プライバシーとセキュリティが抱える問題とは
プライバシーとセキュリティ問題はサービス設計時に検討することがとても重要です。
今回はAIとセキュリティ、及びプライバシーの専門家であるパメラさんにセキュリティとプライバシーの重要性と信頼できるAIについてお話をお伺いしていきたいと思います。
Kohei:皆さん。本日もPrivacy Talkにお越し頂きありがとうございます。本日のインタビューはパメラさんにお越し頂いております。パメラさんは20年近くプライバシーとセキュリティ分野で活躍されています。本日はパメラさんと未来のセキュリティとプライバシーの重要性についてお話ししていきたいと思います。パメラさん、本日はお越し頂きありがとうございます。
Pamela:ご招待頂きありがとうございます。
Kohei:ありがとうございます。始めにパメラさんのプロフィールを紹介したいと思います。パメラさんはサイバーセキュリティ戦略やリスクマネジメントの専門家として、金融や製造業、病院や娯楽、その他の関連技術分野で活躍されてきました。
彼女は複雑なビジネスプロセスで最適なセキュリティ対策を指南する専門家でもあり、AIやIoTを始めとした新領域技術を企業に導入する際のリスク対策や情報リスクマネジメントサービスにも精通しています。
パメラさんはサイバーセキュリティとプライバシー戦略のアドバイザーとして、技術やリスクマネジメント支援に取り組まれています。ビジネスやセキュリティに求められるリスク予測では、誤操作及び漏洩によって起こりうる対策にも精通されています。
本日は貴重なお時間を頂きありがとうございます。
Pamela:ありがとうございます。
Kohei:早速始めのアジェンダに移っていきたいと思います。これまでにプライバシーやサイバーセキュリティについて、パメラさんは素晴らしい活動をされてきていると伺っています。
始めにお伺いしたいのは、なぜプライバシーやサイバーセキュリティ分野でお仕事されようと思ったのかきっかけを教えて頂いても宜しいでしょうか?
セキュリティとプライバシー領域でのキャリア
Pamela:もちろんです。私はこれまでに、25年間以上サーバーセキュリティとリスクマネジメントに関するビジネス支援を行ってきました。
クライアントが考えるビジネス目的を理解した上で最適な方法を提案してきました。クライアントのビジネス領域がデジタル空間へと移行していく中で、必要な対策を提案することが私の役割です。デジタル中心のビジネスか否かに関係なく、どのような組織もデジタルへの移行を止めることはできません。
図:ビジネスの主戦場がデジタル空間への移行
ビジネスの中心をデジタルへ移行することによって、ビジネス活動がデジタル空間での犯罪や悪の組織の収益源に結びついてしまう可能性も孕んでいます。
現在デジタル化に成功している企業にとっては、サイバーセキュリティ対策が重要な戦略の一つになっています。世界中が繋がるネット空間では新しい課題が生まれています。そういった経緯もあり、私はこの分野を選んで活動しています。
Kohei:素晴らしいですね。
Pamela:プライバシーについても話をしないといけないですね。
Kohei:そうですね。パメラさんはご自身でOutsecureという会社も経営されていると思います。ご自身の会社ではクライアントに対してサイバーセキュリティやプライバシー対策のサービスを提供されているとお伺いしました。会社の取り組みと、プライバシー対策の関係についてもお伺いできますでしょうか?
