データプライバシー：ガバナンスコントロールによる機密データの保護方法

データプライバシーのルールは、抽象的に見ればシンプルです。機密データは承認された目的にのみ使用し、適切に保存し、アクセスは許可されたユーザーだけに絞り、不要になったら削除するというものです。しかし、部門やチームを横断して相互に接続された大規模な組織のデータ資産全体で、これらのルールを共有して適用することは簡単なことではありません。そのような環境では、同じテーブルが複数の管轄区域にあるさまざまなビジネスユニットのアナリティクス、レポーティング、アプリケーションワークフロー、AIユースケースに同時にデータを提供している可能性があるためです。

だからこそ、データプライバシーはデータガバナンスコントロールによってしっかりと管理される必要があるのです。たとえ個人データが元のコンテキストに存在しなくなったとしても、組織は機密データを検出、分類し、アクセスや使用目的を制限したうえで保持ルールを適用し、下流でのデータ使用を追跡できなければなりません。

データプライバシーは、責任あるデータ利用のための明確なルールを組織に提供するとともに、個人情報への不正アクセス、悪用、漏洩から個人を保護するのに役立ちます。エンタープライズデータ環境において、データプライバシーはポリシーと確実な運用の両方が必要です。プライバシーポリシーでは、顧客や会社の従業員、医療現場においては患者など個人のデータをどのように取り扱うべきかを定義できます。しかし、これらの要件は、データが保存、クエリ、共有、処理されるシステム全体でのコントロールに変換できなければ意味がありません。

これが、データガバナンスがデータプライバシーの基盤となる理由です。データガバナンスとは、データ資産全体を動かす運用の仕組みそのものです。具体的には、データの品質管理、所有権の明確化、リネージの追跡、アクセス制御、ライフサイクル管理、そして組織全体でのポリシーの徹底まで、すべてをカバーします。

ガバナンスの日々の運用は、組織がデータプライバシーに関する次のような実践的な疑問に答えるのに役立ちます。

• 個人データはどこに存在するか
• 誰がアクセスできるか
• どのような用途が許可されているか
• どのくらいの期間保持すべきか
• 削除リクエストが届いた場合はどうなるか

たとえばデータカタログを使用すれば、顧客のメールアドレス列がどこに存在し、どのダッシュボードがそれを利用しているかをチームが把握できるでしょう。データプライバシーコントロールは、ここからさらに踏み込みます。その列をマーケティングに使用できるか、その用途は事前に顧客が同意したものであるか、誰が生の値を見ることができるか、データをどのくらいの期間保持すべきか、削除リクエストが届いた場合はどうすべきかなどを定義します。また、プライバシーガバナンスの適用範囲を正しく設定することは重要です。管轄区域やユースケースに応じて、GDPR、CCPA、HIPAAなどで適用される規制に準拠する必要があるからです。

通常、データプライバシーポリシーは個人データや機密データを保護するために必要な制御を定義します。ほとんどの組織において、これは5つのコア領域（データ検出と分類、許可された用途、アクセスの適用、保持、監視）に対処することを意味します。

1.データの検出と分類

データプライバシーは、どのような個人データが存在し、どこに保存され、どの程度の機密性を持ち、環境全体でどのように移動しているかを把握することから始まります。チームが下流で適切な制御を適用できるように、ポリシーでは、個人データと機密データがどのように特定、分類、およびラベル付けされるかを定義する必要があります。この点は非常に重要です。なぜなら組織は、どこから来たか、または保存場所がわからないデータや、機密性の低い情報と区別できないデータをガバナンスの対象にすることはできないためです。

2.目的の制限と同意

データプライバシーポリシーでは、個人データを収集する理由、許可される用途、およびそれらの用途をどのように文書化するかを定義する必要があります。また、同意の取得方法、同意の撤回の処理方法、およびチームが当初の正当な理由から外れた目的でデータを使用したい場合の対応についても規定する必要があります。

3.アクセス制御とマスキング

すべてのユーザー、ロール（役割）、またはワークロードが、個人データに対して同じレベルのアクセス権を持つべきではありません。データプライバシーポリシーでは、誰が生の値を表示できるか、いつデータをマスキングする必要があるか、および時間の経過とともにアクセスをどのように承認、レビュー、調整するかを明確にする必要があります。これらの制御により、プライバシー要件がデータレイヤーでの適用可能な制限へと変わります。

4.データの保持と廃棄

データプライバシーポリシーでは、個人データの保持期間、アーカイブのタイミング、および保持期間の終了時や削除依頼の受信時にデータをどのように削除するかを定義する必要があります。これにより、組織はデータ運用の仕組みをプライバシーの義務と一致させることができ、技術的に利用可能であるという理由だけで必要以上に長い期間個人データを保有するリスクを軽減できます。

5.監視と監査

データプライバシーポリシーでは、個人データへのアクセスの追跡方法、例外のレビュー方法、および組織による不正使用やポリシー違反の疑いを調査する方法を指定しなければなりません。組織は、監査、調査、またはインシデントレビューの際に、個人データへのアクセスがポリシーと一致していたことを証明しなければならないため、監視と監査可能性は重要です。

AI利用の増加は、個人データの利用方法およびそれらがどう使われたかを追跡する両方の難易度が上がるため、データプライバシー侵害のリスクを高めます。たとえば、カスタマーサービスやトランザクション処理のために収集されたデータが、後にモデルトレーニングやプロンプトのグラウンディング、特徴量エンジニアリング、または自動化された意思決定支援のためなど、元々の利用用途を超えて提案されてしまう可能性があります。プライバシーポリシーでは、そのデータ利用が組織の規定や法規制で許可されているか、ユーザーの同意を得ているか、そしてAIシステムに投入される前にどのような制限を適用すべきか、を規定する必要があります。

なお、ポリシーを取り巻く環境において、これはすでに実践的なものとなっています。EU AI法は2024年8月1日に施行され、実装はすでに進行中です。特定のAIプラクティスの禁止は2025年2月に、汎用AIモデルの義務は2025年8月に有効化され、高リスクAIシステムの要件は2026年から2027年にかけて段階的に導入されます。IAPPの米国州トラッカーは、新たに発効されている州レベルのAIガバナンスの動向を継続的に文書化しています。

現代においてデータプライバシーとAIガバナンス両方の重要性はともに増してきており、組織は両方の分野を連携させていく必要があります。ガバナンスポリシーの策定者がなすべきことは、極めてシンプルです。AIガバナンスプログラムを策定する際は、AI特有の処理目的を考慮し、学習データや推論データの承認ルートを明確にする必要があります。さらに、機密性の高い学習データセットに対するリネージの記録を義務付け、必要に応じてデータの削除や再トレーニングを行う手順を確立することが求められます。 また、アナリティクスやレポートのワークフローと並行して、アクセス制限、マスキングルール、および監査要件がAIパイプラインにどのように拡張されるかを明確にすることも役立ちます。

機密データを保護するためにSnowflakeがプライバシー制御をどのように実現しているかをぜひ参考にしてみてください。

プライバシーガバナンスは、データが実際に使用される方法と結びついている場合に機能します。ポリシーは、法務およびコンプライアンスチームが支持できる内容で、目的、アクセス、保持、および権利を定義する必要があります。さらに、データの分類やマスキングの適用、アクセス制限、発生した事象を記録するシステムに、それらの要件を関連付ける必要もあります。

データガバナンスは、これらの制御のための運用構造を作りだします。これにより、組織はプライバシー要件をデータ資産全体の一貫したルールとして運用できるようになります。これには、個人データの処理方法を現在再構築しているAIワークフローも含まれます。