「21世紀の原油」であるデータを取り扱うための意識改革
株式会社資生堂 情報セキュリティ部長 斉藤 宗一郎氏
デジタル・トランスフォーメションが浸透した時代では、さまざまなテクノロジーを使って業務やビジネスが変革されていく。斉藤氏は冒頭「データは21世紀の原油であり、ビジネスの主役となることは間違いない」とし、コロナ禍によって一気に加速したテレワークも常態化していくと述べた。
特にデータについては国レベルでその主権を主張する動きもあり、データの所在を把握し、守るべき範囲が拡大しているという。情報セキュリティ部門としては、テクノロジーの面だけでなく、日本の改正個人情報保護法やEUのGDPR(一般データ保護規則)、中国のサイバーセキュリティ法、カリフォルニア州のCCPA(消費者プライバシー法)、シンガポールのPDPA(個人情報保護法)など各国の法規制も注視し、理解を進める必要がある。
個人情報は企業の資産ではなく銀行口座のように預かり取り扱うべき
また、DX時代はデータを自社内だけでなく、クラウドなどでオープン化して外部企業とのコラボレーションが推進されるため、データの所在を把握することが難しく、ネットワークやシステムを守るだけでなく、データそのものをどう保護していくかという意識や対策が必要とされる。協業パートナーや外部委託先が適切に扱うよう管理しなければならない。
生活者も、自分の個人情報の取り扱いについて、これまで以上に気にするようになってきた。斉藤氏は「企業は収集した個人情報は企業の資産ではなく、たとえば銀行口座のように預かり、取り扱うべきだ」とし、情報セキュリティ部門ばかりでなく、マーケティング部門や研究部門においてもこうした意識を変えていく必要性を説いた。
企業は、データの収集から保管、廃棄にいたるまで、そのライフサイクルを把握しておく必要がある。常に説明責任を果たせるよう、不要なデータは廃棄したり、データをオンライン上からオフラインに移動して保護したり、統計データ化して生データは廃棄したりするなどのデータ管理が重要だ。
コロナ禍によって、テレワークが浸透した結果、セキュリティ上保護すべき範囲も広がった。たとえば、テレワーク環境において、同居人が競合の従業員である可能性もあるが、その実態を把握することは難しい。「Wi-Fiルーターなどのネットワーク環境も個人でまちまちなので、セキュリティの一部は従業員に委ねられた状態となった」と斉藤氏。
