マイクロソフトが考えるプライバシーやセキュリティに対する変化とは
※このインタビューは2022年12月6日に収録されました。
プライバシーへの関心が高まるに伴い、テクノロジー企業も幅広くプライバシー対策を始めています。
今回はマイクロソフトアジアでセキュリティとプライバシー戦略のトップを務める、マンダナさんにマイクロソフトのセキュリティやプライバシーついての考え方とアジアの可能性についてお話をお伺いしていきたいと思います。
マイクロソフトが考えるプライバシーやセキュリティに対する変化とは
Mandana: プライバシーに関してお答えしたいと思います。私たちが大切にしているのはお客様からの信頼であり、お客様からの信頼を失ってしまうと私たちのサービスを利用する機会も大きく減ってしまうことになります。
そして、信頼を失うことによって私たちも新しい技術に触れる機会が減り、コンプライアンス対応等の安全な環境づくりを実現することが難しくなってしまうのです。
情報漏洩はまさに信頼と直結しています。私たちは信頼がとても重要であると考えているため、プライバシーやセキュリティに対する取り組みを組織のDNAと考え、正しい方向へと導いていくことを大切にしています。私たちがお客様からの信頼を第一に考えていることは、プライバシーの観点から以前と全く変わっていません。
私たちはプライバシーを保護する環境づくりが新しい価値であると考えています。プライバシーは基本的な権利であるからです。お客様が自ら製品を通して情報管理を実現できることが必要です。
例えば、データを収集したり処理したりする作業が出てくると思います。私たちは仕組みを通じて、お客様が同意していないデータを利用することができない環境づくりが必要だと考えています。
私たちは全ての製品サービスを通して得られるデータに対して、真摯に取り組んでいくことが必要だと考えています。Xboxは一つのわかりやすい例です。企業向けの製品でも、クラウドやメールサービス、IDやアクセス管理、認証等において対策を進めています。
ウェブサイトをクローリングする際に取得するデータについても、対策を検討しています。プライバシー保護は私たちにとっての最優先事項でもあり、お客様が同意しないデータについては利用を認めず、匿名加工等の対策を標準化していくことが大切であると考えています。
マイクロソフトが提供するインテリジェンスシステムでは、こういったデータの取得を見える化しお客様が自ら対策できるような透明性の高い環境づくりを進めています。ここまで紹介した考え方に止まらず、継続的に改善し、安心なプロダクト環境づくりに努めています。
先ほどもお話ししたように、お客様が100%自らの情報を管理できる環境づくりを推進し、お客様が認めていないデータについては利用できない環境を整備していくことが必要です。私たちが提供するプライバシーダッシュボードでは、お客様が自らデータを選定し、削除することもできるようになりました。
お客様の考える私的なデータについても、見える化する仕組みを準備しています。私たちはお客様に安全に利用していただくために暗号化を始めとしたセキュリティ対策も継続的に行っています。
私たちはプライバシー法規制についても、積極的に取り入れてお客様の安心安全な環境に向けた配慮を進めています。各国の法規制の動きに関わりつつ、新たな動向に注力していきたいと思います。
個人データを保護するためにマイクロソフトが率先して取り組んでいること
ここまで紹介してきたように、私たちの考えは以前とあまり変わっていません。勿論、製品サービスでできことは少しずつ変化してきています。例えば、クラウドサービスでは、お客様が取得するデータや処理するデータを可視化したり、保持するデータを見える化するなどお客様が自ら情報の管理者となることができる環境づくりを推進しています。このような機能を準備することが、お客様のデータ保護やガバナンス、プライバシー対策にもつながるのです。
私たちはお客様が自らデータを保護できる環境づくりを推進する思想を常に持って取り組んでいます。セキュリティの観点からも、常に同じことを考え、組織のDNAとして取り組んでいます。私が参画した当初は安全なプラットフォームの実現を目指していましたが、今ではお客様がハイブリッドでデータ運用ができる環境へと変化してきています
これは複数のクラウドを運用する戦略と呼ばれていますが、どこにいてもクラウドサービスを利用できるためには必要な戦略だと考えています。私たちはクラウド環境を整備することでお客様に安全を提供したいと考えております。マイクロソフトのプラットフォームだけではないことが大切です。この考え方は私がマイクロソフトのセキュリティ部門に関わり始めてから変わっていません。
Kohei: ありがとうございます。マイクロソフトのお客様の安全な環境を準備する根本的な考え方が変わっていないことは十分に理解できました。こういった考え方を企業の文化として持っていることはとても大切だと思います。同じ考え方を共有することで、信頼に足る関係性の構築をお客様や利用者の方とも築いていくことができるのだと思いました。
マイクロソフトでは、ご紹介いただいた考え方をもとにしてお客様が取り組むためのソリューションの提供も進めていると思います。先ほど紹介があったマイクロソフトのプライバシーレポートやその他の関連サービスについて、どういった点がプライバシーに取り組む上で重要になるのかお聞きしても良いでしょうか?
