モバイルデータ収集での課題(2024年9-10月号)

  2. モバイルデータ収集での課題(2024年9-10月号)

モバイルデータ収集での課題(2024年9-10月号)

マシュー・ラスムッセン[*]

2024年9月-10月web特別版

 パーソナルデバイス上での仕事のコミュニケーションの拡大と多様化により、従業員がいつ、どこでビジネスを行うことができるか、いかに迅速に仕事をすることができるかについて、企業が活用できる選択肢が拡大している。また、それに応じてデータガバナンスとコンプライアンスに関する新たな課題も生じている。

 米司法省は3月、個人用デバイスに関する企業データの所有と管理に関する新たな指針を発表した。組織は現在、個人デバイス上のすべての企業データに対して責任を負っている。これには、個人デバイス持ち込み(BYOD)方針に該当するデータや、すべてのメッセージングアプリ上のすべての企業データが含まれる。

 そのようなデータを収集する最大の課題は、メッセージングアプリからのデータタイプに至る多様性にある。企業は、膨大な量のモバイルデータやデータタイプをどのように分類し、監視し、保存し、分析するかを決定する必要がある。しかも、このデータタイプのリストは静的なものではない。新しい仕事の効率化やメッセージングのアプリケーションが毎年登場し、企業が評価しサポートする必要のあるデータを増やし、それによってリスクを増やしている。

 調査に応じて必要なプラットフォームのデータを適切に保存しないと、法的トラブルや多額の罰金が科せられる可能性がある。法律を遵守するには、企業はモバイルデータを収集・分析する計画を考案し、特定のメッセージをどのように扱うかを確立する必要がある。その結果、モバイルデータガバナンスは、かつてないほど資源集約的、複雑かつ機密性の高いものになっている。

 厳密な収集戦略の鍵は、対象となる日程、対象者、アプリケーションを明確にすることである。この情報は、企業がどの収集ツールを使用すべきか、どの方針を実施すべきか、コストを削減し、時間を節約し、プライバシーに関する倫理基準を守るために従業員と最も効果的にコミュニケーションをとる方法を決定するのに役立つ。

すべてのメッセージを同じに扱うことの落とし穴

 モバイルデータ収集と分析を成功させるには、さまざまなファイル形式をすべて取り込んで、それらを単一のメタデータ形式に集約する方法を見つける必要がある。この種の統合がなければ、データの中のパターンや重要なシグナルは見逃されてしまうだろう。しかし、それは組織がすべてのアプリケーションを同じように扱うべきだということを意味するものではない。

 たとえば、絵文字はアプリケーションやオペレーティングシステムによって異なる。長年、アイホンから水鉄砲の絵文字を送ると、アンドロイドでは本物のピストルのように見えてきた。収集の観点からは、企業は、データタイプを適切に引き出してコンテクスト化するために、更新された絵文字ライブラリを含む、カスタマイズされた抽出戦略を確実に持っていなければならない。

 さらに、メッセージングプラットフォームにはさまざまなセキュリティメカニズムがあり、抽出とガバナンスをさらに複雑にしている。暗号化されていないSNS は、従業員がセルキャリアから情報を取得できるため、最も簡単に引き出せる。アイメッセージは次のレベルアップをするので、サードパーティのメッセージングアプリケーションは最大の抽出障害を示す。たとえば、ワッツアップはエンドツーエンドの暗号化を誇っており、シグナルはデータを収集、監視、保存できないように構築されている。

 メッセージングプラットフォームには、異なるデータ保持メカニズムもある。アプリケーションによっては、短期的なもの、つまり、セキュリティを促進するために一定期間後にメッセージが消滅するもの、チャットアプリケーションのデータを時系列的に削除して技術的な負荷を軽減するもの、メッセージを送信させない、または編集できるものなどがある。保持時間もプラットフォームによって異なる。たとえば、無料版のスラックでは90日後にメッセージが削除されるが、有料版のスラックではデータの廃棄時間をカスタマイズできる。

