「重要なデータをどのように保護するとよいの？」

「データ保護が必要な理由を知りたい」

サイバー攻撃や不正アクセスにより個人情報が漏えいし、企業の信頼が損なわれています。不正アクセスなどを未然に防いでいくためにも、データ保護の対策を取るべきです。

本記事では、データ保護が必要な理由や危険性から守る方法などについて解説します。データ保護について理解を深めたい企業様は、ぜひ参考にしてください。

どうしてデータ保護は必要なのか？

データ保護とは、サイバー攻撃・システム障害・自然災害などのさまざまな脅威から大切なデータを守ることです。個人や企業はあらゆるデータを保持しており、その中には個人情報や機密情報があります。データを安全に保持することは、データを所有している者の義務でもあり、企業経営を続けていくためには、厳正なデータの取り扱いをしなければなりません。

しかし、重要なデータを故意に盗んだり破壊したりする悪意ある攻撃者がいます。重要なデータを盗まれないようにするため、ウイルスソフトを導入することは基本中の基本です。

そのほかにも、地震や火災によりデータが消失する可能性があります。防犯対策として、定期的にバックアップを行い、データを保護するようにしましょう。

データ保護の取り組みを実施するにあたって重視すべきことは、主に下記の3つです。

• 顧客からの信頼確保
• コンプライアンスの順守
• 長期的な経営の安定

顧客からの信頼確保

データ保護をする理由は、顧客からの信頼を確保する必要があるからです。たとえば、情報漏えいを起こしている企業のサービスを使うと、ユーザーは自分の個人情報も流出するのではないかと不安になり、安心して個人情報を預けることはできません。

これまで企業が築いてきた信頼が失われれば、競合他社に顧客を奪われます。一度失った信頼を取り戻すことは難しいです。今まで築き上げてきた信頼や成果を損なわないためにも、データ保護は重要な取り組みなのです。

コンプライアンスの順守

近年、データ保護の取り組みにおいてもコンプライアンスの順守が求められています。

コンプライアンスの対象は、法律だけではありません。社会常識やモラル、企業としての社会的責任がコンプライアンスの対象になります。個人情報保護法や電気通信事業法などのデータ保護に関する法律が改正されている中で、施行に順応できなければ、情報収集や対策を怠る企業だと判断され、取引先や顧客からの信頼を失うリスクがあります。取引先からの信頼を失えば、企業の売上が下がってしまうのは想像に容易いです。

企業価値の向上や社会的信頼を維持するためにも、データ保護関連の最新情報をキャッチして、コンプライアンスを遵守しましょう。

長期的な経営の安定

データ保護を行えば、長期的な経営の安定につながります。データ保護をしないで不正アクセスにより情報漏えいが起きた場合は、事業をストップし原因究明と改善の対策に勤めなければなりません。一度問題を起こすと、金融機関から融資を受けることも難しくなってしまいます。

データ保護の方法

企業が取り組むべきデータ保護の対応は、下記の方法が有効です。

• 多層防御
• バックアップとデータ回復手段を用意する
• データの暗号化
• データクレンジング

ひとつずつ見ていきましょう。

多層防御

多層防御とは、複数のセキュリティ対策ソフトの導入やアクセス制限などを設置してサイバー攻撃に備える方法です。次のような複数のセキュリティ対策を組み合わせることで、どのような攻撃を受けてもどれか一つの施策が攻撃を防ぐことを想定しています。

• ネットワーク接続に対するアクセス制御
• アプリケーション管理
• セキュリティ対策ソフトを導入
•  ID／パスワード管理
•  情報セキュリティ教育

バックアップとデータ回復手段を用意する

万が一、データが破損したり失われたりしたときに備えて、常にすべてのファイルやデータのバックアップを作成しておくべきです。障害はいつ起こるか予測不可能なため、定期的に自動バックアップができるソフトを導入することをおすすめします。

バックアップを取る手段は、クラウド上に保管する、遠隔地のデータセンターで保管する、自社サーバーに保管する方法の3つがあります。現在主流となっている方法は、「遠隔地バックアップ」です。

遠隔地バックアップとは、データを取り扱う職場から離れた別の地域にあるデータセンターと呼ばれる場所にバックアップデータを送り、保管する方法です。

これまでの遠隔地バックアップは高額な費用と手間がかかっていたことから、利用するのは大企業が中心でした。しかし今では、中小企業を含む多くの企業がクラウドサービスなどを利用してバックアップを実現しています。

