【新連載】ビッグデータ利活用の表舞台に立つプライバシーとセキュリティ：ビッグデータ利活用と問題解決のいま（1/2 ページ）

企業や組織がクラウドやビッグデータ、モバイルなどのITトレンドをビジネスに取り込んでいく中で、避けて通れないのが、プライバシーやセキュリティへの対応だ。今後想定される課題や対応に立ち向かうためのヒントをお届けしていく。

[笹原英司，ITmedia]

「ビッグデータ利活用と問題解決のいま」のバックナンバー

第1回：ビッグデータ利活用の表舞台に立つプライバシーとセキュリティ

第2回：IoTとビッグデータがもたらす社会変革とクラウドセキュリティ

第3回：ソーシャルメディアで加速するビッグデータ利活用とガバナンス課題

第4回：セキュリティ／リスク管理から見た米国のオープンデータ戦略

第5回：新規事業創出で注目されるクラウドストーミング、利点とリスクは何か

第6回：世界や米国にみるセキュリティ人材の育成術と日本の課題

第7回：健康・医療分野におけるビッグデータイノベーションの動向

第8回：研究開発を牽引するクラウドとビッグデータ、リスク管理をどうするか

第9回：米シカゴにみる、市民参加で地域課題の解決を目指すスマートシティの最前線

第10回：ボストンに学ぶ市民参加型コミュニティの管理と人材の役割

　クラウド、モバイル、ビッグデータなどITの新潮流が台頭しつつある今、エンタープライズ（企業、公共）ではこうした潮流をビジネスに取り入れる動きが加速している。そこで重要な課題となるのがセキュリティである。多種多様な情報やデータを安全かつ適切に利用することが、ビジネスの成否を左右する要因になるだろう。

　本連載では新潮流の動きを踏まえつつ、想定され、かつ、既に顕在化しているセキュリティリスクを提起し、エンタープライズが対処すべき点をひも解いていく。

プライバシー／セキュリティをビッグデータ推進の要と位置付けた米国政府

ホワイトハウスの報告書

　2014年5月1日、米国ホワイトハウスは「BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES」と題する報告書を公表した（関連PDF）。

　スノーデン事件などを受けて、同年1月17日にオバマ大統領が国家安全保障局（NSA）監視プログラムの改革案を発表した時、ビッグデータとプライバシーに関する見直し作業を90日間で行うようワーキンググループに指示し、その結果を取りまとめたものである。

　報告書の全体構成としては、最初にビッグデータが個人にもたらす価値や機会と課題を整理し、政府のオープンデータとプライバシーにおける取り組みを示した上で、公共部門および民間部門におけるデータ管理の観点からビッグデータの利活用状況と課題点を取り上げ、さらに、ビッグデータ政策フレームワークの方向性を検討して、結論および提言を行っている。

　オバマ政権は、2012年3月29日に「Big Data Research and Development Initiative」（関連PDF）を発表し、大統領行政府科学技術政策局（OSTP）および関係省庁を中心に、教育・人材開発、国防・軍事、健康医療、エネルギー、地質調査などの領域で、ビッグデータに係る研究開発支援策を推進してきた。今回の報告書では、ビッグデータ利活用の推進のために必要な制度の見直しを行うと同時に、データのオーナーである個人の間で懸念されるプライバシーや情報セキュリティの課題解決まで大きく踏み込んだのが特徴である。

ビッグデータプライバシー／セキュリティを捉えるフレームワーク

　筆者は、米国ワシントン州に本部を有する非営利組織「クラウドセキュリティアライアンス（CSA）」のビッグデータワーキンググループ（BDWG）の活動に、2012年5月の立ち上げ当初からボランティアとして参画してきた。

　CSAは、クラウドコンピューティングのセキュリティを実現するために、ベストプラクティスを広め、推奨することを目的としたグローバル組織である。

　BDWGでは各国／地域のセキュリティ専門家やユーザー企業が、オンライン／オフラインを介してつながり、クラウド環境上で展開されることが多いビッグデータサービスに関わるプライバシー／情報セキュリティ管理の国際標準化の推進を目指して、専門家／ユーザーに対するヒアリング、ユースケース／ベストプラクティスの収集・整理・分析・ドキュメント化などを行っている（立ち上げ当初より米国富士通研究所のスリーランジャ・ラジャン氏がWG幹事を務め、eBayの二ール・サンダーサン氏とVerizonのウィルコ・ヴァン・ジンケル氏が副幹事を務めている）。

　CSA BDWGのアウトプットは、ユースケース／ベストプラクティスのナレッジベースを基に構築したセキュリティ／プライバシーにおける10大脅威（図を参照）など、独自のフレームワーク上で検討した結果を反映させたものである。10大脅威をさらにまとめると、「インフラストラクチャセキュリティ」「データプライバシー」「データ管理」「完全性と事後対策的なセキュリティ」の4つに集約される。

出典：Cloud Security Alliance Big Data Working Group「Expanded Top 10 Big Data Security and Privacy Challenges」（2013年4月）を基に、日本クラウドセキュリティアライアンス・ビッグデータユーザーワーキンググループが作成（2014年5月）

　例えば、ホワイトハウスの報告書では、民間部門におけるビッグデータ管理の具体例として、オンラインターゲティング広告に代表されるデジタルマーケティングを挙げている。

　これを上図に照らすと、「インフラストラクチャセキュリティ」ではノンリレーショナルデータベース（例：NoSQL）を利用したソーシャルデータのリアルタイム分析、「データプライバシー」では匿名化／暗号化された個人データを対象とするプライバシー保護データマイニング、「データ管理」ではチャネルやデバイス毎のログ管理、「完全性と事後対策的なセキュリティ」ではオンライン投稿のリアルタイム監視などが、エンタープライズレベルのプライバシー／セキュリティ課題に関わってくる。

　残念ながら日本企業の場合、IT部門の管理者も、マーケティング部門のデータサイエンティストも、ビッグデータセキュリティ固有の知識／ノウハウを習得できる機会がほとんどないのが実情だ。加えて、デジタルマーケティングではソーシャルデータ分析など外部のクラウドサービスを利用したツールが多く、問題が顕在化しても自社だけでセキュリティをコントロールできない可能性が高い。