 企業は、法律順守を維持するために必要な企業データへのアクセスを確保するために、各アプリケーションに合わせた技術または方針を通じて、それぞれのものに対処する必要がある。この作業では、必要なチャットアプリケーションデータを対象とするさまざまなデジタルフォレンジックツールを調達し、データ収集が不可能な暗号化アプリケーションの使用を制限および監視するポリシーを作成する必要がある。

データ過剰収集のリスク

 規制要件の増大、従業員によるモバイルメッセージングの急速な採用、チャットアプリケーションおよび関連データタイプの増加により、企業は個人デバイスから前例のない量のデータを収集し、保存する責任を負うことになる。

 モバイルデータ収集の一般的なワークフローには、必要なデータにアクセスするためにデバイス全体から情報収集することが含まれていた。しかし、今日のスマートフォンでは、1つのデバイスにテラバイトのデータを保存できる。企業にとって、データを保存することは、サーバーやクラウドに多額の費用を支払うこと、電話を経由するのに必要な時間とリソースを費やすこと、そして従業員にデバイスなしでダウンタイムを経験させることを意味する。

 個人のデバイスからデータを大量に廃棄することは、企業データとともに個人データを保持するため、企業にもプライバシーやセキュリティ上の大きなリスクをもたらす。過剰に情報収集する組織は、配偶者へのメールや医療情報などの個人的で機密性の高いデータにアクセスする。倫理的な観点から、雇用主は従業員を犯罪者のように扱い、彼らのコミュニケーションのすべてを奪い取り、読むことをすべきではない。論理的には、データの過剰収集は、従業員の福利を損なうセキュリティ侵害(例、個人情報の盗難)につながり、発見された情報によっては、新たな訴訟や規制当局の調査、さらには評判のリスクへの扉を開く可能性もある。

効果的なデータ収集方針を策定する

 デジタルフォレンジックとeディスカバリツールは、収集時間とストレージ負荷を削減するために、データの狭い範囲のサブセットにアクセスして取り出すことができる。これにより、企業はデータセキュリティを改善し、プライバシーに関する懸念を軽減し、生産性を高く保つことができる。

 組織は、すべての関連するメッセージングアプリケーションとデータタイプに対応する適切な技術スタッフを採用して、それらがカバーされるようにする必要がある。企業はまた、リスクをさらに低減するための方針を策定することを検討すべきである。たとえば、承認されたメッセージングアプリケーションリストからシグナル を禁止し、モバイルデバイス管理ツールを使用して会社のデバイスで不正なアプリケーションを使用することをスキャンする組織がある。

 成功するモバイルデータガバナンスプログラムには、企業が所有するデータと抽出の制限に関する明確な所有権方針が含まれている。これらの方針に加えて、雇用主は、従業員のプライバシー基準を守りながら、データにアクセスする方法を明確かつ透明性をもって伝える必要がある。データ収集を単純明快にすることで、企業は従業員との信頼関係を築くことができ、重要な調査やコンプライアンス活動に協力する可能性も高まる。

 より多くの州が、法的および倫理的検討事項を橋渡しするプライバシー法を採択することが期待されている。カリフォルニア州(カリフォルニア州消費者プラバシー法を通して)と他の18州は、保護者プライバシーに関するプライバシー法を制定しているが、厳格さの度合いは様々である。現地の規制環境に関係なく、データ保管コストの上昇は、データ収集をより厳格にするさらなるインセンティブを提供する。

 厳密な収集戦略の鍵は、日付、対象者、アプリケーションなど、対象範囲を明確にすることである。この情報は、企業がどの収集ツールを使用すべきか、どの方針を実施すべきか、コストを削減し、時間を節約し、プライバシーに関する倫理基準を守るために従業員と最も効果的にコミュニケーションをとる方法を決定するのに役立つ。最も重要なことは、企業がデータガバナンス方針とモバイルデータ収集戦略を定期的に見直し、関連するすべてのメッセージングアプリケーションの評価とサポートを確実に行い、時間の経過とともにリスクを削減できるようにすることである。

トピックス
コンプライアンス、新興リスク、リスクマネジメント、セキュリティ

注意事項:本翻訳は“The Challenges of Mobile Data Collection ”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2024/09/05/the-challenges-of-mobile-data-collection) September 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
マシュー・ラスムッセンはモードワン創設者兼CEO。