目次

データ分類とは

目次

データの機密性、重要性、および事前に定義された基準に基づいてデータを組織化し分類することは、データセキュリティの基礎となります。組織は、分類レベルを割り当てることによって、データ資産を効率的に管理、保護、取り扱うことができます。そうすることで、組織はリソースの優先順位を付け、各データ分類の要件に合わせたセキュリティ対策を適用することができます。

 

データ分類の説明

データの分類は、個人を特定できる情報(PII)、保護された医療情報(PHI)、財務データなどの機密情報の特定と保護に役立ちます。データを機密度や重要度などの基準に従って分類することで、組織はそれぞれのデータタイプに適したセキュリティ対策でデータ資産を効果的に保護し、取り扱うことができます。GDPR、HIPAA、CCPAなどの規制基準のコンプライアンスは、データの分類に大きく依存しています。

機密データの分類
図1:機密データの分類

データ分類の仕組み

データ分類の実行は、分類スキーマを定義することから始まります。一般的な分類レベルには、公開、内部使用、制限、機密があります。次に組織は、構造化および非構造化の両方のデータ資産を特定し、各資産に適切な分類レベルを決定します。

自動化されたツールやソリューションは、高度なアルゴリズムを使用してデータをスキャンおよび分析し、コンテンツ、メタデータ、またはその他の属性に基づいて定義されたカテゴリに一致させることで、分類プロセスを支援します。さらに、データの機密性や重要性を評価するために専門知識が要求される場合には、人手を介した手作業による分類が必要になることもあります。

データが分類されると、組織は分類レベルごとに適切なセキュリティ管理とポリシーを実装することで、その情報を基に行動することができます。これらの測定可能な対策には、機密データの暗号化、ユーザーの役割に基づくアクセス制御、各カテゴリーの要件に合わせたデータ保持ポリシーなどがあります。

データ分類をセキュリティ対策に組み込むことで、組織はリソースの割り当てを最適化し、保護対策に優先順位を付け、データ保管、アクセス制御、データ共有、保存期間について十分な情報に基づいた意思決定を行うことができます。クラウドセキュリティ全般に言えることですが、先を見越した的を絞ったアプローチは、リスクを軽減し、セキュリティ体制を強化します。

 

データ分類が重要な理由

データ分類の重要性を理解することは、機密情報を保護し、リスクを軽減する上で極めて重要です。セキュリティ専門家は、データを分類することで、組織のデータエコシステム内で最も重要で機密性の高い資産を特定することができます。この知識により、暗号化、アクセス制御、監視などの適切なセキュリティ対策を、最もリスクの高いデータカテゴリーに割り当てることができます。

‍データの分類を利用することで、組織は最も効率的な方法でセキュリティ・プロトコルの目標を設定し、貴重で機密性の高い情報を最大限に保護することができます。セキュリティだけでなく、さまざまなタイプのデータ分類によって、組織は業界固有の規制や法的要件に合わせたセキュリティ対策を講じることができます。

PCIとは?

PCI(Payment Card Industry)規格は、さまざまな業界の組織が取り組んでいます。これらの基準は、主要なクレジットカード会社によって制定され、決済取引中のカード会員データを保護する防波堤の役割を果たしています。Payment Card Industry Data Security Standard (PCI DSS)は、ペイメントカード情報を取り扱い、処理し、または保管する事業者にガイドラインと要件を課すフレームワークです。

加盟店、金融機関、サービスプロバイダなど、カード会員データの受理、送信、または保管に関与する事業者にとって、PCI へのコンプライアンスは譲れません。PCI DSS は、ネットワークセキュリティの強化、暗号化の採用、アクセス制御の強化、定期的な脆弱性評価の実施など、セキュリティ対策の嵐を巻き起こします。

PIIとは何ですか?

機密情報に関しては、個人を特定するデータ、すなわち個人識別情報(PII)が懸念されます。この用語は広義には様々なデータをカバーしますが、これらに限定されるものではありません:

  • 名前
  • 社会保障番号(SSN)
  • 住所
  • 電話番号
  • メールアドレス
  • 金融口座の詳細
  • バイオメトリックデータ

PIIは、なりすまし、詐欺、その他の悪意のある行為に悪用されやすいため、個人や組織にとって大きな価値があります。PIIを特定し保護することは、プライバシー保護と規制コンプライアンスにとって極めて重要です。組織は、PIIの機密性と完全性を確保するために、暗号化、アクセス制御、データの匿名化などの強固なセキュリティ対策を実装する必要があります。

PHIとは?

