ここでは、GDPRとデータに関する5つの記事を紹介する。
私とのミーティングをご希望の方は、こちらから直接ご予約いただくか、abs@dataandmore.com までご連絡ください。
.
アンドレアス・ストロベック、パートナーData & More
追記:GDPRに対応したcompliance - データスキャンを無料で提供しています(文末参照)。
A: ファイル共有システムを把握していますか?
ファイル共有システムの中身に関する情報が不足していませんか?データ漏洩やスウェーデン個人情報保護局(IMY)への報告についてご心配ですか?この分野の法律を確実に遵守したいですか?
以下の記述に良心の呵責をもって同意できる人はほとんどいないだろう:
- 違法なデータは保存しません。
- 当社のファイル共有システムでデータ漏洩が発生した場合、どの(個人)データが流出した可能性があるかを正確に把握することができます。
- ファイル共有システムにランサムウェア攻撃があっても、企業秘密が盗まれる心配はない。
- 当社がスウェーデン個人情報保護庁の監督下にある場合、当社のファイル共有システムで関連データを迅速に見つけることができます。
ファイル共有は大きな地下室のようなものだ:地下室を掃除する必要はなく、常に別の段ボール箱を置くスペースがある。毎年毎年、地下室はさらなる段ボール箱で埋め尽くされ、ある段ボール箱は、もはや何が入っているのか、誰がそこに置いたのか、誰も知らないほど長い間そこにある。
しかしその後、GDPR、ランサムウェア、データ漏洩が発生した。結局のところ、私たちが毎年貢献してきた遺産や負債を一掃する必要があるのです。
残念ながら、この問題は想像以上に大きい。Data & More 、毎日200万件以上のデータセット(エクセルシート、PDF、ワード文書、パワーポイントなど)を管理し、組織が法令を遵守し、データを尊重できるよう支援している。そして、人事、症例管理、財務システム以外の全データの3~7%は違法であり、削除されるべきものであることが判明した。
3~7%というとそれほど多くないように聞こえるかもしれないが、従業員100人の組織で約15万件の不正なデータセットがあるとすれば、問題の大きさがお分かりいただけるだろう(従業員数が多ければその倍......)。そして、たった1つのデータセット(例えばExcelシート)に多くの個人データや機密情報が含まれている可能性があります。以下は実際の例です:
- ある大手保険・年金会社のファイル共有システムには、顧客に関する情報、財務情報、病気、家族情報、社会保障番号などが記載された5年前のエクセル・シートがあった。数十万人分もの個人的な機密データが、何十年にもわたって全従業員に公開されていたのだ。
- あるいは、ある自治体が毎年の予算決定に関連して、自治体内の障害児とその関連費用に関する情報を記した古代のエクセルファイルを、共通のファイル共有に置いていたとしたらどうだろう。
- あるいは、古い顧客のパスポートや運転免許証の写真を保存していた会社。
まだまだ書き足りないが、重要なのは、お互いのデータを尊重するために、他人と共有する前に、あるいは売りに出す前に、自分のデータをきれいにしておくべきだということだ。これは勝手に解決する問題ではない。
幸いなことに、手作業でのクリーニングは不可能なため、力仕事を手伝ってくれるソリューションがある。例えば、データスキャナーを使ってデータを自動的にスキャンすれば、従業員にストレスを与えることなく、ファイル共有システムに何が含まれているかを正確に把握することができる。こうすることで、少なくとも経営陣の注意を引き、うまくいけば問題を解決するためのサポートを得ることができる。結局のところ、私たちは自分たちのデータについて話しているのです。
B: クラウドストレージに向かう?