Pamela:ありがとうございます。少し話が逸れてしまいましたね。先程の質問でプライバシーについてもお伺いしていましたが、サイバーセキュリティについての回答だけになっていました。
ここからはサイバーセキュリティとプライバシーについて、私が関わっている理由を紹介したいと思います。デジタル空間についての話に戻すと、ビジネスがデジタル化していく過程で、デジタルへ移行するクライアントには多くの課題が待ち受けていると感じています。
組織内で情報を取り扱う際に生まれる課題とは
例えば、組織での活動で発生するデータ形式についての話、私たちの情報の問題や個人識別情報のプライバシー問題など様々なものが考えられます。さらに個人データにも個人識別データや名前、住所、IPアドレスなど取り扱う情報によって対応すべき様々な課題が考えられます。私たちの位置情報の問題等も該当します。
これからの個人識別情報に該当するものは対策を検討した上で、活用するべきか、私的な情報として活用を断念するかを検討する必要があります。ただ、今のデジタル空間では、個人データと言っても特定のフォーマットが統一されている訳ではなく、規制の中でも一律に個人データに該当するか否かを明確に言及することはできないように思います。
これまで紹介してきたように、私たちの個人識別情報は安全に保護されることが非常に難しいのです。個人識別情報に該当するか否か、非常にセンシティブな情報を取り扱うケースを参考に考えてみることが重要です。
具体的な解決策を見通すことが非常に難しいと思いましたが、だからこそ私はこの分野で活動しようと思いました。各組織が目指していることは、見えない対策を見据えて、ビジネスの利益や求めている価値を獲得することが必要なため、目指していくことを達成するために貢献できると考えたからです。
世界の素早い変化に対応するためには、規制だけで全てを制御することはできないのです。ビジネスによって生まれる利益を目指して、規制でも十分に明記されていない個人に関連する情報やセンシティブな情報についての取り扱いリスクを把握し、どのように対応していくべきなのかが重要になります。
企業による情報漏洩が起きてしまった場合の対応等は、まさに私たちが担っている役割です。こういった場合、Outsecureではクライアント企業がこれまで実施してきたサイバーセキュリティとプライバシー対策についての検証を行います。
漏洩に関しては社内で起きたことか社外までパブリックに起きた問題かを把握し、一体どこまでが問題に値するのかを検討することになります。センシティブなデータに関しては、社内外問わず問題になります。
Kohei:ご説明頂きありがとうございます。クライアント向けにサービスを提供する中で、最近はどう言った問題が大きな課題になっているのか教えて頂くことはできませんか?
セキュリティやプライバシーに関して、規制の強化や技術の進展に伴い、多くの企業が関心を向け始めていると思います。 パメラさんはその中心で活動されていると思いますが、現在直面している課題があればお伺いしても宜しいでしょうか?
Pamela:私の取り組みで1番の課題は、アセットインベントリーに関する問題です。特にセンシティブな情報を取り扱う場合は、サイバーセキュリティやプライバシー関連問題に直面することになります。
プライバシーとセキュリティが抱える問題とは
例えば、情報を利用した詐欺の問題は企業活動に大きな影響を及ぼすまで広がってきています。詐欺の勧誘はセンシティブな情報、もしくはビジネスでの機密情報が漏洩することによって起こることがあります。センシティブな情報とは個人識別情報に限らず、ビジネス利用で分類した機密情報も対象になることがあります。
センシティブな情報は、詐欺を感知するためにビジネス運営上必要であるという主張とは相容れないと考えていまして、大量の情報を消費者が生み出す現代社会ではデータを効果的に活用する初期段階からセンシティブ情報についても向き合う必要があると思います。
これまでに使用していたERP等のシステムを代替する形で、新たに採用されたシステムやアプリケーションを通してIoTセンサー等から取得した大量のデータを民間企業や公共団体が漏らしてしまうことも考えられるので、初期段階からの対策は非常に重要になります。
私たちは、価値があるデータとそうではないデータを企業や組織が自ら判断するできるようになることが必要であると考えていますが、まだ解は見つかっていません。企業が誤ってデータを集め続けるといつか大きな問題に発展することになります。
図:価値のあるデータとそれ以外のデータを理解する必要性
データをより多く必要とする場合には、プライバシーやセキュリティも重要であることに気づく必要があります。データ保護規制を十分に考慮していない場合に、企業はプライバシーやセキュリティへの配慮を行っていないことが問題であると気づかないままであることもあります。
組織内で問題のあるデータを保有してしまっている場合には、保有データがリスク要因となるため、リスク要因を取り除く方法を私たちは支援しています。
Kohei:ありがとうございます。とても重要なポイントをご指摘頂きました。Pamelaさんが問題提起された課題をどのように解決すべきなのか非常に関心があります。Pamelaさんはコンサルタントとしてのお仕事以外にも、コンソーシアムや対業界向けの取り組みにも関わられていると思います。
例えば、IEEEや米国NISTでは企業や業界向けに幅広い軸となるフレームワークの開発に関わられているとお伺いしました。IEEEやNISTではどういった活動をされているのかお伺いしても宜しいでしょうか?
〈最後までご覧いただき、ありがとうございました。続きの中編は、次回お届けします。〉
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫
この記事が気に入ったらサポートをしてみませんか?