データは、テスト、研究、アルゴリズムのトレーニングに必要です。しかし、プライバシー規制とデータ セキュリティ プロトコルにより、企業は収集したデータでこれらを実行することはできません。このようなデータが漏洩した場合、企業は多額の経済的損失と評判の低下のリスクにさらされます。ここで、匿名化されたデータが役立ちます。
データを匿名化すると、データセットから直接的および間接的な識別子が削除され、情報を個人まで追跡できなくなります。ただし、手動による匿名化は時間がかかり、エラーが発生しやすくなります。企業は自動化ツールを使用できますが、すべてのツールが同等のレベルのプライバシーを提供するわけではありません。さらに悪いことに、特定の手法ではデータの使いやすさが低下し、目的に適さなくなります。
この記事では、データの匿名化の最も一般的な手法について説明し、データセットの品質を維持する方法について説明します。まずは、匿名化されたデータの定義から始めましょう。
Synthoガイド
合成データ生成のガイド
データの匿名化とは何ですか?
データの匿名化とは、削除、マスキング、または置換を意味します データから個人を特定できる機密情報(PII)このプロセスにより、企業はプライバシー規制に準拠できるようになります。 テストにデータを使用する、分析、調査など。
PII は、識別子を介して直接的または間接的に機密データを公開する可能性があります。 直接識別子 個人を指し、次のようなものが含まれます。
- 氏名
- 固有の識別番号(社会保障番号、証明書、免許番号など)
- パスポートスキャン
- 位置情報
- 生体認証識別子(指紋、音声サンプル、顔IDなど)
- 労働組合の会員カード
- 保護された健康情報(医療記録、治療履歴など)
間接識別子 他の情報と組み合わせることで個人を特定できる場合があります。このデータの例には以下が含まれます。
- 生年月日
- 郵便番号
- 連絡先情報(メールアドレス、電話番号またはFAX番号、Web URLなど)
- IPアドレス
- 車両情報
- 性同一性
- 教育情報
- 製品のシリアル番号
- 取引履歴
- 雇用データ
- 個人的な通信(書簡)
組織が毎日収集する情報量を考えると、識別子の取り扱いは非常に困難です。
機密情報はさまざまな業界で発見される
あらゆる分野の企業 誰かの身元を明らかにし、結果的にプライバシー法に違反する可能性のある間接的な情報を蓄積します。以下にいくつか例を挙げます。
- 金融会社 アカウント識別子、クレジットカード番号、顧客の支出パターンを保存します。
- 医療関係者 健康状態、治療、保険の詳細に関する情報を収集します。
- マーケティング担当者 購入履歴に関する情報や豊富な人口統計情報を扱います。
- メーカー 従業員の詳細、サプライヤー情報、生産量、メンテナンス ログを記録します。
- 物流・運送会社 顧客の配送先住所、支払いデータ、ドライバーの詳細を保存します。
PII データの量が増えるにつれて、コンプライアンス違反に伴うリスクも増加するため、多くの企業が匿名化ツールへの投資を増やしています。
テストデータ管理に関するウェビナーをご覧ください
なぜデータを匿名化する必要があるのですか?