医療分野では、保護された健康情報(PHI)は、個人の健康、病状、または治療に関連するすべての機密データをカバーし、多くの場合、PIIを含みます。この貴重な情報は、以下のようなさまざまなデータをカバーしています:

  • カルテ
  • 診断結果
  • 処方箋
  • 健康保険の詳細
  • その他の個人を特定できる健康関連データ

米国におけるPHIの管理は、医療 保険相互運用性と説明責任に関する法律(HIPAA)の下で高度に規制されており、医療提供者が従わなければならないプライバシーとセキュリティの基準を保証しているため、困難が伴います。医療従事者と組織は、患者のプライバシーを保護し、不正アクセスを防止し、法的要件を遵守するために、PHIの機密性を守らなければなりません。これらの要件を満たすには、アクセス制御、暗号化、監査証跡のための最高レベルのプロトコルを含む極度のセキュリティ測定が必要です。

GDPRの課題

欧州連合(EU)の市民または居住者のデータを保存する組織にとっては、特定のデータタイプを特定する以上に重大なデータプライバシー上の課題があります。個人情報を取り扱う組織に対して厳しい要件を定めた 一般データ保護規則(GDPR)を遵守し、個人情報の収集、処理、保存方法に関する透明性、説明責任、管理を徹底しなければなりません。コンプライアンスへのインセンティブとして、GDPRはコンプライアンス違反に多額の罰則を課しており、罰金は企業の全世界年間売上高の最大4%または2000万ユーロのいずれか高いほうに達するため、企業が義務化を無視することは極めてコスト高になります。

その上、EU市民および居住者には、自分のデータにアクセスする権利、忘れられる権利、データポータビリティの権利など、さまざまな権利が付与されています。GDPRコンプライアンスを維持するためには、対応するデータがどこに保存されているのか、誰がアクセスできるのかを常に把握しておく必要があります。また、要求に応じて個人のデータを削除するプロセスを含める必要があります。

 

データ分類レベル

データの分類は、人間の判断と高度なアルゴリズムを組み合わせて、手動または自動で行うことができます。データの分類レベルは、「公開」、「機密」、「機微」といった単純なラベルから、特定の規制や業界標準に基づくより詳細な分類まで、さまざまです。

データ分類レベルの例:

  1. 機密データ: これは最も機密性の高いカテゴリーで、企業秘密、財務情報、個人を特定できる情報(PII)、ビジネス上の機密情報など、何としても保護しなければならないデータが含まれます。
  2. 社内使用のみ: このカテゴリーには機密データも含まれますが、従業員の給与情報、社内メモ、プロジェクト計画などの機密データほど重要ではありません。
  3. 制限されたデータ: このカテゴリーには機密データも含まれますが、顧客情報、マーケティング計画、価格情報などの機密データほど重要ではありません。
  4. 公開データ :このカテゴリーには、企業のプレスリリースやマーケティング資料など、機密性が低く、一般に自由に共有できるデータが含まれます。
  5. アーカイブデータ:このカテゴリーには、古い財務報告書や人事記録など、もはや積極的に使用されることはないが、法的、規制的、または歴史的な理由で保持する必要があるデータが含まれます。
データ分類プロセスを実装する理由
図2:データ分類が果たすデータセキュリティの重要な役割

 

データ分類の使用例

組織が従うべきコンプライアンス指令の数にかかわらず、データ分類の導入は不可欠です。ベストプラクティスとしてデータ・ディスカバリーを実装することで、的を絞った効率的な方法でセキュリティを大幅に強化することができます。エコシステム内の機密データを理解し、それに応じて分類することで、組織はリソースをより効果的に割り当て、それに応じてセキュリティ対策の優先順位をつけることができます。

データの分類は、コンプライアンスへの取り組みを支援するだけでなく、セキュリティ侵害を防止する上でも重要な役割を果たします。機密データを特定し保護することで、組織は不正アクセスや潜在的な侵害のリスクを軽減し、セキュリティの低下による悪影響を回避することができます。データ分類を導入し、ディスカバリー技術を活用することは、貴重な情報を保護し、組織のデータ資産の完全性と信頼性を確保するための積極的な一歩です。

‍データ分類の例とは?

重大度は、不正アクセス、盗難、または損失から保護する必要がある機密データとみなされるため、効果的なデータセキュリティのために分類する必要があります。

  1. 個人を特定できる情報(PII)には 、氏名、社会保障番号、運転免許証番号、パスポート番号など、個人を特定できるデータが含まれます。
  2. 金融情報とは 、クレジットカード番号、銀行口座番号、投資情報など、金融取引や口座に関するデータを指します。
  3. 企業秘密には 、企業秘密、事業計画、市場調査など、企業に競争上の優位性をもたらす独自のデータが含まれます。
  4. 健康情報とは 、診断、治療計画、処方情報など、個人の健康状態や病歴に関連するデータのことです。
  5. 知的財産には 、特許、商標、著作権、企業秘密に関するデータが含まれます。
  6. 政府情報とは、国家安全保障情報、法執行機関の記録、軍事機密情報など、政府機関によって分類または制限された情報です。
  7. 従業員情報これには、給与情報、業績評価、懲戒記録など、従業員に関するデータが含まれます。

これらは、より良いデータセキュリティに不可欠な分類データのほんの一例です。分類しなければならないデータの種類は、組織のセキュリティ要件によって異なります。しかし、データ分類の目的は、データの機密性のレベルを理解し、それを保護するために必要な適切なセキュリティ対策を決定することにあります。

共通コンプライアンス基準
図3:データコンプライアンスの重点事項を一目で理解するための規制機関

 

データ分類はデータ・セキュリティをどのように向上させますか?