特に最近ではリモートワークも普及しており、社内でデータを一括にまとめてデータセンターに送るのが難しくなっています。そこで、社内ネットワーク内に設置してあるファイルサーバー（NAS）のデータを自動で社外のデータセンターに自動でバックアップを行う「データ守護神アシュラ」のようなサービスも提供され始めています。

データの暗号化

データの暗号化は、攻撃者から不正にデータを見られることから保護します。万が一、不正にアクセスされたり盗まれたりしても、データを暗号化しておけば攻撃者に内容を知られることはありません。

しかし、データの暗号化の手段は幅広く、暗号化を破る手段も開発されているので対応が難しいのが現状です。データ保護のサービスには、二段階認証やワンタイムパスワードなどがあります。データ保護に関するサービスを選ぶときには、データの暗号化をどれだけ効率的に実施できるか確認しましょう。

データクレンジング

データクレンジングは、さまざまなデータを整理し、活用に支障が起きないようにすることです。無関係なデータや正確ではないデータを特定し、修正を行います。

たとえば、退社した人材のアカウントでアクセス権限がまだ残っている状態だと、社外の人がアクセスできることになってしまいます。不正アクセスを防ぐためにも、データのクリーニングを自動化できるサービスを活用して、定期的にクリーニングを行いましょう。

データ保護に関する法律やルール

データ保護に関する法律やルールは、主に下記の3つです。

• 個人情報保護法
• GDPR
• CCPA

ひとつずつ見ていきましょう。

個人情報保護法

データ保護に関する法律には、個人情報保護法があります。個人情報保護法は、氏名・性別・生年月日など個人のプライバシーに関わる大事な情報です。

改正個人情報保護法で追加されたデータ保護に関する内容

• セキュリティ対策を公表すること
• 個人情報を「違法行為を助長するようなやり方」で利用してはいけないこと
• もし漏洩などがあれば本人にもかならず通知すること

GDPR

GDPRは、EU域内での個人情報データ保護を目的としており、個人データの取り扱いを細かく規定しています。GDPRは日本企業にも適用されます。たとえば、次のような企業が適用対象となります。

• EU域内に支店を構えている
• EU域内にデータベースやサーバを持っている
• ネット通販などでEU域内へサービスを提供している

上記のケースで個人データを適切に扱わない場合は、数十億円ほどの制裁金を課せられる恐れがあるので注意しましょう。

CCPA

CCPAは、カリフォルニア州で発令されている、個人データを守る法律です。CCPAが対象とする企業に地域の制限がないため、日本の企業もすべからく対象となります。個人情報を守るために、企業は下記の3つの対応が求められます。

• 情報資産の把握と管理
• 個人情報収集の通知
• 個人情報の開示・削除請求の受付1

まず、やるべきことは業務プロセスを見直して、CCPAの保護対象となる個人データを取得しているタイミング・情報の種類・取得目的・取得後の管理方法などを再確認する必要があります。たとえば、IPアドレスなどWeb上で取得しがちな情報も保護対象です。

また、CCPAはプライバシーポリシーの更新を年に一度行うように義務付けています。ポリシーへ記載すべき項目は、とても多く一人で対応するのは難しいので外部の専門家に相談しましょう。

データ保護・データセキュリティ・データプライバシーの違い

データ保護・データセキュリティ・データプライバシーの違いは、下記の表のとおりです。

データセキュリティは、データプライバシーを成立させるために必要です。たとえば、個人情報を守るルールがあっても、個人情報を守る運用体制がなければ成り立ちません。

また、外部からの侵入を防ぐシステムがあっても、本人の許可なく第三者に個人情報を漏らしてはいけないなどのルールがなければ、情報漏えいを避けるのは難しいです。

まとめ

本記事では、データ保護が必要な理由や危険性から守る方法などについて解説しました。

不正アクセスなどを未然に防いでいくためにも、データ保護の対策が必要です。データ保護の方法として、バックアップやデータの暗号化が大事になります。また、アンチウイルスソフトなどを利用してデータ保護をすべきです。

不正なアクセスによる情報流出を防ぐためにも、データ保護の対策を行いましょう。