定の法律が適用されます。優れた情報セキュリティ対策は、法令へのコンプライアンスを支援し、倫理基準と業界のベストプラクティスの維持を可能にします。これにより、当該分野における誠実さとリーダーシップを示すことにつながります。

情報セキュリティの強化をめざす企業は、以下の手順を講じる必要があります。

  • 情報セキュリティ対策において適用される規制、法令、業界のベストプラクティスを特定する
  • 組織全体を対象に、厳格で包括的な情報セキュリティポリシーを策定する
  • どの従業員がどのデータとシステムにアクセス可能かを、ポリシーに基づいて決定する
  • ポリシーの条項を遵守する方法について、従業員のトレーニングを実施する
  • 必要に応じてアプローチを再評価し、より高度な脅威に対応できるよう改善する

 

情報プライバシーとは?

情報プライバシーとは、個人識別情報(PII)や個人健康情報(PHI)など、個人データに対する管理をさします。米国をはじめ多くの国では、このような個人情報は法的保護の対象となります。消費者は、企業が当該情報をどのように管理・共有・廃棄するかについて意見を述べる権利を有します。

例えば、オンラインアカウントの登録時やモバイルアプリのダウンロード時に、消費者が同意を求められるプライバシーポリシーを考えてみてください。プライバシーポリシーでは、企業が消費者からどのような情報を収集するか、そのデータをどのように利用するか、データを共有できる相手とできない相手について明記しています。

情報プライバシーと情報セキュリティは、場合によっては重なるケースがあります。プライバシー保護の対象となるユーザー情報が、セキュリティ保護の対象となる組織データであるケースがその例です。

 

クライアントデータの プライバシー保護が必要な理由

 

情報プライバシーがビジネスにとって重要な理由とは何でしょうか?顧客データのプライバシー保護が重要である理由を以下に示します。

規制へのコンプライアンスの維持: さまざまな法令や規制に準拠するため、堅牢な情報プライバシー保護を提供する必要があります。事業の運営に適用されるデータプライバシー規制を常に把握し、それらに準拠したポリシーを実施することが重要です。

顧客の保護: 顧客に不利益が生じないよう、データプライバシー保護に努めなければなりません。最悪の場合には、悪意のある第三者が顧客の個人情報を盗み出し、顧客に多額の損害を与えるおそれがあります。顧客のデータの漏えいを防ぐことは、消費者を嫌がらせやプライバシー侵害から守り、個人情報の安全性について安心感を与えることにもつながります。

消費者からの信頼の向上: 守秘性の高い消費者情報の取り扱い方法は、企業のレピュテーションにも影響を及ぼします。確信を持ってデータプライバシーを管理することは、既存の顧客および潜在的な顧客に対して、ビジネスの信頼性と誠実さを証明することになります。これにより、大きなビジネスチャンスとブランドへのロイヤルティを獲得できる可能性が高まります。

財務的損失の回避: 一般に、データ侵害による直接的な経済的影響を最も強く受けるのは消費者です。しかし、企業にも被害が及びます。情報プライバシー法への準拠を怠った場合には、多額の罰金が科せられるおそれがあります。

情報プライバシープログラムを構築しようとする企業は、以下のような手順を踏む必要があります。

  • 企業のポリシーを通じて現在提供されているプライバシー保護のレベルを特定しり
  • 事業が遵守すべき規制上のプライバシー基準を調査する
  • 利用可能なプライバシー保護のオプションを把握する
  • これらのオプションが既存の組織体制で機能することを確認する
  • これらの規則および法令に準拠した消費者データの取り扱い方法について、従業員のトレーニングを実施する
  • 選択した保護オプションに基づいて消費者のデータを管理する

 

情報セキュリティは、企業のコンテンツを保護し、 事業の目的・目標の達成を支援する

 

セキュリティとプライバシーの違いとは?

