anonym.legal
ブログに戻るテクニカル

エアギャッププライバシー:クラウドが選択肢でないときに機密文書を匿名化する方法

FedRAMPおよびITAR環境には共通点があります — クラウドは選択肢ではありません。GDPR第4条第5項に基づく可逆的擬似匿名化は、コンプライアンスリスクを軽減します。匿名化ツールのうち、真の可逆性を提供するものはわずか23%です(IAPP 2024)。

April 13, 20269 分で読めます
air-gapped anonymizationSCIF document processingITAR complianceFedRAMP offline toolsoffline PII detection

エアギャップ要件

防衛請負業者、政府の情報機関、重要インフラ運営者は、外部インターネット接続が物理的に不可能であり、単にポリシーによって禁止されているわけではないネットワークを管理しています。SCIF(Sensitive Compartmented Information Facility)は、電子盗聴や信号情報収集を防ぐために設計された部屋または施設であり、ファラデーケージで囲まれ、無線信号が出入りしません。ITAR(International Traffic in Arms Regulations)管理下の機密政府ネットワークは、承認されていない当事者に対してカバーされた技術データを送信することができません — このカテゴリには、ITARの承認を受けていないクラウドサービスプロバイダーが含まれます。

これらの環境にある組織にとって、「クラウドSaaS」は管理すべきリスクではなく、技術的に不可能です。アクティブなネットワーク接続を必要とする匿名化ツールは展開できません。ライセンス確認のためにホームに電話をかけるツールは、スタート地点にもなりません。推論のためにクラウドAPI呼び出しを必要とする検出モデルを持つツールは機能しません。

Ollamaコミュニティは、ローカルAIツールの主な正当化としてエアギャップ展開を特に挙げています:「すべてのデータはOllamaのデバイス上に留まり、外部サーバーに情報は送信されません — 特に医師が患者のメモを扱ったり、弁護士がケースファイルをレビューしたりするような機密作業にとって重要です。」同じ理論は、機密およびITAR管理下の環境における組織レベルでも適用されます。

ITARユースケース

ITAR要件の下で人事記録を処理する防衛請負業者のデータサイエンティストは、FOIAリクエストを行うジャーナリストと共有する前にファイルを非識別化する必要があります。請負業者のネットワークはエアギャップです。処理はエアギャップマシン上で行われ、公開リリースに適した出力を生成する必要があります。

このユースケースにはクラウドソリューションはありません。唯一の道は、完全にローカルマシン上で実行され、ローカルに保存された検出モデルを適用し、外部通信なしで匿名化された出力を生成するツールです。Tauri 2.0ベースのデスクトップアプリケーションは、まさにこの構成で動作します:ダウンロードとインストール後、文書処理中にネットワーク呼び出しは行われません。spaCy NERモデル、正規表現パターン、およびトランスフォーマー推論はローカルで実行されます。処理出力は、ユーザーによって明示的にエクスポートされない限り、マシンを離れません。

機密操作のための可逆的擬似匿名化

機密および政府の文脈における関連要件:実際のアイデンティティを保護しながら分析的有用性を維持する可逆的擬似匿名化。GDPR第4条第5項は、擬似匿名化をコンプライアンスリスクを軽減するデータ保護手段として正式に認識しています — 擬似匿名化されたデータは、擬似匿名化キーが擬似匿名化データセットから分離されている限り、完全に識別可能なデータに比べて義務が軽減されます。

IAPPの調査(2024)によると、**匿名化ツールのうち、真の可逆性を提供するものはわずか23%**です — 出力から分離されたキーを使用して擬似匿名化されたデータを元の値に復号化する能力。大多数のツールは、永久的な置き換え(元のデータが上書きされ、回復できない)またはマスキング(元の値の部分的表示)を実装しています。

擬似匿名化されたデータセットが区画間で共有可能でなければならない政府の操作において — あるチームが分析作業のために擬似匿名化されたデータセットを受け取り、別のチームが法的に必要な場合に再識別のための復号化キーを保持する — キー分離を伴う可逆的暗号化が唯一のコンプライアンスアーキテクチャです。

ゼロ知識アプローチはこれをさらに拡張します:暗号化キーはクライアント側で生成され、決して送信されません。たとえ匿名化ツールのプロバイダーが召喚されたとしても、彼らは復号化キーを提供できません。なぜなら、彼らはそれを受け取ったことがないからです。暗号化キーの証拠保持がセキュリティ要件である機密環境において、このアーキテクチャは必要な保証を提供します。

EDPBガイダンスコンプライアンス

擬似匿名化に関するEDPBガイドライン05/2022はキー分離を要求しています:擬似匿名化キーは、擬似匿名化データセットを受け取る当事者とは異なる当事者によって保持されるか、受け取る当事者がデータとキーの両方に同時にアクセスできない技術的制御と共に保存されなければなりません。

クライアント側でのキー生成(キーはユーザーのデバイスを離れない)、ローカル処理(データはエアギャップ環境を離れない)、および擬似匿名化された出力と復号化キーの別々のエクスポートの組み合わせは、EDPBのキー分離要件を満たし、エアギャップ運用制約を満たします。

出典:

関連する記事

テクニカル

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

テクニカル

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

テクニカル

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る