はじめに

デジタルトランスフォーメーション(DX)が加速する現代において、企業の競争力の源泉としてデータの戦略的活用が不可欠となっています。しかし、データ利活用の推進にあたっては、法令順守をはじめとするリスク管理が不可欠であり、その実現のためには、意思決定プロセスの最適化や運用効率の向上が欠かせません。

多くの企業が直面する最大の課題は、重要データの散在と管理不全です。個人情報や営業機密などの高価値で機密性の高いデータが組織内で体系的に把握・管理されていない状況は、単なるコンプライアンス違反にとどまらず、企業存続を脅かす重大なリスク要因となっています。

適切なデータ管理体制の不備は、法令違反による罰則や、情報漏洩による信頼喪失、さらには企業価値の毀損まで、その影響は広範囲に及びます。そのため、企業は包括的なデータの把握と管理の仕組みを構築し、以下の三つの観点からデータ管理を強化する必要があります。

  • データの分類と重要度評価に基づく体系的な管理体制の確立
  • セキュリティとプライバシーを考慮した統合的なデータ保護策の実装
  • 全社的なデータ管理ルールの標準化と継続的な対応、それらを実現する自動化

これらの取り組みを通じて、企業はリスクを最小化しながらデータの潜在価値を最大限に引き出し、DX時代における持続的な競争優位性を確保することができます。

1. DSPM (Data Security Posture Management)とは


2023年に、米ガートナー社によって「Data Security Posture Management」(DSPM)という概念が発表されました。これをより簡単に表現すると「保有データとその性質、それらのデータへのアクセス権の状態、およびデータの使用方法を可視化し、潜在的なリスクと脆弱性を特定して適切な対策を実装する」包括的なアプローチと言えます。

DSPMの概念には、組織の機密データを不正アクセス、開示、改ざん、または破壊から保護するための手段として、保有データ可視化、データ分類、データ損失防止、監視などのさまざまな機能が含まれています。

2. なぜ今、DSPMが必要なのか(DSPMが求められる背景)

企業のデータライフサイクル全体においては、明確な管理方針と実践的な運用手順を確立し、社内外からの様々な脅威に備える必要があります。具体的には、内部の関係者による情報の意図的な盗難や漏洩、社内外からの不正アクセスやサイバー攻撃による情報の流出・破壊の拡大の防止です。
自動化された包括的なデータ管理支援ツールであるDSPMが注目を集める背景には、以下のような要因が挙げられます。

データ量の爆発的増加

データの利活用に伴う膨大なデータ流通に対し安全性確保が求められる

JETROの「EUデジタル政策の最新概要(2021年10月)」によると、欧州委員会(EC)が欧州データ戦略で引用した試算によれば、2018年~2025年までの間に世界のデータ量は33ゼタバイトから175ゼタバイトへと5.3倍に拡大すると予測しています。この膨大なデータは、多くの企業が顧客に対してより良いサービスを提供したり、分析を加速させるための手掛かりとなります。このようなパラダイムシフトを機に、EUは、ECと加盟国、欧州企業が適切な政策と投資を実施することにより、データ分野で世界的リーダーになることを目指しています。
また、EUに限らず、各国・各組織においてデータを囲い込んだり、データ保護の目的で規制したりとデータの取り扱いが重要視されています。データの流通の考え方は、各国で異なるものの、その違いを認識して情報を保護、管理、有効活用することが求められています。

