データプライバシーとは

データプライバシーは、認可された人物が意図された目的のみにデータが使用されることを保証するデータセキュリティの一形態です。

データを作成、収集、共有、分析する機能は飛躍的に拡大しています。事実、人類は毎日 250 京バイトという天文学的な量のデータを生み出しているといわれています。さらに、毎日毎分、企業は大量のデータを収集してマイニングし、インサイトをトレンドや機会に変え、顧客の考え方を把握しようとしています。

ところが、データ収集は一網打尽型アプローチを取りがちになり、よりパブリックなデータとともにユーザーのプライバシーに関わる機密情報を違法に取得してしまい、消費者にとっても企業にとっても問題が生じています。また、顧客が「自らの意思で」共有した個人データでさえ、不正アクセスに対して安全に保護されていないと大きな問題になります。そのため、データプライバシーの問題はあらゆる市場や業界が当事者となる懸念事項なのです。

データのデジタル化の範囲と有効性が改善されたおかげで、あらゆる種類の組織が、取得した個人のデータに基づいて個人プロファイルを容易に構築できます。また、名前、年齢、住所といった基本情報の範囲を超えて、現在ではあらゆる形式の個人情報がデジタルデータとして存在します。そのなかには一見無害な情報 (興味や趣味、買い物傾向、人間関係など) からきわめてプライベートなもの (マイナンバー、信用情報、健康データ、現在地、移動状況など) まで含まれます。

多くの場合、オンラインで自ら、あるいは知らないうちに共有された情報は機械によってスマート化されます。たとえば、ソーシャルメディアに投稿した子犬の写真は、セミインテリジェントアルゴリズムに学習させて子犬を認識できるようにするために利用されています。私たちがオンラインで行う検索は、人間の言語をより自然に理解させて複製できるように機械を教育しているのです。

ところが、データがどのように使用されようと、データが存在し、未知のユーザーが利用できる状態にあるということが大いに警戒を招いています。世界中の顧客 (当然政治家も) が企業に対し、データの元の所有者にデータの収集と使用の方法について最終判断する権限を与えることを求め始めています。

そのため、健全なデータプライバシーポリシーを設定して順守する企業は顧客との信頼関係を築きやすくなります。同時に、新たに制定されるデータプライバシー法、規格、規制の違反に関わる法的リスクも排除できます。Facebook が FTC に 50 億ドルの罰金を課されたのは記憶に新しいところですが、これもこうした法律を犯した場合の罰則がいかに厳しくなっているかを物語っています。

Facebook の 50 億ドルという罰金は消費者プライバシー法違反について企業に課された過去最高額ですが、間違いなくこれが最後の例にはならないでしょう。米国、EU、南米、その他世界各地の政府監視機関が無許可のデータ収集と使用に対して厳しい姿勢を取っています。データプライバシーポリシーの更新を怠っている企業は、顧客の信頼以上のものを失うリスクを負っているのです。

逆に、データ保護プレイブックを積極的に最新化し、リアルタイムの統合自動化テクノロジーを採用し、データが倫理と法に従って使用され、データ所有者の権利を侵害していないことを保証している企業には、さまざまなメリットがあります。

そのメリットは以下のとおりです。

罰金その他の罰則からの保護

前述のように、データプライバシーの最も関連性の高いビジネスメリットは、罰則と罰金を回避することです。プライバシー法違反に対する厳罰化が進んでおり、個人情報が違法に公開されるという被害を受けた顧客に対する補償は言うまでもありません。

それ以上に、政府グループはユーザーデータの保護という使命を重く受け止めており、新たな法令を制定し、監視活動を増加して企業が顧客データを危険に曝していないかを確認しています。適切なデータプライバシーポリシーを作成して順守している企業なら、刑事責任を問われることを恐れる必要はありません。

顧客とステークホルダーの信頼を向上

顧客と企業の関係は単なる購入取引に留まりません。顧客が企業とビジネスをすることを選んだ場合、その企業は取引プロセスにおいて交換される個人データを尊重し保護すると信頼することになります。そしてその信頼が裏切られると、信頼回復は困難です。

