個人データの不正利用とは?

Swaroop Sham, June 25, 2020

データの不正利用とは、情報を想定されていない方法で使用することです。ユーザー契約、企業ポリシー、データプライバシー法、業界規制はすべて、データの収集と使用方法に関する条件を設定しています。データの不正使用は、これらの要件に違反するということになります。

データの盗難とは異なり、データの不正使用は、必ずしもサイバー攻撃の結果として、または所有者の同意なしにデータが収集されたときに起こるとは限りません。内部不正防止ガイドラインで規定されている従業員によるデータの盗難を防ぐことは重要ですが、データの不正利用は、多くの場合、利用許可範囲が無視されていることを意味します。ユーザーが進んで企業に個人情報を提供しても、企業はユーザーが同意していない目的でその情報を使用または共有することがあります。

データの不正利用が起こる原因

組織において、情報や情報システムの悪用は、意図しないデータ漏洩につながる可能性があります。

  • 多くの場合、データの不正利用は、従業員がデータの適切な取り扱いを行っていない場合に起こります。例えば、従業員が業務上の機密ファイルやデータを個人所有のデバイスにコピーすると、意図した安全な環境以外でその情報にアクセスできるようになります。適切な保護がなされていなければ、これらのデータは盗まれたり、誤って流出したりする可能性があります。
  • また、データ収集のミスはデータの不正利用につながる可能性があります。不正確なアルゴリズムは、企業が収集するつもりのなかったデータを取り込むことになり、顧客を危険にさらし、コンプライアンス規制から外れることになりかねません。
  • 不適切なファイリングも情報の不正利用です。システムがどのように分類するかによって、データセットの中には、間違ったチームやユーザーがアクセスできる場所に保管されている場合があります。

無邪気な情報の誤操作でも、データ漏洩の扉を開いてしまう可能性があるのです。希望の光はあるのでしょうか?データを安全に使用し、管理する方法を学ぶことで、組織をデータ漏洩や攻撃から守ることができます。

データの不正使用に関して、どのような法律があるのか?

世界各国の政府は、データの悪用から国民を守るための法律を徐々に導入しています。組織は、事業を行う各領域のコンプライアンスの枠組みを理解し、尊重するよう注意する必要があります。これは、世界中の人々からデータを収集する機関にとって、特に重要なことです。

EUの「一般データ保護規則(GDPR)」は、個人データ保護に関する代表的な法律です。GDPRの目的制限の原則は、データの不正利用に対処するもので、組織は以下のことを義務づけています:

  • データ処理プロセスの目的を明確にすること
  • その意図を文書化し、プライバシー情報リソースに詳述する
  • 定期的にプロセスを見直し、必要な場合はプロセス内容や文書を更新する
  • 別の用途の結果を得るためにデータを処理する前には、個人の同意または法的根拠を得る

カリフォルニア州では、「カリフォルニア消費者プライバシー法(CCPA)」が導入され、個人情報の第三者への売却を控える権利が付与されるなど、データの悪用が防止されるようになっています。

日本では、「個人情報保護法」によって、個人情報の取得、利用、管理について事業者への義務ルールが定義されています。

データの不正利用例

個人情報が不正に利用される事例が頻発し、ニュースでも取り上げられることが多くありました。

  • Googleは複数のEUデータ規制当局に抵触しました。2019年に、データ同意の方針が不明確だったとしてフランスから5,000万ユーロの罰金を科されたことがあり、アイルランドのデータ保護委員会も、グーグルがGDPRに違反して個人データを広告主に提供したという内容を調査しました。
  • Uberのスタッフは、顧客の乗車履歴を閲覧することを禁じたプライバシーポリシーにもかかわらず、「God View」ツールを使ってジャーナリスト、政治家、セレブリティを追跡していたということがありました。2017年からは、第三者によるプライバシー監査を定期的に受けることを義務付けています。
  • 英国のInformation Commissioner’s Office(英国個人情報保護監督機関)は、個人情報を同意なしにマーケティングキャンペーンに使用したとして、EU離脱派のキャンペーン団体Leave.EUとEldon Insuranceの2社に罰金を科しました。
  • 遡ること2015年、モルガン・スタンレーは、同社の資産運用の顧客に関する口座データをダウンロードし、多数の口座情報をネット上に公開したとして、ファイナンシャルアドバイザーを解雇したことを発表しました。

データの不正使用は、法的措置や金銭的な罰則、風評被害や顧客の福利厚生への害など、それを実践する企業に深刻かつ長期的な結果をもたらすものです。データリテラシーとガバナンスを向上させる努力をする組織は、法律の正しい側面を維持することで、顧客の信頼を得ることができます。

