注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。
Foundry は、ユーザーが企業全体でデータを統合、変換、分析、運用化し、データ製品を安全に共有することを可能にします。すべてのデータ戦略とイニシアチブの重要な部分は、データの合法的、適正な、準拠した、適切な使用を確保することです。データ保護とデータガバナンスは、Foundry を使用するための中心的な概念です。
プライバシー規制は世界中で異なりますが、ほとんどの規制は、組織が適切にデータを使用し、取り扱うためには、組織がどのようなデータを持っているかを理解するための体系的で計画的な手段を要求しています。データ保護とデータガバナンスは Foundry で手を取り合って進行します。このドキュメントでは、データ処理、特に Palantir Foundry での機密データや個人データの処理に際して、適切かつ適切なデータ保護とデータガバナンスを促進するために、お客様に利用可能なベストプラクティスとツールを概説しています。
このドキュメントは、プラットフォーム上で機密データを扱っているデータ管理者、データガバナンスの所有者、データ所有者、ユーザー向けであり、このデータを保護するための Foundry の能力を理解したいと考えています。
データ保護、データガバナンス、または機密データの保護について質問がある場合は、Palantir には、Palantir Foundry で機密データを取り扱う方法についてガイダンスを提供できる プライバシーと市民の自由 (PCL) チームがあります。Palantir の代表者に連絡して、Palantir の PCL チームとつながるようにしてください。
プラットフォーム管理者とユーザーは、エンタープライズデータ、特に個人データや機密データを、常に責任を持って取り扱うべきです。公正な情報慣行原則(FIPPs)は、プライバシー保護を強化する個人データの取り扱いの基本原則として役立つガイドラインの一連のセットを提供します。
以下では、国際プライバシープロフェッショナル協会(IAPP)の作業から引用し、FIPPs の概要を提供します:
これらの FIPPs の共通テーマの中には、データ最小化 の必要性があります。ここで、データは明示的かつ認可された目的("目的指定原則")のためにのみ収集("収集制限原則")および使用("使用制限原則")されるべきです。また、データは常にセキュリティ保証を念頭に置いて取り扱われるべきです("セキュリティ保護原則")。
例えば、以下のシナリオを考えてみてください。
金融機関(FI)は、銀行サービスを提供するために必要な新しい顧客プログラムの取り扱い方法を考える際に、FIPPs を適用することがあります。
FI がプログラムを設定する際、金融機関は、そのプログラムを運営するために必要な個人情報を、それに登録する顧客からのみ収集することを目指します("収集制限原則")。すべての目的は upfront で提供され("目的指定原則")、データ取り扱いの詳細と方法は公開されます("公開原則")。
データがユーザーのために準備されると、データ所有者と準備者は、データが定期的に維持され、レビューされるようにし、データに関連する任意の決定が正確な最新の情報を使用することを確認します("データ品質原則")。すべてのデータが安全に保管されていることを保証します("セキュリティ保護原則")。定期的な監査レビューなどのシステム全体のプロセスにより、データが事前に指定された目的でのみ使用されることが確認されます("責任原則")。データがユーザーに準備できたら、承認された目的でデータを扱う権限を持つユーザーだけがそのデータにアクセスできます("使用制限")。
一方、消費者側では、FI は消費者が定期的に情報のアクセス、削除、または訂正を要求することを許可します("個人参加原則")。さらに、FIPPs を超えて、金融セクターの要件に従ってデータをどの程度保持する必要があるかが求められる場合があります。
この例だけでも、データを取り扱う際の多くの複雑さと配慮が関与しています。このドキュメントで概説されているベストプラクティスは、機密データ、個人データを扱う際に、これらの基本原則を運用化するのに役立つ Palantir Foundry の幅広い技術ツールの概観を提供します。
FIPPs は個人情報や機密情報のプライバシーを評価するための出発点にすぎません。公正さ、差別禁止、倫理などの原則が個人データの処理に関連する可能性もあります。法律、規制、行政要件は、管轄区域、セクター、一般的な規範によって異なる可能性があります。関連する要件については、法律顧問やプライバシー専門家に相談してください。