  • 参考)ECが提示している欧州データ戦略による 8 つの課題
課題内容
データの可用性・現時点では AI 開発を含め、革新的な再利用が可能なデータが不足。
・公的機関のデータの民間利用(G2B):高価値なデータセットは、EU 域内で同一条件で利用できない場合が多く、中小企業の負担に。
・民間企業保有データの他社による利用(B2B):企業間のデータ共有は不十分。経済的インセンティブや信頼の欠如などが原因。
・民間企業保有データの政府機関による利用(B2G):公的機関が利用できる民間データが不十分。
市場の不均衡・クラウドやデータ・インフラの提供が一部の大企業に集中。
・中小企業のデータへのアクセスと利用が限定的。
・少数の大規模オンラインプラットフォームが大量のデータを蓄積、データ保有の優位性を享受。プラットフォームのルールを自ら設定し、一方的にデータへのアクセスと利用条件を課すことが可能。
データの相互運用と品質・データ生成者と利用者がともに相互運用性の問題を指摘。
・セクター内、セクター間で、異なる情報源からのデータ連携が妨げられるため、互換性のある共通フォーマットやプロトコルが必要。
データガバナンス・経済、社会のデータ利用に関するガバナンス強化の必要性。
・欧州データ空間の実施には、既存の法的枠組みを基に、データ主導のイノベーションを可能にする組織的アプローチと体制が必要。
データ・インフラと技術・供給面:クラウド・インフラとサービスのEU域外への高い依存度。
・需要面:欧州におけるクラウド利用率の低さ(企業、公的機関)。
個人の権利行使強化・一般データ保護規則(GDPR)等で認められた個人の権利行使(自身の情報に関する決定権の行使)を容易にするツールや基準の欠如。
スキルとデータリテラシー・ビッグデータ解析分野の人材不足。
・労働人材のデータ能力、リテラシーの低さ。
サイバーセキュリティ・より利用者に近い演算設備での「エッジ処理」増加に伴う新たなセキュリティリスクの浮上。

クラウドサービスの多様化

多様なクラウドサービス上に組織内のデータが分散化、リスク特定が困難に

SaaSの積極的な導入は様々な規模の企業において積極的に実施・検討されています。IPAの情報セキュリティ白書2024のクラウドサービス利用状況の調査によると、各種のクラウドサービスを導入済みと回答している企業の比率は過半数を占めおり、近年のSaaSの利用用途として、各種データの保管、共有、コミュニケーション支援を中心に活用されているようです。

  • 例)多様なSaaSサービス
  • ファイル保管・データ共有
  • 電子メール
  • 給与、財務会計、人事
  • スケジュール共有
  • データバックアップ
  • eラーニング
  • 営業支援
  • 取引先との情報共有
  • プロジェクト管理
  • システム開発、Webサイト構築
  • 受注販売
  • 生産管理、物流管理、店舗管理
  • 購買
  • 認証システム
  • 課金・決済システム
  • 研究・開発関係

上記のようなSaaSを積極導入する一方で、企業が抱えるリスクとしては以下のようなものがあり、効果的なデータ保護が課題となってきます。

  • セキュリティポリシーの統一的な適用が困難になるリスク
  • 可視性の確保が困難になるリスク(異なるクラウドサービス間でのデータの流れを把握できない、重要なデータが保護されていない等)
  • コンプライアンスリスク(業界規制やプライバシー法への準拠)

特にデータの所在が十分に把握できないと、適切な対策を実施することができず、インシデントが発生して初めて所在を把握する事態になりかねません。

セキュリティ人材の不足

DX推進によりサイバーセキュリティ専門外の担当者にもセキュリティ対策への貢献が求められる

情報セキュリティ人材は依然として不足しており、IPAの情報セキュリティ白書2024でも、国内のサイバーセキュリティに関わる人材は質的にも量的にも不足していると指摘しています。ISC2,Inc.が発行した「ISC2 Cybersecurity Workforce Study 2023」の調査によれば、日本国内のサイバーセキュリティ人材は2023年現在で約48万人存在し、約11万人が不足しています。

特に、DX推進においては、セキュリティを専門としない業務を担当しながらも、セキュリティ知識やスキルを持ちセキュリティ対策に貢献する「プラス・セキュリティ人材」が求められています。その一方で、サイバーセキュリティ機能をサイバー専門家以外が直接利用するというリスクが懸念されており、テクノロジーとトレーニングを組み合わせて最低限の効果的な専門知識を構築する必要があります。複雑化するプライバシーコンプライアンスやセキュリティ要件に対して、自動化などを通じて、専門知識の限られた状況で包括的なアプローチのできるツールは、ますます重要となってきます。

