個人情報保護・管理の新しい助っ人: データディスカバリー

現代の社会において、企業と個人の両方が情報保護の重要性を認識しており、その重要性は法的規制の強化とともにさらに高まっています。このような環境下で、企業はデータベースに対するアクセス制御やデータの暗号化、照会アラートやログ記録など、さまざまなセキュリティ対策を講じて個人情報の保護を強化しています。特に、個人情報を扱うサービスを開発する際には、データベース内の特定のパスにある個人情報を適切に識別し、管理することが求められます。

しかし、企業内部では予期しない経路でデータが流入する可能性があり、このため個人情報保護の範囲をさらに広げる必要性が出てきます。個人情報保護法は、名前などで個人が特定できる情報に加え、他の情報と組み合わせることで個人を識別できる情報も個人情報として定義しています。このため、企業はより包括的な個人情報管理戦略を策定し、実行しなければなりません。本ブログでは、個人情報保護の重要性と、企業が実践できる具体的なセキュリティ対策について詳しく掘り下げていきます。

QueryPie データベース アクセス コントロールの個人情報ポリシー

では、企業内で個人情報はどのように管理されるべきでしょうか？

• どこにどの種類の個人情報が存在するかを識別し、分類します。
• 人が手動で一つ一つデータにアクセスして照会するのではなく、自動化された方法で探索を実行し、1回だけでなく定期的かつ継続的に実行します。
• 発見された個人情報に適切な措置（アクセス制御ポリシーの適用、暗号化、ライフサイクル管理、マスキング、照会または変更の監視など）を実施します。

データ ディスカバリ（QueryPie の機能）は、上記のような一連の管理プロセスを簡単に処理できるよう支援します。

正規表現と AI で個人情報識別の効率性を最大化する

性能の良い武器を兵士に渡しても、敵がどこにいるか分からなければ何もできないのと同じように、どんなに強力な対策方法を持っていても、対象を識別できなければ何も始まりません。知らなかったことが明らかになる瞬間に初めて、何をすべきかが決まります。どの種類の個人情報が存在し、どの情報が規制の対象となるのかが分かれば、適切な対応を取ることができます。

The most commonly used method for identifying personal data is regular expressions (regex). The scope of extraction can vary greatly depending on how the regex is created, and in order to get the desired results, highly complex regex may be necessary. Administrators who are not familiar with regular expressions often struggle to create complex patterns and go through many trial and error processes. If tested, complex regular expressions are readily available, the administrator can save time and effort that would have been spent creating new patterns. Alternatively, if an AI model trained on various patterns is available, identification can become much simpler.

QueryPieが提供するさまざまなパターン

データ ディスカバリの自動化: コスト削減とセキュリティ強化の道

個人情報が特定のデータソースに含まれているかどうかを個別にアクセスして確認することは、非常に多くの時間と労力を要します。韓国情報保護産業協会が 2023年に 6,500社を対象に実施した情報保護実態調査によると、情報保護担当者の平均人数はわずか 0.8人とのことです。また、多くの組織では、情報保護担当者が専任ではなく、他の業務と兼任している場合がほとんどだと考えられます。このような状況下では、特別な外部コンサルティングを受けない限り、情報保護担当者が組織全体のデータから個人情報を特定することはほぼ不可能と言えるでしょう。

そのため、情報保護担当者がデータディスカバリツールを利用して個人情報を検出し、スケジュールを設定して定期的に実行するだけでも、企業は追加のコストを削減することができます。

ディスカバリ ジョブによる簡単で継続的な個人情報の発見

AI と正規表現の限界: 個人情報識別の現状と未来

いくら精巧に作成された正規表現や、優れたデータで学習されたAIモデルであっても、完全に100％識別するには限界があります。技術の進展により、将来的には人間の介入が減少することが予想されますが、現時点では識別された結果には依然として人間による確認が必要です。その確認を経て初めて、ポリシー適用の対象として確定することができます。個人情報タグは、ポリシー適用の対象として指定されるための条件となります。

実際、**QueryPie の AIDD（AI Data Discovery）**では、企業内のデータベースに存在する個人情報を自動的に識別し、効果的に管理できるさまざまな機能を提供しています。あらかじめ定義されたパターンと AI モデルを活用することで、管理者の手間を軽減し、識別された個人情報にタグを付与することで、アクセス制御ポリシーとの連携を動的にサポートします。また、データベースのパフォーマンスに影響を与えずに、探索パフォーマンスを最大化し、誤検出を最小限に抑えるための継続的な努力も行っています。これらの機能は、企業が外部の規制および内部ポリシーに準拠しながら、セキュリティの隙間を最小化し、最終的には企業全体のデータ保護レベルを向上させる重要な役割を果たしています。実際、企業がデータセキュリティと個人情報保護を強化するための信頼できるパートナーとして機能しています。

識別結果の確認

結論として

データディスカバリを活用することで、企業は単なるアクセス制御ポリシーだけでは見逃しがちなセキュリティギャップを効果的に管理できます。これにより、企業はデータ保護レベルをさらに向上させ、情報保護規定や内部ポリシーに準拠した適切な対応策を整えることができます。データディスカバリは、企業の個人情報管理の新たな支援ツールとして、今後さらに多くの企業が徹底的なデータ保護を実現するための手助けとなるでしょう。