データをクラウド・ストレージに移行する(あるいはプラットフォームを変更する)予定があるのなら、不要になったデータや保存する権利があるデータを消去するのがよいだろう。古くて不要なデータを整理することは、単に論理的に行うべきことではなく、実はそれなりの理由があるのだ。以下にそのいくつかを紹介しよう:
1 - お金を節約できる
第一に、クリーニングはお金の節約になる。クラウドサービスにはお金がかかるが、その料金は保存するデータの量やアクセス頻度に応じて決まることが多い。不要な古いデータをすべてクリーンアップして削除すれば、移動するデータは少なくなる。つまり、データを移動する際にも、クラウドに実際に保存する際にも、コストが抑えられるということだ。家賃を払う必要もなく、どうせ使わないものを保管する必要もないと考えればいい。
2 - 環境のために
データの移動と保存は、環境にとどまらない。電子メールや添付ファイル、ファイルドライブ上のファイルなどを扱ったり保存したりするには、電力を必要とする。Co2の量はいくつかの要因に左右されるが、バーナーズ・リーの著書『The Carbon Footprint of Everything』によれば、たった100通のEメールで30gから5kgのCo2が発生するという。
3 - ビジネスリスクの最小化
古いデータの保管は、多くの場合、機密性の高い個人データやビジネスクリティカルなデータを含んでいるため、高いビジネスリスクをもたらします。もはや必要のない、間違った場所に保存されている、あるいは個人情報保護局によれば重大な違法性がある可能性さえあるこれらのデータを保管し続けることは、重大なビジネスリスクである。データ保護局への報告の多くは、実際に従業員自身からのものであり、従業員は組織(経営陣)が法律(compliance )に優先順位をつける方法に満足していない。また、データ侵害が発生し、組織のデータの概要が把握されない場合、あなたや私のデータが突然売りに出されることになりかねません。
4 - 効率的に行い、時間を節約する
掃除は、単に時間がかかりすぎるために行われないことが多い。また、忙しい日常生活では、ToDoリストの上位に入るものでもない。しかし、スウェーデンのデータ保護局による消去の要求は、新しいタイプのソリューションの登場を意味します。つまり、消去をどのように処理したいかに応じて、従業員を含めて、あるいは自動的に、データを効果的にスキャン、識別、消去できるソリューションです。そして、組織としてどれだけの時間を節約できるかを考えれば、それはしばしば、厄介で困難な問題に対する良い解決策となります。
5 - データ移行にかかる時間を最小限に抑える
データが多ければ多いほど、移動には時間がかかる。不要なデータを処分することで、プロセス全体を高速化することができる。つまり、組織のダウンタイムが短縮され、新しいセットへの移行がより迅速になります。
6 - 表面上のデータだけでなく、すべてのデータを記憶する
簡単に消去できるデータだけでなく、すべてのデータを管理する必要がある。電子メール、PDFの添付ファイル、画像、Excelシート、そしてもちろん普通の文書にも、削除すべきデータはたくさんある。例えば、素敵なグラフと2019年の予算案が記載されたパワーポイントのプレゼン資料1枚に、自治体の障害者に関するすべての経費(社会保障番号や詳細情報を含む)が記載されたシートが埋め込まれていることがある。
7 - データに関する役割と責任を確立する
クラウドへのデータ移行は、データを整理する良い機会でもある。時間が経つにつれて、ファイル・ドライブは古いファイルや重複、誤った場所などで混乱しているはずだ。データを移行する前にクリーニングを行うことで、関連性のあるデータのみを移行することができる。
8 - すべてが真実であることを避ける
移転に関連して、もちろん、このようなことが二度と起こらないようにするための方法、ツール、責任の所在を確立しておく必要がある。スウェーデンは大部分がデジタル化された国であり、組織内のデータ量は日々増加している。
クラウドに移行する前にデータをクリーンアップすることは理にかなっている。そして最後に、このようなことが二度と起こらないよう、必要な対策を決定する。私たちは、忙しい日常生活の中でも、古い遺産や負債を清算する責任を共有している。結局のところ、その多くはあなたのデータであり、私のデータでもあるのだから。
C: マイクロソフトとの提携で成功Purview
多くの人がマイクロソフトのPurview 、データをよりよく管理しようとするが、しばらくすると使用を断念せざるを得ない。しかし、実は希望はある!Purview の最大の課題は、いくつかの文章にまとめることができる:
Purview では、複雑な検索エンジンを自分で構築し、維持しなければならない。これは常にエラー率が高く、データを検索するのに驚くほど時間がかかる。また、エラーや変更があれば、最初からやり直さなければならない。すべての関連データがPurview で扱えるわけではありません。そして、いざデータを削除しようと思っても、Purview が適切に削除したかどうかもわからないまま、やみくもに削除することになります。
これらの領域は、自分たちのデータをコントロールしたい組織にとって、しばしば障害となる。そこで、Purview 、問題になっていること、そして利用可能な解決策を整理してみた。
