プライバシーとデータ保護に関する国際条約が初めて締結されたのは、今から43年前の1981年のことです。当時、ビッグデータ、全世界共通のインターネット、SNS、そして生成AIの普及は、まだ想像すらできない未来の出来事でした。しかし、今やこれらが組み合わさって、データ(とその悪用)が急増しています。

データプライバシーデー(1月28日)は、データの安全な扱いとプライバシー保護に対する認識を高めるための国際的な取り組みです。自分のデータをきちんと管理するよう呼びかけ、個人情報を共有する際に、その対価として何を得ているかを改めて注意深く考えるよう促す日となっています。

一方で、社会に影響を与えるデータ管理の真の力と責任は、製品やサービスの利用者ではなく、データを収集する企業側にあります。

そこで本稿では、企業や組織がデータプライバシーを最適な形で管理するためのヒントを紹介します。

(1)データ活用を取り巻く状況を把握する

まず、プライバシーには条件が付随していることを理解し、利用者と透明性あるコミュニケーションを取る必要があります。消費者は特定の条件の下、個人情報の共有に同意します。

例えば、銀行が詐欺検出アルゴリズムの開発や関連商品の提案に顧客データを使用することは、喜んで受け入れられるかもしれません。一方、消費者はマーケティング活動を目的とした第三者へのデータ共有に同意しない権利もあります。

また、プライバシーの条件を規定するには、収集・利用・共有するデータの実態を把握することが不可欠です。データセットに含まれる情報の種類、個人を特定できる情報の有無、データ収集の目的、データの収集場所、アクセス権の所持者、データの保存や処理場所、分析結果の利用目的など、さまざまな要素によってその性質は決まります。

データ活用を取り巻く状況を詳細に理解することが重要ですが、これを実現するためのデータ管理ツールはすでに存在します。例えばデータカタログはデータ要素の詳細情報を提供し、分類ツールはデータ性質を理解して機密情報を検出します。また、データマーケットプレイスは、データへのアクセス要求に関する透明性を提供し、アクセス要求やデータの使用目的について記録します。

(2)記録システムとしてポリシーを構築する

データアクセスに関する決断を都度行うと、時間がかかり、非効率的である上、主観的な判断やミスにつながる恐れがあります。また、決断を正当化するための根拠が不十分であることも少なくありません。ポリシーを設定することで、リスクを低減し、プロセスに一貫性をもたらすことができます。

ポリシーは、データを保護するために取るべき行動をシナリオごとに定義します。また、データプライバシーに対する組織のアプローチを文書化することで、データ利用の透明性と可観測性を高めます。

(3)プライバシーを強化するテクノロジーでリスクを低減する

データセット全体へのアクセスを一括で許可あるいは拒否するようなことは滅多にありません。ベストプラクティスとして、アクセス範囲はプロジェクトに必要な領域と記録情報に限定されるべきです。きめ細かなアクセス制御、匿名化、プライバシー強化テクノロジーなどを活用することで、企業は各要件に合ったデータ共有を実現し、ポリシーを大規模に実行できます。

個人を直接的に特定するデータ、例えば顧客口座番号のような情報は、仮の値に置き換えられます。生年月日、性別、位置情報のような間接的な識別子は、データ分析における価値や精度を損なうことなく一般化することができます。例えば、特定の生年月日の代わりに年齢範囲を使用することなどが考えられます。

また、プライバシーを強化するテクノロジーは、安全なデータ共有を実現するために進化を遂げています。その例として、暗号化されたデータをもとにした計算を可能にする完全準同型暗号(FHE:Fully Homomorphic Encryption)や、計算の出力結果が個人を特定しないことを保証する差分プライバシー(DP:Differential Pricvacy)などが挙げられます。

(4)データアクセスポリシーを自動化する

ポリシーは高度な自動化を実現し、同様の状況下において統一されたアクセス許可とプライバシー変換が行われることを保証します。また、データの移行や共有プロセス全体にポリシーを適応することで、ポリシーを最大限に有効活用し、すべてのデータ使用プロセスにデフォルトでプライバシーを組み込むことができます。

(5)データアクセスを広げる

データプライバシーはビジネスの可能性を広げます。データ駆動型の経済は、データサイエンスやAIの事業活動において、データ所持者が個人データを自己管理できるという信頼の上に成り立っています。

責任のある事業運営は、製品イノベーション、サービス改善、効率性向上、情報に基づいたビジネスやポリシーの決定、顧客とのより良い関係、従業員の満足度向上など、さまざまな利益をもたらします。

データが急増し、複雑化するなかでも、企業がプライバシーを尊重しながらデータ、アナリティクス、AIを活用することは可能です。データプライバシーデーは、企業がデータ活用の体制を見直し、すべてのステークホルダーの利益につながる改善を行う絶好の機会です。

著者プロフィール

インフォマティカ Privacy and Security担当バイス・プレジデント Jason Du Preez(ジェイソン・ドゥ・プリーズ)

データセキュリティソフトウェア製品を提供するPrivitar社の元CEO兼共同創設者。
2023年8月にインフォマティカによる買収に伴い、Privacy and Security担当バイス・プレジデントに就任。「Informatica Intelligent Data Management Cloud (IDMC)」の一部として、インフォマティカのデータアクセスおよびプライバシー管理機能の統合と提供を主導している。