データの分類は、不正アクセス、盗難、損失からデータを保護するために必要な適切なセキュリティ対策を決定します。そのため、データセキュリティの多くの実践に役立っています。

リスク評価

データ分類は、最も重要な資産を特定し、機密データの保護に優先順位をつけるために使用されます。これにより、組織は最も注意を払う必要がある分野にサイバーセキュリティの取り組みを集中させることができます。

アクセス制御

データ分類は、組織が機密データへのアクセス権者とそのレベルを決定するのに役立ちます。例えば、機密性の高いデータには、権限を与えられた少数の従業員しかアクセスできないかもしれませんが、機密性の低いデータには、より多くの従業員がアクセスできるかもしれません。

データ暗号化

データの分類は、暗号化が必要なデータと必要な暗号化レベルを決定するのに役立ちます。例えば、機密性の高いデータの中には、静止時と転送時の両方で暗号化が必要なものもあれば、機密性の低いデータは静止時のみ暗号化が必要な場合もあります。

データのバックアップとリカバリー

データの分類は、バックアップが必要なデータとその頻度を決定するのに役立ちます。例えば、機密性の高いデータは毎日バックアップして安全なオフサイトに保管する必要があるかもしれませんが、機密性の低いデータは毎週バックアップすればよいかもしれません。

コンプライアンス

データ分類は、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、またはペイメントカード業界データセキュリティ基準(PCI DSS)などのデータ保護規制のコンプライアンスを確保するためにも使用されます。これらの要件は、機密データを保護するための特定のセキュリティ対策の実装を組織に要求することが多く、データの分類は、どのデータがこのカテゴリーに分類されるかを判断するための最初のステップです。

 

データ分類に関するFAQ

データ分類の種類には、公開、内部使用、制限、機密があり、最も機密性の高い分類には、一般的に個人を特定できる情報(PII)や企業秘密が含まれます。
データ分類の例としては、個人識別情報(PII)、保護対象健康情報(PHI)、財務データ、企業秘密や特許などの知的財産、政府情報などがあります。

データ・プライバシー・コンプライアンスとは、個人データや機密データの収集、保存、処理、共有に関する法律、規制、業界標準を組織が遵守することを指します。

コンプライアンス要件は、管轄地域、セクター、関係するデータの種類によって異なり、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、および以下のような例があります。

GDPRコンプライアンスとは、2018年5月に施行された包括的なデータプライバシー法である欧州連合の一般データ保護規則を組織が遵守することを指します。この規制は、地理的な場所に関係なく、EU居住者の個人データを処理するあらゆる組織に適用されます。

GDPRのコンプライアンスには、データの最小化、暗号化、仮名化などのデータ保護対策の実装に加え、アクセス権、修正権、消去権などのデータ主体の権利が尊重されるようにすることが含まれます。組織はまた、データ保護影響評価を実施し、要件があればデータ保護責任者を任命し、72時間以内にデータ侵害を報告しなければなりません。

HIPAA規制とは、Health Insurance Portability and Accountability Act(医療保険の相互運用性と説明責任に関する法律)のことで、患者の健康情報のプライバシーとセキュリティを保護するための基準を定めた米国連邦法です。この規則は、保護された医療情報(PHI)の使用と開示を規定する「プライバシー規則」と、電子PHIの機密性、完全性、可用性を保護するための具体的な要件を定めた「セキュリティ規則」で構成されています。

医療提供者やその業務提携先など、PHI を取り扱う組織は、HIPAA コンプライアンスを達成するために、管理的、物理的、技術的なセーフガードを実装し、適切なトレーニングとリスクマネジメントを実施する必要があります。

関連コンテンツ
DSPM:必要ですか?
データ・セキュリティに対する5つの主要なアプローチと、各データ・セキュリティ・アプローチのユースケースおよびアプリケーションをご紹介します。
2024年のデータとAIの保護CISOが知っておくべきこと
クラウド環境におけるデータの発見、分類、保護、管理にデータセキュリティの最新技術がどのように役立つのか、データセキュリティの専門家とともにご紹介します。
DSPMとDDRによるデータ・ランドスケープの保護
データセキュリティリスクの先取りデータ・セキュリティ体制管理(DSPM)とデータ検知・対応(DDR)が、どのようにセキュリティ・ギャップを埋め、セキュリティを強化するのかについてご紹介します。
DSPMとDDRのバイヤーズ・ガイド
クラウド・データ・セキュリティ・プロバイダーに何を求めるべきか、DSPMとDDRが組織のセキュリティ態勢をどのように大幅に強化できるかをご紹介します。
前へ クラウドデータ保護とは?

最新ニュース、イベント情報、脅威アラートを配信