データの匿名化により、企業は高品質のデータを自由に使用、共有、販売できるようになります。そのメリットをすべて見ていきましょう。
- データプライバシー法の遵守: データプライバシー規制では、PIIの収集、保存、共有、管理に関するルールが義務付けられています。データの匿名化と 匿名化 厳格なデータ プライバシー規制に準拠するには、コンプライアンスが不可欠です。EU の GDPR やカリフォルニア州の CCPA などの規制では、違反に対して厳しい罰則が課せられます。データが匿名化されていることを保証することで、高額な罰金を回避し、法的に妨げられることなく業務を継続できます。さらに、規制コンプライアンスは、罰金を回避するだけでなく、ユーザーのプライバシーを尊重する文化を育むことでもあり、企業の評判を高めることにもつながります。
- コンプライアンスコストの削減: 自動匿名化ソフトウェアを使用すると、標準化された手法をデータセット全体に一貫して適用できます。これにより、プライバシー コンプライアンスのコストと、規制違反に対する罰金のリスクがさらに軽減されます。自動化ソリューションにより、手作業による監視と労力の必要性が最小限に抑えられ、運用コストが削減されます。標準化された手法により、コンプライアンス対策が均一に適用され、コストのかかる違反やコンプライアンス違反につながる可能性のある人為的エラーのリスクも軽減されます。したがって、自動匿名化ツールに投資することで、長期的に大きな節約を実現できます。
- データ侵害の影響の軽減: 平均的なデータ侵害のコストは上昇している 3.62 年の 2017 万ドルから 4.45 年には 2023 万ドルに増加すると予測されています (IBM レポートによる)。データセットを匿名化することで、攻撃者がデータベースにアクセスした場合の潜在的な被害を大幅に軽減できます。匿名化されたデータは、攻撃の標的となることが多い個人識別情報がないため、サイバー犯罪者にとって価値が低くなります。侵害が発生した場合でも、侵害されたデータから個人情報が漏れることがないため、影響は最小限に抑えられます。潜在的な被害が軽減されると、侵害後の法的費用や修復費用も削減され、企業の財務状況がさらに保護されます。
- 個人情報の保護強化: 匿名化されたデータセットのみを使用することで、データへの不正アクセスや悪意のある誤用を防ぐことができます。リスクは、悪意のあるエージェントや、ソフトウェア開発者、テスター、データ アナリスト、サービス プロバイダーなど、データを日常的に扱う人々から生じ、意図せずデータを侵害する可能性があることに注意することが重要です。データを匿名化することで、内部の脅威や偶発的なデータ漏洩に関連するリスクを軽減できます。この方法は、機密情報を外部からの攻撃から保護するだけでなく、内部での誤った取り扱いからも保護します。これにより、より安全なデータ環境が構築され、データの取り扱いと処理のすべての段階で PII が保護されます。
- 運用効率の改善: 広範囲な保護対策の必要性を減らすことで、従業員がデータにアクセスしやすくなります。信頼性の高いプロセスは、実際に製品開発サイクル、研究、および業務運営をスピードアップします。データ使用の制限が少なくなると、従業員はより自由かつ効率的にデータにアクセスして活用できるようになり、イノベーションのスピードアップと意思決定プロセスの迅速化につながります。アクセス性が向上すると、生産性が大幅に向上し、より機敏で応答性の高い業務運営が可能になり、最終的には市場での競争力が高まります。
- 顧客の信頼の向上: データ漏洩、民事訴訟、コンプライアンス違反による罰金などによって企業の評判が傷つけられなければ、顧客がサービスを利用したり、個人情報を共有したりする可能性は高くなります。顧客の信頼を築き、維持することは、長期的な成功にとって非常に重要です。顧客は、自分のデータが責任を持って安全に取り扱われていることを知ると、サービスや製品を利用する可能性が高くなります。この信頼は、顧客ロイヤルティの向上、顧客維持率の向上、全体的なブランド イメージの向上につながります。
- 強化された共有とコラボレーション: 匿名化により、プライバシー規制に違反することなく、従業員、ビジネス パートナー、その他の第三者とデータを安全に共有できます。この機能は、データ共有を必要とする共同プロジェクト、パートナーシップ、研究イニシアチブに特に役立ちます。匿名化されたデータは、プライバシーが侵害される可能性を減らしながら、さまざまな部門や組織間で共有できるため、より効果的で協力的な取り組みが可能になります。また、データ共有契約の遵守と共同作業の全体的な品質も向上します。