機密データを識別することは、重要な最初のステップです。コンテキストは重要です。なぜなら、特定のデータが機密とみなされるかどうかは、関連するプライバシー規制と規範によるからです。
ここでの 機密データ は、広範に分類され、または特別なセキュリティが必要な任意のデータとして定義されます。一部の法律は、特定のデータ要素を正式に機密と指定しています(例えば、EU の一般データ保護規則)、一方で、他のものはデータ所有者によって決定されるか、法的地位にかかわらず一般的に認識されています(例えば、社会保障番号)。データが機密として分類されるかどうかは、一般的に、データの種類や分類(例えば、個人を特定可能な情報)、ワークフローの種類(例えば、特定の目的に限定)、または制限付きアクセスコントロールを引き起こす可能性のあるコンテンツ(例えば、機密のエンタープライズ情報)に大きく依存します。
機密データの一般的な例としては、個人を特定可能な情報(PII) があります。これには、直接の識別子や、個人を再識別するためまたは個人を単独で特定するために使用できる他の個人に関する情報が含まれます。
機密情報の例としては、次のようなものがあります:
管轄区域や分野によって、機密データは異なる方法で分類される可能性があります。以下は、一部の関連するデータ保護およびプライバシー規制の定義の例です:
EU 一般データ保護規則(GDPR)は、個人データを明確に定義する規制の一つです。要約すると、GDPR は個人を特定できるデータの一部を個人データと定義し、人種や政治的意見などの特性を機密として分類します。公式の定義は以下のとおりです:
GDPR の 第 4 条(1)は、個人データを次のように分類します:
「データ主体」と呼ばれる識別されたまたは識別可能な自然人に関連する任意の情報。識別可能な自然人とは、名前、識別番号、位置データ、オンライン識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的な特性に特に関連する一つ以上の要素によって直接または間接に識別できる人を指します。
さらに、GDPR の 第 9 条(1)では、以下のような種類の個人データを、追加の注意と保護が必要な個人データの特別なカテゴリとして強調しています:
人種または民族の起源、政治的意見、宗教または哲学的信念、または労働組合のメンバーシップを明らかにする個人データ、自然人を一意に識別するための遺伝データ、バイオメトリックデータの処理、健康に関するデータ、または自然人の性生活に関するデータ。
米国の健康保険移植可能性と説明責任法(HIPAA)は、HHS の 詳細なガイダンスで概説されており、米国での医療データの取り扱いに対する一般的なフレームワークです。HIPAA は、医療提供者や保険者が保持するデータに適用されますが、同じデータの他のプロセッサーに必ずしも適用されるわけではありません。確認するためには、関連する要件について法律顧問やプライバシー専門家に相談してください。
HIPAA の下では、
保護対象保健情報は、以下に関連する情報を含む情報です:
- 個人の過去、現在、または未来の身体的または精神的健康または状態、
- 個人への医療の提供、または
- 個人への医療の提供の過去、現在、または未来の支払い、そしてその個人を識別するか、その個人を識別するために合理的な根拠があると信じられる。保護対象保健情報は、上記の健康情報と関連するときに多くの一般的な識別子(例えば、名前、住所、生年月日、社会保障番号)を含みます。
例えば、HIPAA 対象エンティティが取り扱う医療記録、実験室のレポート、または病院の請求書は、各ドキュメントが患者の名前やその他の健康データの内容と関連する識別情報を含むため、PHI となるでしょう。
以下に、組織やプロジェクトに適用される可能性のある他の国際的なデータ保護フレームワークを挙げます:
上記のリストは網羅的なものではなく、明確な定義は地方裁判所、地域、または業界により異なります。適用されるルールと規制に基づいてデータの関連分類と特定の取扱い指示を理解するために、法務、コンプライアンス、および/またはデータ保護チームに相談してください。
Palantir Foundryでデータを操作する前に、組織内でデータ保護とデータガバナンスの担当者や主題専門家(SME)を特定してください。エンタープライズデータ、個人データを含むその他の機密データの取り扱いには、法律や規制要件からプラットフォーム/データオーナーによって設定された組織ルールの運用まで、一連の考慮事項が伴います。
