AI を活用する企業の安全を守るための Microsoft ガイド: データ ガバナンスとセキュリティ

1. 分類: 監視と所有権の確立

ガバナンスの第一歩は、所有データの全容把握から始まります。組織は、新たな AI エージェントの追跡を含め、構造化データ、非構造化データ、AI 生成データを完全に監視できる仕組みを作る必要があります。分類には以下が必要となります:

• ビジネス リスクに照らし合わせた明確かつわかりやすいスキーマ
• ビジネス部門内のデータの所有者および管理者の指定
• CIO 主導の調査による継続的なインベントリ管理

分類は、その後のすべての段階の基盤となります。

2. ラベル付け: ガバナンスの実施を可能にする

分類が意図を定義するのに対し、ラベル付けはそれを実施します。秘密度ラベルにより、ポリシーが実際の用途に結びつけられ、セキュリティ システムやアクセス制御、さらには従業員が AI 出力を扱う際の基準となります。

主な要素は以下の通りです:

• ラベル付けを徹底するテクノロジーの導入による、ラベルを基にセキュリティおよびデータ損失防止 (DLP) ポリシーが自動的に適用させる仕組みの構築
• ビジネスへの影響を踏まえたリスク ベースのラベル付け戦略
• ラベルを適用する状況と方法を徹底するための従業員トレーニング

3. 保護: セキュリティの運用

保護は、ポリシーを実際の対策として機能させる段階です。これには以下の項目が含まれます:

• ロールベースのアクセス制御 (RBAC)、Just-In-Time (JIT) アクセス、DLP などのアクセス制御によるリシーの適用
• 保存データと転送中のデータの暗号化
• 過剰共有やポリシー違反の自動監視
• プライバシー規制に準拠し構造化されたインシデント応答計画

これらの制御により、AI ツールが大規模にデータにアクセスし、処理する場合でも、機密データを確実に保護できます。

4. 管理: データのライフサイクル全体のガバナンス

ガバナンスは継続的な取り組みです。組織は以下を維持し続ける必要があります:

• 最小化の原則に基づくデータ保持および削除ポリシー
• データ ドリフト、誤ったラベル付け、異常アクセスの継続的な監視
• データ所有権の自動再認定
• IT、開発、セキュリティ チーム全体の AI エージェントの把握とガバナンス

ライフサイクル管理により、攻撃面が縮小され、長い目で見てビジネス価値に合ったデータの使用が実現します。