では、Purview 。
1.データの識別不良
Purview には事前に定義された検索がいくつか付属している。これらは必要なものからは程遠く、精度も低い。そのため、例えばGDPRや近々始まるNIS2 に準拠するために必要な何千種類もの検索をすべて自分で設定しなければならない。しかし、これは言語専門家とMSコンサルタントのチーム全体を必要とする大仕事です。組織で使用する言語ごとに、もちろんその言語用の別個のセットも作らなければならない。そして、例えばドイツのシリアルナンバーがデンマークの個人識別番号と混同されないようにする必要もある。残念ながら、正確な検索を保証する複雑さは、膨大な作業であると同時に、成功に不可欠なものでもある。
2.スキャンが非常に遅い
Purview は(非常に)遅いデータ・スキャナーであるため、データがスキャンされるまで何年も待つことになりかねない。従業員が250人いて、それぞれ約10万件のデータファイル(電子メール、添付ファイル、ファイルなど)を持っている場合、すべてのデータをスキャンするのに365日かかる(従業員が多ければさらにかかる)。しかも、これは単なるスキャンだ。一度に7日間のスキャンを1回しか実行できないため、全データのスキャンを完了するのもプロジェクトが重くなる。
3.再スキャンはしばしば必要である。
もちろん、例えば、自社のデータについてより詳しくなったとき、スキャンする対象についてより詳しくなったとき、誤検出を最小限に抑えたいときなどは、検索を調整する必要がある。その都度、全組織のデータを再スキャンする必要がある(上記参照)。
4.ラベリング - ただし一部のデータのみ
ラベリングは、Purview の非常に中心的な機能である。そのため、正しいデータにラベルを付けておくことは、後で正しく扱うために重要である。しかし、Purview 、スキャンしてラベルを付けることができるのは、一部のデータに限られる。組織の残りのデータには、まだラベルが付けられていない。
5.目を閉じた状態での洗浄
自分が何を削除しようとしているのか(しばしば間違って選択されているデータさえある)正確に知らずに、目をつぶってデータを消去する勇気のある人はほとんどいない。しかし、Purview 。従業員やデータ所有者は関与せず、消去を開始する決定は集中管理されたチームから下されます。重要なデータが失われた場合、このこと自体がビジネスに大きな影響を与える可能性があります。
とはいえ、Purview 、打ち上げを増やし、成功させるチャンスはある:
Data & Moreのソリューションは、Purview では不十分な、これらすべての課題(およびそれ以上)を克服することができる。たとえば、Data & Moreのソリューションをスタンドアローンのソリューションとして、または最も重い作業を処理する補完的なソリューションとして使用することができます。こうすることで、組織はコアコンピタンスにPurview 、すぐに使い始めることができる。
Data & Moreの解決策について少し:
- このソリューションはすぐに使える。設定やプログラミングなどは必要ありません。
- あらかじめ定義され、テストされた何十万もの検索が、いくつかの言語で含まれています。
- 迅速なスキャンと膨大なデータ量(ペタバイト)の処理が可能です。
- 検索結果が変わっても、再度スキャンする必要はありません。
- このソリューションは、接続されているすべてのデータソースのすべてのデータ(新しいデータを含む)を常に制御できます。
- あらゆる種類のデータにラベルを付けることができ、Purview 、DLPなどで利用できる。
従業員は必要に応じて自動的に関与
従業員は、削除される前に、何を削除するように設定されているかを再確認することができます。
このソリューションは、すべてのデータから選択されたデータを数秒で見つけることができます(アクセス要求の場合など)。
基本的に、Data & Moreのソリューションは、困難な作業、すなわち、すべてのデータを迅速かつ効率的にスキャンし、関連するすべてのデータソースにおいて、適切なデータに適切なマークアップを適用する。また、データが削除される場合には、従業員も関与します。Purviewここ数年、Data & More は、GDPR、CCPA、PIPEPA などの分類を、毎日数十億のデータセット(電子メール、添付ファイル、ファイルなど)に基づいて開発し、継続的に維持しています。
こうして、Purview 、成功のための最適なスタート地点に立つことができる。
D:AIもマイクロソフトのCoPilot
例えばマイクロソフトのCoPilot(あるいはある種のAI)を使う場合、データはしばしば分散される。しかし、もしあなたが自分のデータを管理していなければ、例えばマイクロソフトに大量のデータを配布してしまう危険性がある。共有されるべきではないデータ、そしてずっと前に削除されるべきデータさえも。
セキュリティの欠如などにより、外部からデータ侵害にさらされることは、ひとつのことである。もうひとつは、どのようなデータを共有しているのかを正確に把握することなく、他人の個人データや機密データを含む組織のデータを故意に公開することである。
どのようなデータを共有しているのか少しでも不安な場合は、共有する前に必ず自分や他人のデータを確認してください。
E: Dataläck(データ漏洩)?