- 追加の収益源: 匿名化ツールを使用することができます データマーケットプレイスを構築する 収益化の目的のため、多くの企業は高品質の テスト用のデータ、AIアルゴリズムのトレーニング、研究など。例えば、当社のプラットフォームのおかげで、 エラスムス医療センターは医療・医学研究企業に合成データを販売しているデータ マーケットプレイスを作成すると、新たな収益機会が生まれるだけでなく、データ資産の価値も最大化されます。匿名化されたデータセットを提供することで、データに基づく洞察を求めるさまざまな業界のニーズに応えることができます。収益源の多様化により、会社の財務実績と回復力が大幅に向上します。
プライバシー要件は特定の管轄区域やセクターによって異なるため、匿名化ツールは複数の規制を満たす必要があります。高度な匿名化ソリューションは、さまざまな法的基準に対応するように設計されており、さまざまな地域でのコンプライアンスを確保するためのカスタマイズ可能なオプションを提供します。
データの匿名化に関する規制要件
ほとんどのプライバシー規制には、GDPR、CCPA、CPRA、HIPAA と同様の要件が含まれています。遵守する必要があるデータ保護法は、ビジネスの所在地とユーザーの居住地によって異なります。
- 一般データ保護規則: GDPRは、欧州連合(英国はGDPRに準拠)における包括的なデータ保護法です。 英国GDPR企業は、EU(または英国)市民の個人データを収集、保管、共有、処理する場合は、これに従わなければなりません。
- 医療保険の携行性と責任に関する法律: HIPAAは米国の医療提供者、クリアリングハウス、ビジネスプロバイダーの健康情報管理を規制しています。具体的には、 HIPAA(プライバシー規則) 個人情報の使用、開示、保持の条件を規定しています。また、セーフ ハーバー方式や専門家による判定方式など、データの匿名化に許容される方法も規定しています。
- カリフォルニア州のプライバシー法: この カリフォルニア州消費者プライバシー法(CCPA) と カリフォルニア州プライバシー権法(CPRA) カリフォルニア州居住者の個人情報の収集と使用に関する追加のプライバシー規則を制定します。
すべての企業や起業家は、あらゆる情報を取り扱う際にこれらの厳格な義務を遵守する必要があります。ただし、 GDPR, HIPAA, カリフォルニア州のプライバシー法 匿名化されたデータは除外します。その通りです。個人にまで遡れる情報が欠けているデータセットは、この規制の対象外となります。
データが規制されないよう保証するには、個人がデータを再識別できないように PII を削除する匿名化手法を採用する必要があります。
データを匿名化する方法
私たちは従います セーフハーバー方式 匿名化されたデータセットのコンプライアンスを保証するためです。この方法では、すべての直接および間接の識別子(合計 18 種類)を削除または変更する必要があります。組織が継続的なデータ匿名化プロセスを確立する方法は次のとおりです。
1. データを整理する
匿名化は、すべてのアプリケーション、データベース、テーブルを徹底的に監査することから始まります。収集されるデータ、そのデータがどのように保存されるか、またどのくらいの期間保持されるかを理解する必要があります。組織内のすべてのデータ ソースとそのフローのマップを作成します。
この時点で、説明責任を確実にするために、関係者に特定の種類のデータの所有権を割り当てる必要があります。コンプライアンスを維持するために定期的に監査を実施します。
2. データセット内の個人情報を検出する
PII やその他の機密データを含むすべてのデータセットを特定します。次に、このデータを非機密データ、直接および間接の識別子、企業情報、準拠データなどのさまざまなグループに分類する必要があります。
管理を効率化するために、企業は PII を識別して処理するためのポリシーも確立します。セキュリティを強化するために、規制要件とビジネス ニーズに基づいて、さまざまな種類のデータにアクセス制御ルールを適用します。
3. タグ識別子
データが分類されたら、その機密性と種類を示す適切なメタデータでタグ付けする必要があります。標準化されたタグ付け規則を実装して、すべてのデータセットの統一性を確保し、匿名化プロセスを効率化します。
4. 匿名化方法を選択する
データ ユーティリティの要件や規制ルールなどのニーズに基づいて、匿名化手法を選択します。手法はプライバシー保護の点で異なり、使いやすさにもさまざまな影響を及ぼします。
たとえば、仮名化技術は、データ構造にほとんど影響を与えずに、個人情報を仮名またはコードに置き換えます。ただし、熟練した技術者であれば、この情報を再識別することができます。より高度なツールを使用すれば、プライバシーや使いやすさを損なうことなく機密データを置き換えることができます。
データベースレベルおよび列レベルでデータを匿名化できます。
データベースレベルの匿名化
データベース レベルの匿名化の場合は、テーブルをリレーショナル データベースからワークスペースの匿名化セクションにドラッグするだけです。
列レベルの匿名化
より詳細なレベルまたは列レベルで匿名化を適用するには、テーブルを開き、匿名化する特定の列を選択して、モッカーを簡単に適用します。直感的な構成機能を使用して、データ保護プロセスを合理化します。
