データ保護はなぜ必要なのか?関連法令と手法についても詳しく解説
公開日:2022.10.28
スキルアップ
近年は社会のデジタル化が進み、ビジネスの中で扱われるデータ量が急激に増えています。オンライン上で提供されるサービスの増加にともない、個人情報を企業が預かるケースも今後増えていくでしょう。
一方で、不正アクセスやサイバー攻撃によって個人情報が漏洩し、企業の信頼が損なわれたというニュースもよく見られるようになってきました。このような社会情勢において、データ保護の重要性は年々高まっています。
今回はビジネスと切っても切れない関係となったデータ保護の必要性について、関連する法令を含めて基本から解説します。また、実務でデータ保護に関わるかたに向けてデータ保護の手法についても触れますので、ぜひ最後までお読みください。
データ保護とは?
ここでは、データ保護の対象となるデータ、データ保護の必要性について解説します。
どのようなデータが保護されるのか
一般的にデータ保護の対象となるデータにはどのようなものがあるのでしょうか。
個人情報保護法の規定を例に挙げると、氏名、生年月日、マイナンバーなど個人の特定につながる情報がデータ保護の対象となる個人情報です。メールアドレスや電話番号は、単体では個人の特定につながらないものの、他の情報と照合することで特定につながる場合は個人情報とみなされることもあります。
特に金融業界や医療業界は、利用者の特定につながる情報を多く保有する傾向にあるため、特にデータ保護を手厚く実施する必要があるでしょう。
なぜデータ保護が必要なのか
ここでは、データ保護を重視すべき理由について、代表的なものを例に解説します。
コンプライアンスの順守
企業の経営においてコンプライアンス順守は必須の取り組みですが、近年はデータ保護の取り組みについてもコンプライアンスの重要なテーマとみなされつつあります。
多くの国ではデータ保護に関する法律が定められており、特に後述するEUのGDPRでは違反した場合多額の罰金が科せられることになります。
ビジネスにおいては独占禁止法、労働基準法といった順守すべき法律が多数ありますが、個人情報に関する法律も同様にコンプライアンス順守の観点で重要です。
顧客からの信頼確保
企業によるデータ保護への取り組みは、企業としての信頼のバロメーターになります。
サービスの利用者は運営する企業を信頼して個人情報を預けています。信頼している会社が個人情報の漏洩を起こしてしまえば、それまで築いた信頼が失われ、競合他社に顧客を奪われてしまうでしょう。また、一度失われた信頼を取り戻すことは容易ではありません。
データ保護への取り組みを怠ることで、これまで築き上げてきた成果が失われてしまうおそれもあるのです。
経営の安定
データ保護への取り組みは、長期的な経営の安定にもつながります。長期的に収益が見込める顧客基盤を持っていることは、企業経営において重要な要素であり、金融機関の融資を受ける際や株式市場で資金を調達する際の判断材料となります。
また、データ保護を徹底することでGDPRに規定されているような多額の罰金を科されるリスクを低減することもできるでしょう。
データ保護に関するルール
ここでは、データ保護に関するルール、法令について各国・地域の事例を紹介します。
GDPR(EU)
世界的にも有名なデータ保護の規則の一つに、2018年に施行されたGDPR(一般データ保護規則)があります。
GDPRの大きな特徴は、EU圏内に本拠地を置く企業に留まらず、EU圏内で事業を展開する企業すべてに適用されるという点です。たとえば、東京に本社を置く日本企業がEU圏内で事業を行う場合もGDPRが適用されます。
また、GDPRの特筆すべき点は違反した場合の罰金です。GDPRに違反すると、2,000万ユーロまたは全世界での連結売上高の4%のいずれか、高い方の金額を上限とする制裁金が課されます。これほど高額な制裁金を科されると、企業の信頼低下に留まらず、財務基盤にも悪影響を及ぼすことになるでしょう。
このような点から、GDPRはグローバル展開する企業にとって、情報セキュリティ面でもっとも注意すべき法令と考えられているのです。
CCPA(アメリカ)
