1 Min. Read

AppsFlyerのセキュリティとプライバシーへのアプローチ – Guy Flechter、CISO & DPOへのインタビュー

Minnie Katzen Mayer Minnie Katzen Mayer Nov 21, 2018

AppsFlyerでは、データセキュリティとプライバシーについて頻繁に質問を受けます。顧客やパートナーは、データの整合性を保つために当社がどのような対策をしているのかを知りたいと思っており、こうした質問を聞くのは100%正当なことでしょう。

何千もの顧客向けに年間1兆ものデータポイントを処理する企業として、データが安全でプライバシーが守られていることを保証するために何をしているのかを知りたいのは当然のことです。 こうした質問に答えるため、AppsFlyerのCISO(最高情報セキュリティ責任者)兼DPO (データ保護責任者)であるGuy Flechterから、直接すべての回答を得るのが最善であると考えました。

2017年後半、AppsFlyerはCISO兼DPOとしてGuy FlechterをAppsFlyerに迎えました。Guyは、セキュリティとプライバシーに関する17年間に及ぶ豊富な専門的経験を弊社にもたらします。

 

AppsFlyerのプライバシーとセキュリティに対する一般的なアプローチを教えてください。このような取り組みのリーダーとして、あなたを導くものは何でしょうか?

私は、プライバシーは基本的な人権であると思います。大げさに聞こえるかもしれませんが、正直な気持ちです。15年以上この業界で、利用可能な手段を保護し改善するために働いてきました。AppsFlyerは、セキュリティとプライバシーの両方について、国際的に認知された組織によって正式に認定される必要がある要件を満たしています(超えてさえいます)。

私たちは常に警戒態勢をとっています。常にです。自分たちの活動をチェックし、さらに再チェックして、システムを保護するための最先端の技術を探し求めています。単に既存のリストにチェックを入れるだけでなく、現状をどのように展開し、超えることができるかを常に考えています。

 

セキュリティとプライバシーに関して、AppsFlyerが優れている点はどこでしょうか?

プライバシーとセキュリティのチームは孤立した自己中心的な部署ではありません。AppsFlyerのソリューション、IT、DevOpsおよび開発チームの一員として働いています。自身を他のチームの拡張機能であると考えています。

開発の分野では、セキュリティは最後に付け加えられるものではなく、製品に内在する部分です。チームは、新機能や製品開発の初期段階から関与して、セキュリティとプライバシーが製品の構造の一部であり、後からの付け足しにならないことを保証しています。その結果が、研究開発でのセキュリティファーストの文化です。すべての会社がそうあるべきだと思います。

これだけではありません。AppsFlyerのすべてのチームが、毎日ある程度こうした取り組みに携わっています。そしてもちろん、セキュリティやプライバシーに関するあらゆるニーズや懸念事項に対して、経営幹部から100%の支援を受けています。

 

AppsFlyerは、業界のどこに位置していると思いますか?

私は「位置」しているとはあまり言いません。開発し改善できるものに限界はありません。私たちは絶え間なく先へ進む努力をしています。
AppsFlyerは、競争空間に並ぶものがいない画期的なプライバシーとセキュリティへの取り組みを先導しています。そのような取り組みの1つが OpenGDPRであり、GDPRが要求するデータ主体の権利を遵守するための普遍的で安全な共通の枠組みです。多数のパートナーと共に開発したOpenGDPRフレームワークでは、公開されたAPI仕様と、接続され準拠したスタックを実装および維持するためのベストプラクティスの推奨セットを提示しています。

 


「AppsFlyer、mParticle、Braze、Amplitudeが連携して、『ジャスティス・リーグ』の業界版を結成しました。このコンソーシアムはOpenGDPRと呼ばれ、マーケターがデータプラクティスを最速化するプロセスを合理化することを目指しています。」


 

 

AppsFlyerのセキュリティとプライバシーの認定について、実情を教えてくれますか?

セキュリティについて、AppsFlyerは2016年以来SSAE16 SOC2 の認証を取得しています。この認証は、セキュリティ、処理の整合性、機密性、システムのプライバシーの厳格な統制を満たす組織に与えられます(詳細は こちら)。SOC2の認証を受けているモバイルアトリビューションの会社は他に1社のみで、この要件を満たすことの重要性を痛感しています。

AppsFlyerは、欧州連合から米国へ移管された個人情報の収集、使用、保持に関して米国商務省が定めたEU-米国間のプライバシーシールドフレームワークの原則も遵守しています(詳細はこちら)。

さらにAppsFlyerは、テクニカルおよびマニュアルの方法と企業の自己申告の組み合わせを使用した、TRUSTeおよび/または該当する規制当局が確立したすべてのプライバシー要件に適合しています。当社の継続的なTRUSTe認証が、透明性に対する弊社の最大のコミットメントを示しています。TRUSTeと協力して、弊社のデータプライバシーのポリシーと実践を検証しています。TRUSTeが、弊社のウェブサイトとそのサブドメイン、ソフトウェア開発キット(SDK)、APIを審査します(詳細はこちら)。

これだけではありません。ISO27001ePrivacyなど、他にもいくつかの認証を得ています。

 

AdTech市場およびモバイルエコシステムにおける最大の課題/懸念事項は何ですか?

モバイル技術は、地球上で最も急速に成長している市場の1つです。当然のことながら、モバイルセキュリティを侵害するリスクとテクノロジーも、恐ろしく速いスピードで進化しています。リスクを先取りすることは、CISOが自分自身のために設定できる最も重要な目標ですが、これはモバイルテック企業の場合さらに重要です。

クライアントのデータを保護することが最優先事項です。クライアントおよびそのエンドユーザーの両方のデータを保護するという課題に取り組むことは、継続的で間断のない努力です。

チームのモットーは、作業が完了したとか、すべてを知っているとか、決して想定しないことです。私たちは常に学習し、成長し、改善をしています。この分野では、オープンマインドを保ち、「片目を開けて眠る」ことが不可欠です。

 

多くの企業は、プライバシー保護のために外部のサービスやコンサルタントを利用しています。社内DPO(データ保護責任者)はなぜ重要なのでしょう?

社内のDPOには固有の利点があります。社内にいられることです。チームの一員であり、日々の業務に精通しており、すべての人や起こっていることを知っています。プライバシー対策は製品開発の一環であり、後から検討することではありません。外部プロバイダーはこの点で関与できないので、その過程にある重要な詳細を見逃す可能性が高くなります。

 

チームのビジョンは?どこに向かっているのでしょう?

私たちのチームは、会社の成長を反映して成長を続けています。リスクの景観や状況の変化を理解する上で、業界を先取りして常に一歩先を行くために、私たちは常にたゆみなく努力し続けています。仕事に終わりはありません。

 

とてもストレスが多い仕事のようですね。夜どうやって眠れているのですか?

通常はうつ伏せで、たまに横向きで寝ていますよ。