デジタル時代の要：データ保護の重要性と実践的な対策

3.1 データ保護とはなにか

3.1.1 データの定義とデータ保護について

　今回のテーマは「データ」です。データというのは辞書的には論拠、資料、観察などで得られた事実や数値の集まりですが、ここではコンピュータ処理の話をしますので、紙などに書いたものではない、いわゆる電子データの情報を指します。データ保護とは、このデータが他に人に見られたり、勝手に書き換えられたり、あるいは使えなくなったりしないようにするセキュリティ対策のジャンルです。

　データにはさまざまなものがあります。たとえばあなたのパソコンのデスクトップにおいてあるファイルは全てデータです。ただ、セキュリティ的な意味ですと「明日13:00に会議室A」というテキストのメモでは、攻撃者は興味を持たないでしょう。

　盗んだり使えなくしたりすることで利益があるものとなると、即座に換金につながる情報です。たとえばクレジットカードナンバーなどです。それから売却が簡単な個人情報です。それ以外にも、製造業であれば製品の設計資料、メディアであれば知的財産などが考えられます。攻撃者はこうしたデータを効率よく盗み、素早く現金化したいと考えています。独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威」にはほぼ毎年「個人情報等の詐取」や「機密情報の窃取」が上位の脅威として掲載されており、日本でも重要なセキュリティのテーマとなっています。

　表1　IPA 情報セキュリティ10大脅威 2023

3.1.2 個人情報と情報プライバシー、その保護とは

　データ保護の中でもよく問題になる「個人情報」ですが、これについてもう少し詳しく見てみましょう。よく個人情報は情報プライバシーと混同されますが、個人情報は「生存する個人の氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」で、プライバシーとは「他人から干渉されない権利」のことです。

　これらはどちらも個人をあつかうデータ（個人データ）とはなりますが、個人情報保護法での定義は「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などの、特定の個人を識別できる情報」とされています。Amazonや楽天で買物をするときにも使うデータですから、必要があれば他者に開示するものを含みます。一方、プライバシーという場合には、一般的には他人に知られたくない情報で、民事訴訟などにおいて権利の一種として扱われます。

　個人情報であり、プライバシー情報である情報も存在します。病歴などの個人医療情報、信教や政治的な意見、資産、学校の成績、性生活に関する情報などがあてはまります。これらは活用することで組織や社会のために役立てることもできますが、漏洩して公開されたりすると関係者に大きな被害をもたらすため、扱う組織はしっかり管理しておくべきです。

3.1.3 国際的な規制と対応について

　個人データを扱う国際的な法令として、「EU一般データ保護規則（GDPR）」が話題になることが増えてきました。2018年に施行された個人情報の扱いについての規制ですが、これらは世界各国でも同等の法律を制定する時基準として参考にされることも多くなってきました。たとえば以下のような規制があります。

• 本人が自身の個人データの削除を個人データの管理者に要求できる
• 自身の個人データを簡単に取得でき、別のサービスに再利用できる
• 個人データへの侵害を迅速に知ることができる
• 監視、暗号化、匿名化などのセキュリティ要件の明確化

　EU居住者の個人データを取り扱うのであれば、日本企業にとっても対応が求められることがあり、違反すると制裁金が課せられます。日本においても個人情報保護法の対象範囲内に限り、個人データについて十分な保護水準を満たしていることを認める十分性認定を欧州委員会から受け、組織は個別の契約なしでもEU域内から個人データを持ち出せるようになっています。アメリカでも、これまでは州法で対応していましたが、ADPPAという連邦全体を対象とする保護法が議論されており、成立する見込みと言われています。

　ネット通販などで国際的な取引が行われるようになり、そのデータはクラウド上の環境で扱われるようになってきました。また、企業のネットワーク内だけでなく、テレワークに従事している個人のパソコンの中でもそうしたデータが扱われるようになりました。現在、データ保護の取り組みはセキュリティを確保することはもちろん、法令対応という意味でも、日に日に重要性が増してきています。