データ ブローカーからデータベースを購入すると、企業のセキュリティ エグゼクティブに問題が生じる可能性があります。 ファイルをスキャンしてマルウェアを検出するツールはありますが、データベースに含まれるデータが正確であること、さらに重要なことに、適切な同意を得て取得されたものであることを自動的に確認する方法はありません。 その保証がなければ、これらのファイルは企業のセキュリティ コンプライアンスに脅威を与える可能性があり、企業が訴訟に発展する可能性さえあります。

次のシナリオを考えてみましょう。ビジネス ユニットのリーダーは、データ ブローカーからデータベースを購入する前に、徹底的なデュー デリジェンスを実施しました。 データは、組織のグローバル システム内に広く分散されています。 XNUMX か月後、法執行機関はデータ ブローカーに反対し、すべてのデータが不適切に取得されたと報告しました。 組織は現在、コンプライアンスの悪夢に悩まされています。

組織は、規制に準拠するために、そのデータをすべて削除する必要がある場合があります。 ただし、チームが最初にシステムにロードされたときにデータにタグを付けていなかった場合、追跡して削除することは困難です。 データが正常に追跡されたとしても、ペタバイト単位の他のデータと織り交ぜられて、もはや抽出できなくなっている可能性があります。

これに加えて、一部の規制当局は、「毒木の実」という法的概念を適用する可能性があります。 その教義は通常、次の場合に使用されます。 法執行機関 と非難される 捜査令状を適切に取得していない. 裁判官が彼らが実際に不適切な行動をとったことを発見した場合、果物の原則は、検索中に見つかった証拠だけでなく、検索で見つかったものの結果として見つかったものも除外します.

データの場合、厳格な規制当局は、企業がデータ ブローカーの情報を削除するだけでなく、そのデータを処理した結果の情報も削除する必要があると主張する場合があります。 つまり、そのデータに対して行われた分析も削除する必要があるかもしれません。

流れるデータを追跡する

データ コンプライアンスを複雑にするもう XNUMX つの大きな要因は、データ ブローカーから提供される情報のフォルダーが、長年にわたって行われた作業を反映していることが多いことです。 つまり、その多くは、ルールが異なる時間、場所、および垂直方向に起因することを意味します。

「 規制遵守の枠組み データ収集の通知と同意に関しては、「クリーン」ではないデータの膨大なサブセットを持っているデータ ブローカーがあり、そのデータを活用したい第三者に対して、それについての説明や保証を行うことができません」と、弁護士のショーン バックリーは言います。データのプライバシー問題を専門とする法律事務所 Dykema と協力しています。 「データ ブローカーのリスクは、データが「クリーン」かどうか、必要に応じてそれを証明できるかどうかにかかっています。」

ClearData の CISO である Chris Bowen 氏は、購入したファイルを扱う場合、データの追跡は非常に重要であると主張していますが、組織が最初から十分にタグを付けていなかった場合、それは非常に困難であり、不可能でさえあることが判明する可能性もあります.

「データがどこにあり、どこに流れているかを綿密に追跡する必要があります」と Bowen 氏は言います。 「データベース内の各フィールドのソースにタグを付ける必要があります。 ペタバイト単位の構造化データと非構造化データを介した一貫したリンクが必要です。」

Bowen 氏は、データフロー分析は通常の権限外であるため、ほとんどのセキュリティ担当者はこのアプローチに満足していないと付け加えています。 「(データ) がどこに流れ、どのように配布され、どのようにアーカイブおよび破棄されるかは、通常、プライバシー オフィスの権限です」と彼は言います。 「ライフサイクルのあらゆる要素を通じてデータを保護し、追跡する必要があります。」

重要なことに、Bowen は、データ ブローカーの情報の上に新しいデータセットが構築されると、「そのデータを分離することはほぼ不可能です。 そのすべてを切り離して解きほぐすには、AI の行動が必要になるでしょう。」

AI を活用する

その AI ポイントは、他の一部のデータ スペシャリストがこの議論の方向性を見ているまさにその場所です。 彼らは予想する 大規模言語モデル (LLM) ChatGPT などは、無制限の分析作業を通じてデータを追跡できます。 2 ～ 5 年で、LLM アプローチは、規制当局が依存できるほど効果的になる可能性があります。

「今日の企業は、証拠を提出しない言い訳として (データ追跡の難しさ) を使用しています。 機械学習モデルの出現により、それはもはや当てはまりません」と、コンサルティング会社 Edgile のマネージング ディレクターである Brad Smith 氏は言います。

スミス氏は、データ ブローカーの問題を解決するには、データのライフサイクル全体にわたる詳細な追跡が重要であると述べています。

「外部組織からデータを取得すると、常にある程度の責任が生じます。 解決策は、データ系統を維持することです。 一般に、情報を移動したり、転送またはコピーしたり、データがあるシステムから別のシステムに何らかの形で変化したりすると、その系統が壊れます」とスミス氏は言います。 「大規模な言語モデルでは、すべてのデータが元の状態で存在します。 それらのマッピングは、彼らが作成したニューラル ネットワークに存在します。」

彼は、ここでもクラウドが重要な役割を果たしていると付け加えています。 「彼らがしなければならないことは、データをハイパースケール インフラストラクチャに移動することだけです。 規制当局がこれに気づき、(企業) が Azure または AWS に十分に投資していない場合、彼らは「なぜそのプラットフォームに移行しなかったのか?」と尋ねるでしょう。」

汚染されたデータの回避

基本的に、企業が購入するのは データ ブローカーからのサードパーティ データ まず、すでに持っている、または直接収集できるデータを真剣に調査する必要があります。

「サードパーティのデータの質が良くなく、かなり疑わしい方法で収集されていることは公然と認められています。 彼らの同意の定義はむらがあります。 全体として、データ ブローカーがデータを取得する方法は、グローバルなプライバシー法に直面してはばかげています」と、Forrester のプライバシー アナリストである Stephanie Liu 氏は述べています。

SailPoint の CISO である Rex Booth は、次のように述べています。 「現在、ブローカーに関する善悪の唯一の線引きは、彼らがデータを収集する際に法律に違反したかどうかです。」

データ ブローカーの課題を把握する際、CISO はデータが現在どのように使用されているか、および XNUMX 年後にどのように使用される可能性があるかを考慮に入れる必要があります。 誰がローンやアパートを取得するかを決定するために使用されていますか? 結果として得られるデータは顧客に表示されますか?それとも、販売者が連絡先を知るのに役立つデータなど、完全に内部的なものですか?

コンサルティング会社 Wipro で戦略およびリスク プラクティスを率いるシニア パートナーの Saugat Sindhu 氏は、ほとんどすべてのデータ ブローカーが匿名化された方法で成果物を提供していると述べていますが、多くの場合、それはそのままではありません。 「身元の匿名化は簡単にできます」と彼は言います。

場合によっては、コンプライアンスの救済策は、データの削除にとどまらず、不適切に作成されたデータによって生み出された収益の評価にまで及ぶ可能性があると、Sindhu 氏は述べています。問題。 結局のところ、汚染されたデータは汚染されたデータです。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge-articles/how-cisos-can-reduce-the-danger-of-using-data-brokers