アメリカでは国全体での統一的なデータ保護に関する法律が存在せず、州ごとの規制に委ねられています。これは世界的にはめずらしいケースといえるでしょう。
アメリカ国内で代表的なデータ保護規則は、カリフォルニア州のCCPAです。これは先述のGDPRに影響を受けて定められたもので、2020年から発効しています。アメリカには世界を代表するIT企業が多数存在するため、いずれは国全体でデータ保護に関する法律が定められるだろうと予想されています。
個人情報保護法(日本)
日本では、2003年に施行された個人情報保護法によって、データ保護について規定されています。2022年4月の改正では、「個人関連情報」「仮名加工情報」といった新たな概念の追加、罰則の強化、個人情報利用の停止・削除の請求権といった部分で大きな変更がありました。
日本の個人情報保護法では、個人のプライバシー保護に留まらず、データの「適正かつ効果的な活用の促進」が主眼に置かれていることが大きな特徴です。
データ保護の手法
ここでは、データ保護の代表的な手法について紹介します。
バックアップの取得
システムを運用している限り、災害やシステム障害といった予期せぬ事態でデータが顧客から預かったデータが消失するリスクがあります。自社に落ち度がなかったとしても、実際にデータの消失が起きてしまうとリスクへの対策が不十分とみなされ、損害賠償や信頼の低下につながることが懸念されるでしょう。
データ消失のリスクに対して有効な対策の一つが「バックアップの取得」です。バックアップとは、ある時点でのデータを別の場所に予備として保管することです。バックアップを取ることで、万が一データが失われても、ある時点のデータをもとに復旧することが可能です。
ただし、バックアップを手作業で行う場合、人的ミスの可能性がつきまといます。自動でバックを行うしくみを備えたクラウドサービスを導入するなど、バックアップの自動化をおすすめします。
システムの冗長化
データ消失への対策としては、バックアップの取得に加えて「システムの冗長化」も有効な手段になるでしょう。システムの冗長化とは、従来は単独で稼働しているシステムに対して予備のシステムを待機または稼働させることです。予備のシステムを待機させる場合はコールドスタンバイ、稼働させる場合はホットスタンバイと呼びます。
冗長化によって不慮の事態が起こったとしても、即時あるいは短時間でシステムを復旧できるため、データが消失するリスクを軽減することが可能です。ただし、システムの冗長化にはサーバの導入、オプションサービスの契約などといった追加のコストが発生するため、自社の予算に応じて導入を検討すると良いでしょう。
アクセス権の制御
データ保護においては、適切な権限に基づいてデータへのアクセス権を制御することも重要です。
企業が扱うデータは、経営層以上がアクセスできるもの、システム管理者のみが扱えるものなど多岐にわたります。たとえば、システム管理者のみが参照できるはずの個人情報が、外注の作業者でもアクセスできる状態になっていると、個人情報が外部に漏洩するリスクが大幅に高まるでしょう。
このような事態に未然に防ぐには、データごとに適切なアクセス権を付与するしくみや運用が求められます。近年はデータの性質に応じて効率的にアクセス権を付与できるサービスも提供されているため、必要に応じて導入を検討しましょう。
データの暗号化
万が一、不正アクセスやサイバー攻撃によってデータを盗まれるようなことがあっても、データの暗号化が十分になされていれば、攻撃者にデータを解読されるリスクを下げることができます。
しかし、データ暗号化の手段は多岐にわたり、暗号化を破る手段も日々開発されているため、セキュリティ技術の進歩と攻撃者のいたちごっこになっています。専門のセキュリティ人材を育成できるような大企業でもなければ、自社のみの取り組みで暗号化を行うことは難しいでしょう。
多くのクラウドサービスでは、個人情報をはじめとしたセンシティブとされるデータには、最新の暗号化技術を使った処置を施すしくみが整っています。データ保護に関するサービスを選定する際は、データの暗号化をどれだけ効率的に実施できるかという観点を持つことも重要です。