参考)人材不足の背景の要因
  • 情報セキュリティのカバーする技術領域の広がり
    • サイバーセキュリティ、各種法や規制への順守に加えてAIシステムとそのセキュリティ対応が求められている。新しい技術領域に対応できる人材育成が望ましいが、育成に時間を要する。
  • セキュリティ人材が求められる社会領域の広がり
    • IT・セキュリティベンダー等の専門的なセキュリティ人材、企業情報システム部門等のセキュリティ人材に加えて、DX 推進における「プラス・セキュリティ人材」が求められている。
  • 需要と供給のミスマッチ
    • 企業においては、組織内で必要とする情報セキュリティに関わる人材や職務を正確に表現ができておらず、人材の適材化/適所化がうまくできてない。

コンプライアンス要件の厳格化(GDPR、改正個人情報保護法など)

継続的に制定・追加・修正される法規制に対応していくことが求められる

GDPRは2018年に施行が開始し、2022年からさらに厳格な運用が開始されましたが、2023年以降もそれが継続されています。GDPR違反の制裁金は増加傾向で、制裁の根拠は合法性・公平性・透明性等の基本原則違反が多くなっています。
一方、欧州委員会(EC:European Commission)のデジタルデータ戦略では、欧州域内の自由なデータ流通、公平・公正なデータアクセスによる単一デジタルデータ市場を確立するとしており、以下のような法規制を整備しています。

  • 公平なデータへのアクセスおよび利用実現のためのデータ法(Data Act)
  • 公共団体の保有する一部データの機密性・プライバシーを保護し、研究開発等における安全な再利用を規定するデータガバナンス法(Data Governance Act)
  • 大規模オンラインプラットフォーム事業者の商慣行を公平・公正な競争の視点で規制するデジタル市場法(Digital Markets Act)
  • gatekeeper1のコンテンツ配信、情報開示、契約の透明性等に対する責任を規定するデジタルサービス法(DSA:Digital Services Act)

脚注1:gatekeeperとは次の3点の定量的な基準をすべて満たした企業:

  • 域内市場に影響を与える規模:加盟3カ国以上で中核プラットフォームのサービスを提供し、EEAでの直近の3会計年度で毎年の売上高が65億ユーロを超える
  • 利用する事業者から最終利用者への重要な経路の管理:直近の会計年度においてEU域内で毎月4,500万人以上の最終利用者が実際に利用しており、かつ、前会計年度においてEU域内に設立された1万社以上の事業者が実際に利用した中核プラットフォームを運営
  • 強固かつ持続的な地位の享受:前述の最終利用者数および事業者数の基準を直近の3会計年度満たしている

上記の他、業界規制やプライバシー法への準拠も加わり、企業で満たすべきコンプライアンス要件は複雑化しています。その結果、コンプライアンス要件の追跡と証明に関する対応も煩雑になる可能性があります。

3. 従来のデータ管理手法の限界

一般的に、多くの企業においては、従来より情報セキュリティ対策の一環として、データ管理が実践されています。しかし、従来のデータ管理手法では以下のような課題に対応できない可能性があります。

分散したデータの把握における課題

DXの加速に伴い、企業が扱うデータ量は爆発的に増加しています。同時に、多様なクラウドサービスの普及により、重要なデータの保管場所は急速に分散化しています。この状況下では、「どのデータがどこに存在するのか」という全体像の把握が極めて困難になる場合があります。

データの所在が不明確な状態では、データ関連リスクの正確な評価や効果的な対策の実施が著しく阻害されます。企業は自社のデジタル資産を適切に把握し、体系的なリスク管理体制を構築することが今日の競争環境では不可欠となっています。

データが動的に変化することによる課題

データは従来、静的で不変のものとして扱われてきましたが、現代のデータ環境は極めて動的かつ複雑化しています。多様なソースから絶え間なく流入するデータストリームにより、継続的な保管データ状況の把握、適切なアクセス権管理、厳格なコンプライアンス準拠の継続的監視が重要な課題となっています。

サイロ化された管理アプローチの課題

多くの組織では、部門や担当者ごとに異なるデータ管理プロセスや基準が存在し、一貫性のあるデータ管理の実現を阻害しています。この分断化された管理体制は、重要なデータ管理タスクの見落としを引き起こすだけでなく、組織全体のデータ管理状況を正確に把握することを困難にしています。結果として、データ資産の効率的な活用が妨げられ、組織のパフォーマンスや意思決定能力に悪影響を及ぼしています。