5. データセットを匿名化する
選択した匿名化手法を選択したデータセットに適用します。匿名化は、1 回限りのタスクではなく、反復的なプロセスとして考える必要があります。サンプル データセットをいくつか選択することをお勧めします。最初の匿名化の後、続行する前に結果を確認する必要があります。
6. 結果を検証する
匿名化されたデータがビジネス要件を満たしているかどうかを確認するには、そのデータを評価する必要があります。レビューには、データ所有者やその他の関係者を関与させる必要があります。検証プロセス自体には、いくつかの手順が含まれます。
- すべての識別子が削除または置き換えられたことを確認します。
- 残りのデータ ポイントの組み合わせに基づいて再識別の可能性を評価します。
- 匿名化された情報が元の詳細レベルと正確さを維持していることを確認します。
- 重要な記録やファイルが失われたり破損したりしていないことを確認してください。
- データ内の関係性とパターンが保持されているかどうかを確認します。
当然のことながら、これらすべてを手作業で行うのは面倒で、時間がかかり、費用もかかります。さらに、これを手作業で行うと、時々エラーや不一致が発生し、識別リスクが高まります。そのため、組織は自動匿名化方法を使用します。
スマートなデータ匿名化
実のところ、PII 削除のほとんどの手法には脆弱性が残っており、悪意のある人物がこれを悪用してデータを個人にまでさかのぼることができます。他の手法では、データの統計的正確性が低下し、高度な研究や AI トレーニングに使用できなくなります。
Synthoのスマート匿名化技術 プライバシーや品質を犠牲にすることなく、手作業を自動化するために作られています。 高度なAI搭載スキャナー テーブル、データベース、その他のソース全体で PII を識別します。
識別されると、プラットフォームは機密情報を模擬データに置き換えます。同時に、当社のエンジンは一貫したマッピングを維持し、参照整合性とビジネス パターンを維持します。
それだけではありません。当社のソフトウェアには、匿名化プロセスを強化する追加機能があります。
- データの充実 匿名化されたデータセットに行と列を追加できるため、より大規模で包括的なテスト データセットを簡単に作成できます。
- サブセット化 テスト用のより小さなデータセットを作成し、ストレージと処理リソースへの負担を軽減するのに役立ちます。
- ルールベースの柔軟性 データをさまざまなデータ形式、構造、シナリオに適応させることができます。
- データクレンジング 不一致を修正し、欠落した値を埋め、破損したデータを削除します。
Syntho は手作業のほとんどを自動化し、機密データが失われる可能性を減らし、元のデータの品質を維持します。
大規模な自動データ匿名化
プライバシー規制に準拠し、機密情報を保護し、データの使いやすさを維持するためには、匿名化が必要です。識別子を削除またはマスキングすると、運用効率が向上し、セキュリティ リスクが軽減され、運用コストも削減されます。ただし、ほとんどの企業にとって、手動による匿名化は非効率的すぎます。
Synthoのスマート匿名化技術 データセット全体の PII の匿名化を自動化します。AI を使用して機密情報を検出し、ビジネス ルールに基づいて模擬データに置き換えます。その際、データの元の品質は維持されます。
匿名化プロセスを改善し、コンプライアンスを確保したいですか? デモをご希望の場合はお問い合わせください.
データ匿名化に関するよくある質問
データの匿名化技術には、編集、削除、仮名化、摂動、サブサンプリングが含まれます。編集では機密情報が隠蔽され、削除では識別可能なデータが削除され、仮名化では識別子がコードに置き換えられ、摂動ではデータにノイズが追加されて値が隠され、サブサンプリングではデータのサブセットのみが使用されます。
匿名化されたデータでは、個人が特定されないように、直接的および間接的な識別子が削除または置き換えられます。匿名化されたデータでは、高度なアルゴリズムを使用して機密情報を変更または削除し、個人が再特定されないようにしています。 合成データ 実際の個人へのリンクなしで元のデータセットの構造とプロパティを複製した新しく生成されたデータです。
HIPAAの限定データセットには、研究、公衆衛生、医療業務のために共有できる識別可能な医療情報が含まれていますが、データ使用契約に署名した組織とのみ共有できます。対照的に、匿名化されたデータには識別子がなく、 HIPAA、GDPR、またはその他のプライバシー法によって規制されているため、自由に共有できます。
あなたの 合成 データガイド 今
合成データとは何ですか?
システムを教えてください。
なぜ組織はそれを使用するのですか?
開始するには?
ニュースレターに登録する
合成データの最新ニュースを常にチェック