プライバシーとセキュリティの本質的な違いは、情報セキュリティがデータとインフラに焦点を当てるのに対し、情報プライバシーは、人とその保護対象となる情報に焦点を当てる点にあります。情報セキュリティは、企業のコンテンツおよび事業目標達成を脅かす脅威や攻撃から企業を保護します。情報プライバシーは、消費者・顧客の権利を尊重し、彼らのデータをセキュアに保ちます。

企業のプライバシープログラムは、個々の顧客の個人情報を保護します。一方で、情報セキュリティプログラムは、データ、プログラム、システム、ネットワーク、インフラを含む、組織の全てのデジタル資産を保護します。

情報セキュリティと情報プライバシーを考えるうえで有用な比喩として、リビングの窓が挙げられます。窓に厚く頑丈なガラスを使用し、外側に重厚な鉄格子を取り付けることは、セキュリティ対策にあたります。これらの対策は、侵入のリスクからあなたを守ります。窓にカーテンを掛けることで、通りすがりの通行人が室内を覗き見できないようにし、プライバシーを確保します。

 

情報セキュリティと情報プライバシーの関連性とは?

情報セキュリティ対策の一部は、情報プライバシーにも関連します。例えば、企業がデータの暗号化による保護対策を講じている場合に、暗号化は、データを脅威から保護すると同時に、データのプライバシーも確保します。しかし、ウイルスが社内ネットワークに侵入するのを防止するファイアウォールや、ユーザーが企業秘密を他者と共有するのを防止するポリシーが、消費者データのプライバシーに直接影響を及ぼす可能性は低いと考えられます。

情報セキュリティと情報プライバシー保護を同時に実施するケースも多く見られます。守秘性の高いPHIを扱う病院を例に考えてみましょう。施設の職員がPHIを扱う際には、保護されていない個人用のメールアカウントで守秘性の高い情報をやり取りするのではなく、セキュリティが確保されたシステムを使用します。これは、セキュアなシステムを用いてデータ保護を図る情報セキュリティの一例です。

病院の職員は、患者の個人情報である健康記録へのアクセスを制限するため、より基本的な措置を講じることがあります。例えば、情報へのアクセスを、患者のケアチームに属する医師や看護師など、権限を持つ職員のみに限定するという方法が考えられます。また、緊急時を除き、職員が患者情報にアクセスできるのは通常の業務時間内のみと規定することも可能です。このような措置により、職員は、患者のプライバシーを尊重すると同時に、データセキュリティを確保できます。

 

セキュリティは、プライバシーを考慮しなくても確保しやすい一方で、 セキュリティなしでプライバシーを確保するのは容易ではない

 

情報セキュリティと情報プライバシーがどのように影響し合うかについて、さらに例を挙げて説明します。

効果的なセキュリティとプライバシーが確保されているケース:取得した消費者データを不正アクセスから安全に保護している場合は、情報セキュリティと情報プライバシーの両方を提供していることになります。

効果的なセキュリティが確保されているが、プライバシーが侵害されたケース:顧客情報を取得し、消費者プライバシー契約に違反して第三者に情報を販売したとします。会社のセキュリティ対策への侵入や不正アクセスは発生していません。しかし、許可なく情報を他者と共有したことで、その情報のプライバシーを侵害したことになります。

セキュリティ侵害が発生したが、プライバシーは侵害されていないケース:ハッカーがファイアウォールを突破したものの、重要な顧客データを取得せず、単にシステム操作を妨害したとします。セキュリティが侵害された一方で、顧客の個人情報は非公開のままです。

プライバシーとセキュリティの両方が侵害されたケース:サイバー攻撃がセキュリティ上の弱点を悪用する状況を想像してください。侵入者は、保護された顧客の個人情報へのアクセス権を獲得します。この状況は、攻撃者が防御を突破したためセキュリティ侵害にあたり、かつハッカーが非公開であるべきデータを取得したため、プライバシー侵害にもあたります。

これらのケースから得られる主な教訓の1つは、プライバシーが確保できていなくてもセキュリティは確保しやすい一方で、セキュリティが確保できていなければプライバシーを確保することは比較的困難であるという点です。自社のセキュリティを侵害することなく、保護された情報を意図的に第三者に提供する可能性があります。一方で、情報セキュリティ侵害が発生しながらも消費者データのプライバシーを維持し続けるケースは珍しく、消費者データに手を付けない標的型攻撃による侵害は、おそらく極めてまれなケースでしょう。そのような事態が発生する主なケースは、攻撃を実行する悪意のある行為者が何らかのミスを犯した場合だと考えられます。