手動での管理における課題

データに対する正確な機密区分ラベリングはセキュリティ確保の要ですが、手動管理では様々な課題が生じます。担当者による見落としや判断基準のばらつきにより、適切な保護ポリシーが適用されないリスクがあります。また、膨大な作業量により機密区分ラベリング自体が十分に実施できないケースも少なくありません。このような状況では、情報分類の誤り、不適切なアクセス権限設定、データ保管場所の不適切な管理などが発生しやすくなります。その結果、データ漏洩リスクが高まるだけでなく、サイバー攻撃を受けた際の被害拡大にもつながりかねません。

コンプライアンスリスクにおける課題

GDPR、CCPA、およびその他の厳格なデータ保護規制に準拠するには、従来のアプローチでは不十分です。エクセルシートによる単純なデータ追跡や、システム間の連携が限られたマニュアル管理では、複雑な法的要件への対応に膨大な人的リソースを要し、完全な遵守さえ困難になっています。現代のデータガバナンスには、自動化され統合された包括的な管理システムが不可欠です。

データ利活用における課題

多くの企業は、膨大なデータを保有しながらも、それを単なる保管対象として扱い、真の戦略的資産として活用できていません。ビジネスインテリジェンスや予測分析に秘められた潜在価値が、未開拓のまま放置されているのが現状です。

この課題の核心には、「データが適切に利用可能な状態にあるのか」「安全に活用できる状態になっているのか」という不確実性があります。こうした不透明さが、データ駆動型意思決定への移行を妨げています。

具体的なリスクとしては、個人情報の不適切な利用による法令違反やブランドイメージの毀損、また営業秘密などの機密データの誤った取り扱いによる企業価値の低下が挙げられます。

企業が保有データを戦略的資産として最大限に活用するためには、セキュリティとコンプライアンスを確保したデータガバナンス体制の構築が不可欠です。適切に管理された環境があってこそ、データの真の価値を引き出し、ビジネス成長の原動力へと転換することができるのです。

4. DSPMユースケース(業種別)

本国内においての法規制への準拠は、国内のどの企業においても共通して対応すべき課題です。一方で、業種/企業毎に保有する情報や保護すべき情報は異なります。組織の保有するデータを可視化し、そのデータにおけるリスクを特定し、適切に管理する、といった一連の流れは、各組織特有のニーズにも柔軟に対応します。以下では、業種ごとのユースケースを紹介します。

IT企業

  • 開発環境でのソースコード管理
  • クラウドストレージの適切な利用
  • 顧客データの取り扱い

製造業

  • 設計図面や製造ノウハウの機密管理
  • グローバル拠点間のデータ共有
  • サプライチェーン全体でのセキュリティ確保

金融機関

  • 顧客の個人情報や取引データが複数のシステムに分散
  • 規制対応のための証跡管理が煩雑
  • クラウド移行に伴うデータガバナンスの複雑化

医療機関

  • 患者の診療データの適切な管理
  • 研究データと個人情報の区分管理
  • 部門間でのセキュアなデータ共有

5. OneTrust Data Discovery

OneTrust Data Discovery は、企業内のデータを幅広くスキャンして、個人情報や企業秘密情報など、事前に提示された条件に一致するデータを検出します。それらを、検出された場所やデータの特徴とともに通知し一元的に可視化します。
さらに、データマッピング等の OneTrust の他のモジュールと連携し、さらなる情報の構造化を促進し、そこから必要な是正対応の効率化・自動化を行います。

5.1 特長

データディスカバリー&分類

AIによる自動データ分類

OneTrust では、大量の個人情報から機械学習の手法等を用いて、個人情報を特徴を抽出しモデル化した Athena AI というものを持っており、利用者が細かな検出条件の設定を行わなくても、それらしきものを一括で検出してくれる仕組みがあります。

40以上 のデータタイプに対応

OneTrustでは、データを保管する様々なツール・システムとの連携を容易にする仕組みを用意しています。(後述する機能詳細にリンク設定)また多くのファイル形式にも対応しています。

リアルタイムスキャン

OneTrustのData Discoveryは、確認したいタイミングでスキャンすることができます。この機能は、データ主体リクエストに応じる際に、役に立ちます。また、対象のシステムを最初にスキャンした後は、定期的にスキャンが行われるようにスケジュールを設定することができます。