データの不正利用を防ぐには

データセキュリティに関しては、各組織がそれぞれの課題を抱えています。ここでは、データの不正利用を防ぐために、現場で適用できるベストプラクティスを紹介します。

1.アイデンティティとアクセス管理の実装

システムにアクセスしようとする各ユーザーが誰であるかを確認することは、企業や顧客に関する情報など、データを保護するために不可欠な措置です。多要素認証(MFA)を導入して、信頼できるユーザーだけがデータにアクセスできるようにし、MFAは、認証情報に加えて、ユーザーが持っているもの(デバイス)、あるいはユーザーに内在するもの(生体データなど)を要求することでアイデンティティを確認し、認証プロセスを保護します。

アクセス管理は、機密性の高い貴重な企業データに広くアクセスできるアカウント保持者にとって、特に重要です。これらの特権アカウントは、サイバー攻撃者や内部関係者の悪用から保護するための追加の保護レイヤーが必要です。

2.アクセスの実態について詳細を把握する

データの不正利用を検知・防止するためには、各ユーザーがファイルやデータにアクセスした際に何が行われたかを確認する必要があります。アクティビティログを確認すると、ネットワークで発生するすべてのアクションを追跡し、文脈を明らかにすることができます。

アクティビティ監視ソリューションは、各ユーザーがいつ、どのようにデータに接したかを継続的に観察することで、ログを補完し、セキュリティ対策に役立てることができます。ユーザーの行動を十分に把握することで、管理者は、ユーザーの行動に有害な意図があるかどうか、あるいはデータの機密性を脅かすものがあるかどうかを正確に判断することができます。

3.振る舞いに応じたアラートとアナリティクスを設定する

特に大規模な組織では、従業員全部を継続的に監視することは困難な課題です。危険にさらされる可能性のある事象が発生したときにセキュリティに自動で通知するアラート機能を備えたソリューションが重要となります。理想的には、これらのアラートをカスタマイズして、サーバーへの新規ログイン、特定のアプリケーションの実行、インフラへの外部デバイスやドライブの接続など、特定の動作に焦点を当てることができます。

データの不正利用を未然に防ぐには、リアルタイムの分析も不可欠です。UEBA(User Entity Behavior Analytic)連携モジュールは、ユーザーの振る舞いを評価し、各アカウント保持者の定期的な活動をモニタリングします。社員が今まで使ったことのないファイルやデータにアクセスしようとするなど、何か変わったことをすると、セキュリティ警告を発します。

4.チームを教育する

従業員にデータセキュリティに関する最新情報を提供することで、不慮の漏えいや不正利用を防ぐことができます。データの処理手順や基準に関する方針を、アクセスしやすい社内リソースで概説する。また、データセキュリティに関するトレーニングの取り組みを定期的に行うことで、意識改革につなげることができます。

サイバーセキュリティのトレーニングコースやセキュリティチームによる知識の共有は、認証情報の機密保持から、最新のフィッシング詐欺の認識まで、データの適正な運用を促進します。機密データを適切に管理することがなぜ重要なのかを明確にし、データの不正利用が法的、金銭的、個人的、風評的にどのような結果をもたらすかを人々に思い出させることが重要です。

5.データアクセスに関する明確なプロセスを構築する

顧客は、自分のデータが安全に管理されていることを確認したいと思う一方で、企業のサービスやアプリを支障なく使いたいと考えています。安全でシームレスな顧客体験を提供するためには、顧客へ提供しているサービスに安全なアイデンティティとアクセス管理を組み込む必要があります。

アカウント乗っ取り防止、MFA、アプリやソーシャルメディアチャネルの統合サインオンなどの機能を検討し、ユーザビリティを犠牲にすることなく顧客データを安全に保護します。

データの悪用はどこへ向かうのか?

世界中の立法者が、データの不正利用を定義し、対処しようとしています。企業や政府が自分の個人データをどのように使うかについて、個人がどのような権利を持つかを決めることが課題となっています。国や州がデータプライバシーに対して異なるアプローチをしているため(例:CCPAとGDPR)、世界的なコンセンサスを得ることは難しいです。

法的要件が進化し続ける中、私たちはデータセキュリティとコンプライアンスに関するベストプラクティスに従うことで、データの不正使用を防ぐために最善を尽くすことができます。

何から始めたらいいのか悩んでいる方、多くの業界標準の認証・認可に準拠したOktaでIDセキュリティの旅を始めましょう。

このブログはこちらの英語ブログの翻訳です。