企業の多くが、情報セキュリティプログラムを併せて実施しなければ、プライバシー保護プログラムの運用は現実的でないと認識しています。例えば、厳格なアクセス制御を含む情報セキュリティプログラムがなければ、ネットワークへの不正なアクセスを得た悪意ある行為者によって、顧客の個人データをすぐに奪われるおそれがあります。そのようなケースでは、情報プライバシーに関する法令に違反するリスクも高くなります。

 

情報プライバシーと情報セキュリティの比較

情報セキュリティと情報プライバシーに関する具体的な取り組みについて説明します。

法規制とベストプラクティス

情報プライバシーについては、特に北米や欧州を中心に、多くの場合で法的保護が設けられています。一方で、情報セキュリティ分野における法的保護は、比較的少ない状況です。米国では、包括的な規制は少ないものの、州ごとに独自の法律が存在する場合があります。既存の規則は、主に産業秘密の利用の合法性・違法性および、政府の情報保護に焦点を当てています。情報セキュリティ分野では、法的要件が存在しない場合に、ベストプラクティスを指針として用いる傾向があります。例えば、決済カード業界(PCI)に適用される規則は、地方や連邦の法律に基づくものではありません。これらは金融機関が一貫したデータ保護を確保するために策定したガイドラインです。

情報セキュリティおよび情報プライバシーの侵害に関する対応手順

情報セキュリティおよび情報プライバシーの侵害への対応手順は、法律で定められています。情報プライバシー侵害を規制する法律が存在する国で事業を展開している企業は、顧客の個人情報に関する侵害または不正開示が発生した場合に、適切な機関に報告しなければなりません。一方で、情報セキュリティ侵害が発生した場合には、状況によっては社内で対応することも可能です。


個人健康情報

個人健康情報(PHI)

 

個人健康情報(PHI)は、他の多くの種類の個人データよりも厳格な法的プライバシー保護の対象となっています。

一般的な個人データは、通常では、個人を特定できる情報として狭義に定義されます。これには、個人の氏名、生年月日、住所、社会保障番号などの情報が含まれます。一方、PHIは、個人の健康状態、医師の診察、治療に関する情報をさします。PHIには、通常の個人データよりも厳格な保護が適用されます。法律では、PHIの対象となる個人に対し、情報のあらゆる利用、開示、廃棄について明示的な同意を得ることが義務付けられています。

抑止と予防

多くの情報セキュリティ対策は、企業ネットワーク外部からの悪意ある攻撃を抑止・防止することを目的としています。これらの対策はさらに、組織内部の関係者によるネットワーク外の個人やネットワーク内の権限のない個人に対する秘密情報の漏えいを防止することも目的としています。

抑止と防止の対策は、情報プライバシーにも適用される場合があります。しかし、適用範囲は限定的なケースが多いのが実情です。企業の多くが不正なプライバシー開示を防止したいと考える一方で、このような不正開示は企業の内部運営やリスクへの影響が小さく、リソースが限られている場合には、十分な抑止・保護対策が取られないケースがあります。

 

情報プライバシーと情報セキュリティに共通する課題

情報プライバシーは 個人情報に影響を及ぼす脅威への対処を目的としている

 

情報セキュリティと情報プライバシーの分野は、一般的に企業が警戒を怠ってはならないさまざまな種類の脅威に対処します。情報セキュリティにおける一般的なリスクと課題には、以下のようなものがあります。

情報プライバシーは、デジタルであるか否かを問わず、個人情報に影響を及ぼす脅威をより頻繁に扱います。主要な懸念事項の例を以下に示します。

  • 不十分なデータ匿名化
  • 不十分なデータ保護
  • 消費者の同意なしのデータ利用・廃棄
  • 不正なデータアクセス
  • 同意なしの第三者・第四者ベンダーへのデータ販売

 

情報セキュリティ確保のための基本原則

情報セキュリティ確保のための基本原則

 

企業では、保護対策を導入するにあたり、いくつかの基本原則に焦点を当てる必要があるでしょう。情報セキュリティにおける主要な原則の3つは、CIAの3要素として知られています。

守秘性(Confidentiality):この原則は、守秘性の高い情報資産へのアクセスを、権限のあるユーザーのみに制限することを意味します。厳格なアクセス制御と、悪意のある行為者に対する防護策を実施することで、情報の守秘性を確保します。