カスタム分類ルールの設定

スキャン時の検出条件の定義としての分類ルールは、カスタマイズすることが可能です。条件として以下のようなものを追加することができます。その他、「最初にこの条件に合致したら次の条件」のような指定ができたり、「この条件とこの条件に合致したら」のような複数の条件も指定もできるため、より詳細に条件を設定することができます。

追加指定できる条件例

  • 日本人の代表的な苗字を列挙したリスト
  • 日本人の代表的な名前を列挙したリスト
  • 対象データの種類(文字列、数、日付)
  • 対象データの長さ
  • 指定範囲の日付
  • 正規表現

リスク可視化

カスタマイズ可能なダッシュボード

OneTrustでは、特定したリスクとそのリスクの対応ステータスを把握するためのダッシュボードが用意されています。一元的に可視化したい項目のみ表示させるようにカスタマイズすることも可能です。

リスクスコアリング

Data Discoveryの検出結果をもとに、データを分類します。その後の対応は、プライバシー保護対象か、データガバナンス対象か、セキュリティ対策対象か、により取るべき措置が異なります。対応すべき措置を可視化し、対応完了までを、リスクスコアリングすることも可能です。

トレンド分析

先述したダッシュボードやリスクスコアリングにより、組織内で特定されているリスクの傾向を分析することができます。また、このような傾向を把握することで効果的な対応策を組織全体で検討するのに役立ちます。

アラート設定

特定したリスクに対し、対応期限を設定することができます。この対応期限内に対応ができないと担当者にリマインダーメールを送信することができます。そのほか、評価を介してリスク特定をする場合は、評価に対する回答によってアラートを設定することができます。

自動ポリシー適用

テンプレートベースのポリシー設定

OneTrustのData Catalogの機能により、Data Discoveryでスキャンし分類されたデータを使用して、実用的なポリシーに変換して、潜在的なセキュリティとコンプライアンスの問題を発見することが可能となります。

OneTrustのData Catalogの機能により、Data Discoveryでスキャンし分類されたデータを使用して、実用的なポリシーに変換して、潜在的なセキュリティとコンプライアンスの問題を発見することが可能となります。

条件に基づく自動アクション

Data Discoveryで検出した結果に対し、特定の条件に合致したものに対しタグを付けることができます。このタグの付与は自動化することができます。タグによってデータを定義することで組織内のデータを整理・管理しやすくします。タグの適用だけでなく、スキャン結果に関する承認も条件を設定して自動化ができます。

ワークフロー設定

Data Catalogにおいて、データ用語集の用語承認プロセスを追跡することができます。

監査ログ

データポリシーを実装した後に、データポリシー違反に該当するかどうかをData Catalog上で確認することができます。また、Data Catalogのファイルレコードには、監査情報として、対象ファイル検出日等が登録されます。その他、関連するタスクを設定できるので是正措置が行われた場合の記録もOneTrust上に残すことができます。

インシデント対応

異常検知

組織内で保護されていると思っていたデータが、実は外部と共有されていたということが、Data Discoveryを利用することで確認することができます。このように異常検知としての使い方も可能です。

自動封じ込め

OneTrustのData CatalogとIntegration WorkFlowを使い、データポリシーで特定された違反をトリガーとして、対象のファイルの削除といった対応を自動化することができます。

インシデントワークフロー

OneTrustのIncident Managementを使い、特定したリスクをインシデントに追加することができます。Incident Managementでは、インシデントワークフローに沿った対応を記録し、管理することができます。

レポート作成

OneTrustのIncident Managementでは、インシデント記録からPDFレポートの出力が可能です。これにより特定のインシデント記録に関連するシステムや属性を可視化することができます。

さいごに

データは企業の最も価値ある資産であると同時に、最も大きなリスク要因でもあります。OneTrust Data Discoveryは、データリスクの可視化と効率的な管理を実現し、お客様のコンプライアンス対応と戦略的データ活用の両立をサポートします。

ご興味のある方は、ぜひ弊社までご相談ください。

OneTrustの構築および導入支援サービスの詳細に興味のある方は

お気軽にお問い合わせください

サービスに関するお問い合わせおよびご相談はこちら