以下に、Palantir Foundryでデータ処理を始める前に組織で確認またはフォローアップすべき一連の一般的な手順を示します:
ガバナンス委員会/SMEを特定するか、データガバナンスリードを指名する
適用可能な規制、使用合意、およびその他の要件に従ってデータを取り扱う方法を認識し、それを承認することができる関連パーティを特定するために、各データオーナーやデータコントローラと相談してください。
必要なプライバシーレビューやプライバシー影響評価を完了する
法務およびコンプライアンスチームと連携する
内部の法務およびコンプライアンスチームと連携し、システムが機密データを取り扱い始めるために必要な文書を決定してください。
アドホックな質問やより広範な調整が必要な場合は、データ管理者またはユーザーとして、関連する法務およびコンプライアンスチームと連絡を取り、要件についての情報を得ることを確認してください。
Foundryプラットフォームの使用と範囲について法務およびコンプライアンスチームを早期に連携し、それらを通知してください。
Palantirのプライバシーと市民の自由チームと連携する
Palantirには、Palantir Foundryで機密データを取り扱う一般的なベストプラクティスについてのリソースとなるプライバシーと市民の自由(PCL)チームもあります。Palantirの担当者に連絡して、PalantirのPCLチームと連携してください。
特定のユーザーグループやプロジェクトで機密データが必要でない場合、そのデータを含む列や行を削除して、下流での機密データへのアクセスを制限します。機密データへの任意のアクセスは、データオーナーや関連するデータ保護・データガバナンスチームによって定義された明確に承認された目的に限定されていることを確認してください。
セキュリティをさらに強化するために、Cipher サービスを使用して暗号化操作(暗号化、復号化、ハッシュ化)を用いてデータを難読化することを推奨します。Cipherは、ユーザーにFoundryの高度なストレージとネットワークレベルでの暗号化の上に、運用ワークフローにプライバシーとガバナンス保護を設定するツールを提供します。
CheckpointsはFoundryアプリケーションで、データガバナンスチームが特定の機密データアクションが実行される前に正当化を要求することで、説明責任と目的制限を促進します。詳細については、Checkpoints のドキュメンテーションと、機密アクションに対する正当化の要求のワークフローを参照してください。
ユーザーが感じた処理環境において、機密とされるアクションを実行する前に正当化や確認を提供すべき場合は、Checkpointsをデプロイしてください。
Sensitive Data ScannerはFoundryアプリケーションで、管理者が機密データ(PIIなど)の組織固有の定義を作成し、この定義に一致するデータが識別されたときに何が起こるべきかのポリシーを作成することを可能にします。Sensitive Data Scannerは手動でトリガーすることも、バックグラウンドで動作し、新しいデータがデータセット、プロジェクト、またはプラットフォームに入るのを監視するように設定することもできます。Sensitive Data Scannerがデータセットに前もって指定した機密データの定義に対応する情報が含まれていることを検出すると、アプリケーションは設定した応答をトリガーします。これには、Foundryによって生成された問題を作成して管理者に警告するか、セキュリティマーキングを適用してデータセットを事前にロックダウンするなどがあります。詳細については、Sensitive Data Scannerドキュメンテーションを参照してください。
データ保持は、Foundryでのデータの保管期間とFoundryからのデータの削除方法を管理するプロセスを説明します。FIPPsに準拠して、PIIなどの機密データは通常、処理の目的が達成されるとすぐに削除する必要があり、適用可能なデータ保護規制を遵守します。
契約合意やコンプライアンスニーズにより、一部のデータを保持する必要があるかもしれません。したがって、Foundryからの削除がある時点で不可逆になることを意識し、保持プロセス全体で関連するコントロール、たとえば適格性レビューなどを積極的に実装すべきです。
可能な限り早く、理想的にはデータがまったく取り込まれていない段階で保持要件を決定することを強く推奨します。
詳細については、Foundryでの保持の仕組みに関するドキュメンテーションを参照するか、Palantirの担当者にお問い合わせください。