完全性(Integrity):データの完全性を確保することも重要です。導入するセキュリティ対策に関わらず、データは完全かつ正確な状態で保持されなければなりません。データを適切に保護することで、セキュリティを確保し、データを利用可能な状態に維持します。

可用性(Availability):厳格なセキュリティ対策が実施されている場合でも、業務に必要なデータは、許可されたユーザーが常にアクセスできる状態に維持されていなければなりません。この原則により、データ保護と、組織内での有用性維持の適切なバランスを図ります。

 

情報プライバシー確保の基本原則

情報プライバシーの原則

 

情報プライバシーを特に重視する企業は、以下のような基本原則の実現をめざす場合があります。

匿名性:消費者データを可能な限り匿名化するよう努めるべきです。例えば、個人を特定できる情報を記録から排除し、集計データとして有用な調査データを収集する方法を検討します。

通知と認識:収集予定のデータと利用目的を顧客に通知します。Webサイトでクッキーを使用して活動を追跡する場合には、訪問者にその旨を明示します。対面では、顧客の個人情報へのアクセス権限を持つ者と持たない者を明確に伝えます。

選択と同意:顧客は、自身の個人データの利用提案に対して同意するか否かを選択できなければなりません。情報の収集・利用を希望しない顧客には、明確にオプトアウトできる手段を提供する必要があります。

アクセスと参加:この概念は、消費者が自身のデータにアクセスし、誤りがあれば修正できるようにすることを意味します。この原則では、情報を利用する前に本人確認を必要とするケースが多く、アクセスと参加の機会を提供することにより、顧客に関する不正確な個人情報の使用や流通を回避します。

完全性と安全性:この原則は、情報セキュリティ対策の核心的な目的と重なる部分があります。企業は、顧客の個人データを完全かつセキュアに保つためにあらゆる予防措置を講じる必要があります。個人データへのアクセスを制限し、データ損失や不正開示から保護し、不要になったデータはセキュアに破棄します。これらの措置により、個人データの不正な流出を防ぎます。

執行と救済:この原則は、情報プライバシー法へのコンプライアンスを強化し、違反を罰する仕組みを要求します。例えば、当局が組織内の法令違反を発見した場合に、業界によって罰則が科される可能性があります。また、消費者は、同意なく情報が共有されていたことを知った場合に、救済を求める手段を持つ必要があります。

 

Boxのセキュリティとコンプライアンスでビジネスを保護

Boxは、セキュリティとコンプライアンスのソリューションを提供し、事業運営における情報セキュリティと情報プライバシーの確保を支援します。データのプライバシーとセキュリティを維持すると同時に、情報共有とコラボレーションを最適化するサービスを提供します。

Boxは、プライバシーとセキュリティの両方を重視しています。主な機能を以下に示します。

  • 6種類のネイティブな分類手法
  • コンテンツ内の個人識別情報(PII)、個人健康情報(PHI)、カスタム用語を、機械学習により自動で分類
  • 高粒度なアクセス権限の設定と強力なユーザー認証機能
  • 全ファイルのAES 256ビット暗号化
  • 罰金の回避および、厳格でグローバルなコンプライアンス・プライバシー要件への対応を実現する、簡素化されたガバナンスとコンプライアンス
  • 社内外での業務の進捗状況を監視する機能(インサイトと完全な監査証跡付き)、脅威防御のための機械学習

Boxのインテリジェントコンテンツ管理(ICM)プラットフォームは、エンタープライズグレードのセキュリティおよびコンプライアンス管理ソリューションによる、セキュリティとコンプライアンスに対するインテリジェントでクラウドネイティブなアプローチを提供します。Boxのお客さまは、防御を強化し、脅威を阻止するための最先端のツールを利用できます。Boxのシステムは、現行のITインフラとの統合も容易なため、長期間の導入プロセスや遅延の心配なくセキュリティを強化できます。

Boxを是非ご検討ください。利用プランについてはこちらからアクセスできます。情報セキュリティと情報プライバシー保護の強化についてのご相談・お問い合わせもお待ちしています。

Box のセキュリティとコンプライアンスで ビジネスを保護

**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、この記事で提供される情報は、法的助言の提供を意図したものではありません。適用される法律に対するコンプライアンスを検証する際には、お客さまが自らデューデリジェンスを実施することを推奨します。