当サイトでは、AWSを利用したシステムセキュリティに関するトレーニングについて紹介しています。
データ保護のポイント
ここでは、実際にデータ保護を行う際のポイントについて解説します。
組織全体の対応方針を決める
まず、データ保護に対して組織としてどのように取り組んでいくか、経営層・現場も含め全社的に対応方針をまとめることが重要です。
そのためには、「自社の業務においてどの程度の量の個人情報を扱っているのか」「現状の管理体制はどうなっているか」「現状の取り組みにリスクはないのか」など、総合的な現状把握が求められます。その上で費用対効果や実現性を加味し、もっとも現実的なデータ保護の施策について検討を開始することが大切です。
関連する法令や規則を把握する
データ保護を考える際には、順守すべき法令の内容、適用条件、罰則などについて十分に理解しておく必要があります。特にグローバルに事業を展開する企業であれば、GDPRをはじめとした海外の法令、規則についても十分な調査と対策が必要です。自社だけでの法令対応に不安がある場合は、外部の専門家に支援を仰ぐことも検討しましょう。
人手に頼らない方法を検討する
データ保護に限らず、人手で行われるあらゆる作業から、人的ミスを完全に排除することはできません。しかし、「個人情報を含んだデータを誤送信する」「誤ってホームページ上で公開してしまう」といった事故が起きた場合の信頼低下、損失は取り返しのつかないものになります。
データ保護における人的ミスを根絶するには、個人の注意力に頼るのではなく、そもそも人手に頼らない運用を検討することが必要です。データ保護に関連するサービスの中には、データの移行、保護、バックアップ等を自動化するものも存在するため、これらのサービスを導入し、手作業を減らすことを検討してみましょう。
費用対効果を見極める
データ保護は経営やコンプライアンス順守において重要な活動ではありますが、売上に直結しないため、多額のコストがかけられないケースが多いでしょう。そのため、データ保護に関するサービスの導入や設備投資、業務見直しを行う際は、費用対効果を常に念頭に置いて検討を進めることが重要です。
仮に新たなサービスの導入に設備投資が必要になったとしても、従来かかっていた人手による作業を減らせるのであれば、人件費との比較においては費用対効果が十分に得られるケースもあります。常に現状との比較を行いながら検討を進めましょう。
法令に準拠したサービスを選定する
自社の独自システムや独自の運用方法でデータ保護を行う場合、年々変わる法令への対応を自社のみで実施しなければならなくなります。他社から提供されているサービスを利用すれば、多くの場合は法令対応も含めてサービスに組み込まれているため、法令対応における工数、コストを大幅に削減できるでしょう。
特にクラウド型のサービスであれば、サービス提供企業側の責任で法令順守を実施するため、より迅速かつ適切な対応が期待できます。IT部門の人員が不足している、データ保護にかけられる十分な予算がないといった場合は、他社サービスを利用することを視野に入れると良いでしょう。
まとめ
社会全体で進みつつあるデジタル化にともない、顧客の個人情報をはじめとしたセンシティブな情報を預かるケースが増え、データ保護の重要性が年々増しています。
一方で個人情報を狙ったサイバー攻撃や不正アクセスも後を絶たず、企業にはより一層のセキュリティ対策が求められています。また、グローバルに事業展開する企業であればGDPRをはじめとした厳格な法令や規則への対応も同時に進めていかなければなりません。
企業で有効なデータ保護を行うためには、データのバックアップ、暗号化といった作業を効率的かつ自動的に行えるサービスを導入することが重要です。また、サービス選定は組織の目標や費用対効果の試算に基づいて実施する必要があります。
今回の記事を通してデータ保護に関する理解を深め、ビジネスで活用できる知見を得ていただけると幸いです。
スマートインダストリーのさらなる推進のため、AKKA TechnologiesとAKKODiSは統合し、企業や工場における膨大な量のデータ保護にも取り組みます。詳しくは関連記事をご覧ください。
