守るべきデータはどこにある?

PII = Personally Identifiable Information(個人を特定できる情報)という言葉を知っていますか?
PIIとは、単一の個人に対応するデータを指します。個人を特定することのできる情報としては、電話番号、マイナンバー、メールアドレスなど、個人に対して単体もしくは他の情報と組み合わせて特定することのできるデータです。

日本では、個人情報保護法で厳格に管理を行い、本人の同意がなければ開示してはいけないことは、皆さんご存じのことと思います。
最近では、国際的にも、
・EU:GDPR(EU一般データ保護規則)
・カリフォルニア州:CCPA(カリフォルニア州消費者プライバシー法)
・中国:中国サイバーセキュリティ法(インターネット安全法)
・アジア太平洋経済協力(APEC):CBPR(越境プライバシールール)
など、法令で規制されています。

海外の法令は、日本では関係ないと思いますか?
今では、クラウドの恩恵もあり、多くの海外の企業が日本でも事業を展開しています。日本の企業も国内に限定しない事業を展開することも多くなっています。
弊社では、Insight PISOというデータベース監査(いつ、誰が、どこから、何をしたかを監査)を行うプロダクトと、Insight Data Maskingというデータにマスキングをかけるプロダクトを展開しています。これらのプロダクトが守るデータの中でも特に重要なものがPIIです。
各企業で、自社が管理しているデータ基盤のどこにPIIが存在しているのかをきちんと把握しているケースは、残念ながら多くありません。我々がこれらのプロダクトを案内しても、どこに守るべきデータがあるのかを特定することが難しいというお話をいただくことが多いのが現状です。

弊社では、このようなお客様の声を聞きながら、この現状を改善できないかを常に検討しています。先日リリースしたInsight Data Masking Ver2には、AIによる個人情報等の機密情報の自動検出・保護機能を実装しました。
これは、弊社の札幌開発センターで進めていたAI研究に基づき、日本語に強い機械学習モデルとルールベースによる個人情報・機密情報を抽出するものです。
現在までのところ、
・人名情報:氏名、姓/名、ふりがな/フリガナ
・住所情報:郵便番号、都道府県/市区町村、住所、ふりがな/フリガナ
・その他個人情報:生年月日、年齢、性別、電話番号、メールアドレス
などを識別することができるようになっています。

データを守る方法と、守るべきデータを識別する方法を組み合わせることで、より高いセキュリティ・コンプライアンスを実現できます。しかし、従来のソフトウェアロジックとは異なり、機械学習を使用したロジックは常に改善する必要があります。機能を実現して終わりではないということです。今は気が付かない守るべきデータ、またこれから発生する新たなタイプの守るべきデータがあるからです。これらを実現するために必要となるのが「ハーベストループ」と呼ばれるデータ収穫→再学習→AI改善→データ収穫という改善の繰り返しです。これを繰り返すことでAIの精度が上がります。

このデータの収穫もきちんと実装することがこれからは重要になってきました。早くデータを収穫するためにもサービスを素早くリリースしてループを実践したいと考えています。

最近の記事

TOP CEOブログ 守るべきデータはどこにある?

Recruit 採用情報

Contact お問い合わせ

  購入済みの製品サポートはこちら