Mandana: わかりました。プライバシーレポートは年に二回更新されます。プライバシーレポートでは2つのことを目的に掲げています。一つ目がどういったデータを取得し、利用しているのか把握できる透明性のある環境を準備することです。異なるサービスごとにお客様の透明性の向上に努めています。
ダッシュボードを利用することによって、お客様が自らデータの利用方法等を管理できるようになります。新しい動きとして、お客様の視点と企業側双方での確認が求められてくるようになりました。
データ利用の透明性を高めるために心がけていること
私たちがダッシュボードを準備した理由は、様々な立場の視点でデータの動きについて理解したいニーズが高まってきているからです。お客様のニーズに応えるために、必要な要素をプロダクト開発の過程でサービスデザインに取り組んできました。
4月に公開したレポート内容と比較して、2022年10月のレポートでご紹介した新しい2つの変化が生まれています。こういった変化に対応していくためお客様のデータを保護するツールを準備することが私たちには求められているのです。
政府による新しい取り組みも数多く生まれていて、ビジネスでデータ利用をする場合には個人データが自ら管理できる仕組みを検討する必要が増しています。
こういった変化に答えるために私たちが取り組んでいるものとして、個人向けのフィッシングやマルウェア対策を行うための機能を実装した Microsoft Defender for Individualsというサービスがあります。
エンドユーザーである利用者やその家族や関係者のデータが安全な状態であるか可視化するために必要なダッシュボードです。このサービスは統合されたダッシュボードとして利用者が保護される仕組みになっています。
より多くの組織や企業はMicrosoft Purviewの中で提供されるリスク管理コンプライアンスマネージャーを利用することによって、データの保護やガバナンスを実現することに繋がります。
プライバシーをプロダクトに取り込むための大切なコンセプトとは
これまでも様々な機能を駆使することで対策を実現することができましたが、今ではより対策の必要性が求められるようになってきています。私はコンプライアンスマネージャーの利用動向を見ながら、お客様が適切なコンプライアンス対策を実現できているか評価を実施しているか確認するようにしています。
アジア圏では国によって規制が異なるため、各国の規制に合わせてカスタマイズ可能なテンプレートも準備しています。お客様はテンプレートを評価し、応用することができるようになっています。
例を紹介すると、日本のプライバシーマークや韓国の個人情報保護法、マレーシアやシンガポールの個人情報保護法からAPECのプライバシーフレームワーク等が対象になります。
これ以外にも地域ごとの制度やグローバルでの制度等様々な取り決めがあります。新しい制度変更等の動きに対応するためには、テンプレートが役に立つと思います。テンプレートを活用することでお客様の活動の支援につながりますし、お客様のグローバル展開等を見据えてプロダクト設計も行っています。
Purviewは監査機能や、検索機能、情報保護、データガバナンスの仕組みをリスク管理サービス内に備えています。利用者自身で保護を実施することができるように設計しています。
データ保護とプライバシーの観点からは、横断的なセキュリティ対策が求められるようになります。ゼロトラストという考え方がありますが、この考え方は今現在過度に語られてしまっていると思います。基本的な考え方に戻って考えると、誰かを信用して承認手続きを省くのではなく全て明確な承認が必要なのです。
私たちにとってはアイデンティティ管理がゼロトラストフレームワークにとっては重要なポイントなのです。勿論ゼロトラスト環境でアイデンティティサイドの利用者やデバイス、アプリケーション、ネットワークにおいて安全な環境設計が必要になります。
最近というサービスを展開し、アイデンティティの許可管理ができるような機能も準備しています。複数のクラウドサービス環境でアイデンティティ管理を行うことができる点はとても重要なポイントです。
私たちはデータの入り口から安全に対策できるように、お客様に向けてサービスを提供しています。製品には適切な対応ができるような設定を準備していることに加えて、アイデンティティとアクセスマネジメント機能も追加しています。
追加機能には、データにアクセスする権限を有する個人が企業内の人間か否かを判断し、プライバシー対策を実施するパーミッション管理が含まれます。
特定のメンバーが新しい役割を担う場合は、対象のメンバーに対するアクセス範囲が変更され、必要のないアクセス先には参加できないような設定に変わることになります。企業向けのプロジェクト管理サービスが製品のポートフォリオに新しく追加されています。
マイクロソフトでは2021年からと呼ばれるプライバシー管理機能のサービスを展開しています。このサービスはプライバシー問題を抱えた大規模組織向けに展開しています。
Microsoft 365の環境下で起こりうる個人データに関するリスクを可視化することを目的としています。さらに、データ管理やデータ提供者による要求への対応、効果的な自動化機能等を揃えています。
ここで紹介したような機能を利用することによって、利用者のプライバシーの保護を実現することができるようになります。勿論、お客様によって抱えている課題は異なりますよね?
お客様によって製品の理解も大きく異なると思います。私たちのチームが取り組んでいることは、アドバイザーとしてお客様の課題を理解し、セキュリティ環境を高めることによってプライバシー対策に必要なコンプライアンス要素をセキュリティ対策で補っていくようにテクノロジーを活動して推進しています。
Kohei: 既に多くの取り組みが始まっているのですね。初めての方にとってもわかりやすく、幅広くセキュリティやプライバシー対策に取り組む環境づくりを推進されていることがわかりました。アドバイザーの役割は、複雑なセキュリティやプライバシーを理解するために、必要な役割を担っていることもわかりました。
特に初心者の人たちが新しい環境に順応することはとても難しいと思うので、マイクロソフトの取り組みが中小規模の企業にとっても非常に有益だと思います。中小企業でも簡単にデータ保護や安全な環境設計に取り組むことができれば、とても有益であると思います。
ここからは未来に向けてのお話をできればと思います。マンダナさんはアジア圏だけでなく、米国を始めとした幅広い国でお仕事されたご経験があると思います。現在はアジア圏での責任者として活動されていると思いますが、アジア圏での今後の戦略についてお伺いしてもよろしいでしょうか?
マイクロソフトでは “Made in Asia” や “Born in Asia と呼んでいる取り組みがあると思いますが、内容を教えていただけると嬉しいです。
〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?