コンティンジェンシープランには、データ漏洩が発生した場合に、漏洩したデータを効率的な方法で迅速かつ正確に把握する方法に関する情報が含まれていることを確認してください。
これにより、データ漏えいの内容に関する事実情報に基づき、関係する個人との関係においてデータ漏えいを迅速に伝達し、管理することができる。
Data & More どのような個人情報や機密情報が流出したかを正確に把握し、完全な透明性を確保することで、データ流出が発生した組織を迅速かつ効率的に支援します。もちろん、どのビジネスクリティカルな情報が流出したかを特定するお手伝いもいたします。
しかし、良いアドバイスとしては、やはりよく知られている「泥棒より先に車を空にする」ことだ。そうすれば、万が一の場合の被害はかなり少なくなる。
詳しくはこちら:https://dataandmore.com/sv/data-breach/
データcompliance のリスクを効率的かつ無料で把握できます。
GDPRのもとではとっくの昔に削除されているはずのデータがいまだにたくさん保存されており、しかも日々新しいデータが追加されている。これがデジタル社会に生きることの弊害だ。私たちは個人として、あるいは組織として、個人情報保護当局が訪れたり、メディアに取り上げられたりすることで、個人情報や機密情報がデータ漏えいに含まれることになります。
組織と私たち個人の安全を確保するために、私たちは今、無料のスキャンを提供しています。これは私たちが販売しているソリューションとまったく同じもので、毎日200万通以上の電子メール、添付ファイル、文書などを処理しています。ただ無料なのです。
- インストール不要、数分で運用開始
- 組織のEメールを自動スキャン(最大250アカウントまで)
- スキャンは当局のGDPR規則に基づく
- このソリューションは、データ侵害が発生した場合に壊滅的な被害をもたらすような、リスクの高いコンテンツを探します。
- ダウンロード可能な事実リスク概要
- 組織内の誰もスキャンした情報にアクセスできない。
- 主要な数値、トレンド、リスクを時系列で追う。
- サプライヤーはスカンジナビアの企業で、ISAE3402とGDPR3000の認証を受けています。
- すべての法的文書(データ処理契約書など)を含む
実際のスキャンには、スキャンが必要な口座数やデータ量にもよりますが、2~4週間かかります。より早いスキャン、より大きなスキャンにご興味がある場合、あるいはスキャンしたいデータが他にもある場合は、abs@dataandmore.com までご連絡ください。
- 自動化データCompliance:エンドユーザーの検証により、非準拠のプライバシーデータを特定し、削除します。
- データ漏えいの軽減:データ侵害に関与したデータ対象者を特定し、報告し、適切なデータ検証を行う。
- コパイロット・プライバシー:プライバシーデータにマイクロソフトの機密ラベルを付けることで、Microsoft Copilotが機密情報に不用意にアクセスするのを防ぎます。
- Data & More のためのPurview:完全なGDPRプライバシー分類でPurview を強化し、Microsoftプライバシー感度ラベルをデータに自動的に設定します。
- AIエンタープライズ・データ・プラットフォーム:大規模言語モデル(LLM)のために大規模な非構造化リポジトリからデータを識別し、活用するために当社の分類技術を使用します。