Insights

機密データとは?企業データを守るビジネスガイド

機密データとは、悪人の手に渡ってしまったら個人や組織が深刻な損害を被る可能性のある情報のことです。このようなデータを取り扱う組織の場合、漏洩、差別、プライバシー侵害、財務的・法的リスクを回避するために、機密データを特定・保護することが不可欠です。

機密データとは?

機密データとは、個人、企業、組織にとって特別な価値を持ち、不正アクセスや悪用から保護する必要がある情報のことです。

たとえば、個人情報、財務情報、医療情報、法的情報など、機密性またはプライベート性の高いとみなされる情報がこれに該当します。

また、製品計画、マーケティング戦略、顧客リスト、営業秘密などのビジネス情報も該当します。

データのデジタル化が進み、サイバーセキュリティ上の脅威が増大する中で、機密データの保護は組織にとって大きな懸念事項となっています。

機密データの例

組織における機密データの例は以下のとおりです:

●     財務情報:銀行口座、クレジットカード情報、請求・税務関連のデータは機密データとみなされます。

●     従業員の個人情報:住所、社会保障番号、電話番号、医療情報、雇用関連情報など、従業員に関する個人情報。

●     顧客情報: 氏名、住所、電話番号、支払い情報

●     知的財産:特許、商標、著作権、営業秘密は機密データとみなされます。

●     契約とビジネスパートナーに関する情報:秘密保持契約、取引条件、連絡先情報も機密データとみなされます。

機密データの分類

機密データの分類とは、機密度に応じてデータを特定・整理するプロセスのことです。これにより、適切なセキュリティポリシーやアクセス制御を適用してデータを保護できるようになります。

機密データを分類する方法はさまざまですが、現在、さまざまな組織で以下の三つのレベルが分類に使用されています:

●     低:制限なく共有できる公開データまたは非機密データに使用されるレベルです。 例として、会社のパンフレット、広告、ニュースレター、機密性のない財務報告書などが挙げられます。

●    中: 不正な開示に対する保護が必要な機密性の高い情報データに使用されるレベルです。例として、個人情報、財務情報、法的データ、製品計画、顧客データなどが挙げられます。

●    高:不正な開示に対して最大限の保護が必要な機密性の高い情報データに使用されるレベルです。 例として、知的財産関連文書、営業秘密、国家安全保障情報、健康データなどが挙げられます。

GDPRと機密データ

一般データ保護規則(GDPR)によると、機密個人データとは、人種的・民族的な出自や政治的意見や宗教的・哲学的信条を明らかにする情報、労働組合への加入の有無、遺伝データ、自然人を個別に識別するための生体認証データ、健康に関するデータ、そして自然人の性生活や性的指向に関するデータを指します。

GDPRと機密個人データの取扱い

GDPRは、組織が機密個人データを取り扱う前に、当該データのデータ主体から明示的な同意を得ることを義務付けています。同意は、自発的で具体的、また十分な情報に基づき、曖昧さのない方法で与えられたものでなければいけません。

組織は、機密個人データを安全に保つために適切なセキュリティ対策を実施していることを示さなければいけません。

データ主体の明示的な同意なしに機密個人データを処理することが許可される例外も存在します。

重要な点として、組織は機密データの取り扱いがGDPRの要件に準拠していることを正当化・立証できなければならず、機密データを安全に保つために適切なセキュリティ対策を講じる必要があります。

個人データと機密個人データ

機密個人データは、個人データの サブカテゴリー です。

この二種類のデータの違いは、含まれる情報の性質にあります。個人データとは、個人を特定するために利用できる情報を指します。一方、機密個人データとは、当該の人に関する内密またはプライベートな情報を明らかにするものです。

GDPRは、機密個人データに特別な注意を払っており、他の種類の個人データよりも高いレベルの保護を求めています。

組織は、機密個人データを収集、利用、保存する前に、データ主体から明示的な同意を得なければならず、損失、不正アクセス、悪用から保護するため、強化されたセキュリティ対策を実施しなければいけません。

機密データの保護

機密データを取り扱う組織は、機密データの安全確保と保護のために特別な努力を払わなければいけません。これは法的に必要なだけでなく、顧客やビジネスパートナーとの信頼関係を維持するうえでも重要です。企業が機密データを保護するために実施できる対策の一例:

●     機密データの特定:大規模なIT変革は本質的に混乱を伴うものであり、クラウドの導入も例外ではありません。実際、クラウド技術を導入した組織は、大幅なデータ断片化に直面することになり、機密データの所在を把握することがより困難になります。規制要件を満たし、金銭的罰則を回避し、ランサムウェアを防止するためには、機密データの正確な所在を文書化することが重要です。

●     従業員教育 の重視: 従業員は、セキュリティ上の脅威(フィッシング攻撃、マルウェア、セキュリティ侵害など)を特定できるよう、そして、機密データを保護するために設計されたセキュリティポリシーと運用手順を理解できるよう、トレーニングを受ける必要があります

●     ユーザーアクセスの管理: 組織は、アクセス管理に関するポリシーと手順を実施し、各種の技術(多要素認証(MFA)、複雑なパスワード、ユーザーアクティビティの監視など)を採用して、不正アクセスからデータを保護しなければいけません。

●     データの暗号化: データの暗号化は、データの保存期間中および転送時にデータを保護するために、IT環境全体で戦略的に導入しなければいけません。企業は、オンプレミスかクラウドかを問わず、自社が保有するすべてのデータに暗号化を適用する方法を検討し、セキュリティ侵害が発生した場合でも機密性を保護する必要があります。

●     データの転送の管理: 漏洩を防ぐため、データの転送は管理、監視、暗号化しなければいけません。

●     サプライヤーとパートナーの評価: 組織は、機密データにアクセスするサプライヤーやパートナーが適切なセキュリティ基準を満たしていることを確認しなければいけません。

Rubrikの優れたセキュリティ機能

Rubrikは、機密データの管理と保護を専門に扱っています。

Rubrikのソリューションは、組織がたとえば以下の機密データを保護できるよう支援するために設計されています:

●     復旧:Rubrikの高速なデータバックアップ・復旧ソリューションは、災害やセキュリティインシデントの発生時のダウンタイムを削減します。

●    機密データの管理:Rubrikは、調査、分析、データ分類の各種ツールによって、組織が機密データを容易に管理できるよう支援します。

●     規制順守:Rubrikは、データ暗号化、アクセス制御、ログ記録機能により、GDPRやCCPAなどのデータ保護規則の順守を支援します。

●    データセキュリティ:Rubrikの高度なセキュリティ機能(脅威検知、ログファイル監視、二要素認証など)が、内部および外部のセキュリティ上の脅威から機密データを保護します。

Rubrik Security Cloudは、本番環境に影響を与えることなく、機密データを検出、分類、報告します。これにより、次のことが可能になります:

●     機密データの漏洩を低減

●     悪意のある攻撃者による機密データ窃盗のリスクを低減

FAQ

デモ環境を体験する

RubrikのZero Trust Data Securityプラットフォームについて、Rubrikのテクニカルソリューションエキスパートがお客様環境に即したデモを行います。