数千万人規模で個人情報が流出したFacebookのCambridge Analytica問題以降、個人のプライバシーに対する意識が再び高まり始めている。2018年には欧州連合(EU)で「一般データ保護規則(GDPR)」が施行され、規則に違反した組織に多額な制裁金を科すなど個人情報の収集や保管が厳格化されつつある。
「自社でデータセンターを構築し、高いセキュリティーを担保できる企業は限られてしまう。業界や規模の大小を問わず、すべての組織が個人情報を適切に管理できる仕組みを持つべきだ」――。こう語るのは、Informaticaの最高情報セキュリティー責任者(CISO)でバイスプレジデントを務めるRoger Hale氏だ。
セキュリティー侵害情報を共有するコミュニティー「ISAC」
Hale氏は、Informaticaのエンタープライズクラウドデータ管理サービスを担当し、米の非営利組織「Information Technology Information Sharing and Analysis Center」(IT-ISAC)の理事を務める。
2001年に設立されたIT-ISACは、業界関連企業や団体が共同でインターネットにおけるセキュリティー問題に取り組んでいる。潜在的な危険性をより早く察知し、先進的なセキュリティー事項を共有し、事件や事故が起こった際により効果的に対処することを目的とする。
日本でも2016年に同様の活動を行う組織「ICT-ISAC Japan」(ICT-ISAC)が設立されている。ISACと銘打つ情報共有コミュニティーは、金融や医療といった業界ごと、地域ごと、特定分野(IoT)などのカテゴリに分かれて世界各地で立ち上がっている。
セキュリティーの事件や事故の発生やその詳細な内容が公になることは、企業にとってマイナスに働く可能性も考えられる。情報共有する意義について、Hale氏は「全ての組織が、その規模を問わずサイバー攻撃の被害者となることを認識すべきだ。攻撃の手段として新しい技術が利用されることが特に多い。それが悪用されて広がる前に防御ツールを作る必要がある。そのもととなる最新技術セキュリティー侵害に関する情報を共有することは非常に重要だ」と語る。
IT-ISACとICT-ISACとの関係性について、Hale氏は「IT-ISACは、金融系(FS-ISAC)や医療系(H-ISAC)などとの連携を通じて実績を積み重ねてきた。ICT-ISACの活動期間はそれほど長くはないが、アイデアや改善点については学ぶことも多い。一方的な関係ではなく、双方的に協力し合う真の意味でのパートナーとなっている」と説明する。
個人の「忘れられる権利」をどう保障するのか
米カリフォルニア州では、2020年1月に「カリフォルニア州消費者プライバシー法」(CCPA)が施行予定だ。同国には、日本で言う「個人情報保護法」に相当する連邦法は存在しない。先述のCambridge Analytica問題を受け、他の州でも企業の個人情報の取り扱いを法律で規制する動きが見られつつある。Hale氏は、こうした流れは歓迎すべきことだと評価する。
「“個人情報は本人が所有するもの”というのが大前提だ。欧州のGDPRや日本の個人情報保護法は、その流れを汲んでいる。対して米国は、ある意味“前時代的な考え方”があったのかもしれない。もちろん、グローバルで事業展開している米国企業はすでに先駆けて取り組んでいる。企業の取り扱いを規制する際に重要となるのは、個人データは本人のものという“権利”があり、一方、情報を預かる企業はそれを守る“責任”があるということだ」(同氏)