[レポート] GPSTEC303: ビッグデータ時代のプライバシー管理：個人情報なしのデータレイクをデプロイする方法 #reinvent

西澤です。re:Invent初参戦です。本稿では、以下のセッションについてレポートします。

セッション概要

Come to this session to learn a new approach in reducing risk and costs while increasing productivity, organizational alacrity, and customer experience, resulting in a competitive advantage and assorted revenue growth. We share how a de-identified data lake on AWS can help you comply with General Data Protection Regulation (GDPR) and California Consumer Protection Act requirements by solving the issue at its causal element.

• セッション情報
  • Data Privacy & Governance in the Age of Big Data: Deploy a De-Identified Data Lake
• スピーカー
  • Danielle Greshock
  • Ryan Peterson

レポート

（Danielle Greshockから）

• データ漏洩のリスク、毎秒82件のインシデントが発生している

• 顧客が抱えるセキュリティ課題とは？
  • どのようなデータを、どこに集め、どこに保管しているのか？
  • 法令遵守、コンプライアンス
  • 削除のタイミングは？
  • どんな責任があるのか？
  • データのリストが存在するのか？
  • アクセス権限は？
• 各種セキュリティ認定への対応
• 内部脅威、外部脅威に対するそれぞれの対策
• GDPR対策として必要だったこととは？
  • クレジットカードプロセスのアウトソース化
  • PIIをマスク
  • DDoS対策、Firewall
  • など
• データレイクから個人情報を削除しておく
  • 内部脅威、外部脅威への対策
  • 開発者が本来の開発に集中できる
• 昨今の変化
  • 指導 -> 法令
  • ベストプラクティス -> 規制
  • 罰則なし -> 重い罰金
  • 付加的なもの -> 設計が必須

（ここでRyan Petersonに）

• PIIの危険をどのように解決するのか？
  • 個人の問題
  • すべてのPII問題を解決できるSAはいるのか？
  • PIIへの脅威を緩和するベストプラクティスとは？

• ZALONIの紹介
  • Data Lake Solutions & Self-Service Data Platform - Zaloni
  • データカタログが重要
    • 現状の用途
      • 識別、棚卸
      • アプリケーションから使いやすい
    • 今後の用途
      • すぐにアクション(探す、変換する、管理する、等)が取れるデータ
  • セルフサービスデータプラットフォームとして利用できるようにする
    • 探す
    • カタログ化
    • 分析
• DATAGUISEの紹介
  • DgSecure Data-Centric Security Platform
  • DataGuise DgSecureでできること
    • 検知
    • 保護
    • 監視
    • アクセス管理
    • 削除
• DATA REPUBLICの紹介
  • Senate Matching
    • • Senate Matching: PII protection and data matching - Data Republic
    • 厳格なPII管理が可能
      • トークン化
      • ハッシング
      • スライシング
      • マッチング
      • ガバナンス
      • 監査対応
• etleapの紹介
  • ETL and Data Pipelines | Etleap * センシティブな情報を変換処理するステップを作る
• まとめ
  • 機密データが存在する場所のカタログ化
  • PIIの監査、評価、処理方法を整理
  • 時間短縮
  • 消費者、従業員、株主の​​信頼と収益の向上
  • 2ndパーティデータとしての誤用リスクを低減し、マネタイズを可能に

まとめ

データレイクを2ndパーティデータとして活用するようなケースにおいて、各プロセスでどのような考慮が必要となるのか、利用可能なサードパーティツール等の紹介と合わせた具体的な対策について説明してくれたセッションでした。ちょっとお固めのセッションだったし、ツールの紹介が多かったのが個人的には微妙でしたが、しっかり個人情報を削除する基盤が出来上がり、各所に蓄積されたデータが売り買いされることで、世の中が便利になっていくといいなあと思ったのでした。