プライバシーの侵害は社会的評判とブランドを著しく損ないます。今日の顧客は数多くの選択肢を持っており、多くの場合、データセキュリティに関してはたった 1 回の過ちで競合他社に顧客が流れてしまいます。反対に、データプライバシーへのコミットメントを明確に打ち出し、データの収集と使用の方法について顧客に無制限のコントロールを与え、データ取扱いについて透明性をもって活動する企業は、顧客ロイヤルティを向上させることができます。これはブランド価値の向上と顧客生涯価値の拡大を意味します。

ビジネスプロセスの改善 (データ管理)

データプライバシー管理では、組織はデータとビジネス全体でのデータの取扱いをさらに詳細に監視する必要に迫られます。データの収集と使用の方法を決める詳細な監査から始まり (その後は定期監査の継続)、企業はデータ管理の非効率性を容易に特定して解消できます。これでよりデータを重視する社風が生まれ、ビジネスプロセスの合理化が進み、あらゆる部署のあらゆるレベルにメリットがもたらされます。

プライバシーイニシアチブにより、ビジネスのデータプラットフォームを統合し、すべての関連データとデータ管理ツールを単一の一元化した場所に集約できる可能性もあります。これでデータのサイロ化にまつわる危険を取り除き、データ分析を改善し、データ整合性を向上させ、インサイトを活用してビジネスの意思決定を下せるようになります。

顧客へのサービスを向上し、信用へのダメージを回避し、新規法令と確立された法令の順守を維持するため、多数のソフトウェア開発者が「プライバシーバイデザイン」(PbD) を採用しています。

PbD はデータプライバシーの新しいより意図的なアプローチです。PbD により、システムエンジニアはプライバシーチェックとソリューションをすべての製品、サービス、インフラストラクチャ、ビジネスプラクティスに採用するようになります。これらの検討事項を開発の早期段階から取り入れ、本番環境全体からロールアウトとポストロールアウトのサポートまでを通して継続的な重点事項とする必要があります。

PbD により、データプライバシーがローンチ直前の後付け的項目ではなく、開発のライフサイクル全体での最重要項目となります。

残念ながら、効果的なデータプライバシーとは顧客データを責任を持って取扱うと決定する、といった単純なことではありません。現代のビジネスには多様なハードルがあり、データプライバシー管理を成功させるにはそれを克服または回避しなければなりません。

データ倫理

人工知能 (AI) の進化によって企業は大量のユーザーデータをより容易に正確に分析できるようになりました。ところが、この新しい機能には対応を要する一定の倫理的問題が伴います。データ分析はどこまで許されるのでしょうか?AI は、そもそもは無害なデータを基にきわめてプライベートで価値のある個人情報を抽出できます。企業はそのような戦術を採用する前に、この種のデータの収集から派生する問題について十分に認識しなければなりません。

内部の脅威

データプライバシーの責任の主な部分は、それを扱う従業員に課されます。トレーニング不足の従業員は簡単にデータの誤配置、暴露、不正使用をしてしまい、顧客をリスクに曝し、会社への賠償金が生じるおそれがあります。同様に、信用できない従業員が機密データを盗もうと虎視眈々と狙っています。顧客情報へのアクセスを与える前に従業員全員を徹底的に調査し、関連性の高いデータプライバシーポリシーと規格について従業員全員がトレーニングを受ける必要があります。

有効性の低いデータの廃棄

多くの企業はデータの収集と分析に重点を置いていますが、ビジネスの関係が終了すると、データに対する責任を最後まで全うすることを完全に怠ってしまいます。個人データは確立された規格に従って、顧客 (または従業員) がそのビジネスに携わっている間のみ保管します。個人データを必要以上に長期間保持することは、罰金や罰則の対象となる場合があり、潜在的なデータ侵害の被害を深刻化させます。

Web アプリケーションの脆弱性

Web とクラウドでホスティングされているソフトウェアによって、無防備な企業には安全性の低いデータアクセスポイントが生まれるおそれがあります。データセキュリティでは新しいアプリケーションをすべて徹底的に調査し、安全であると認定されたうえで社内使用できるよう展開する必要があります。

有効性の低い対応計画

データ保護は基本ですが、データに対する脅威がセキュリティコントロールを突破してしまった場合、または緊急事態によりデータ整合性が脅かされる場合は、効果的なインシデント応答計画が必要です。計画を作成、共有、改善し、トレーニングを行って、データ侵害の最初の徴候があったときに計画を展開できるようにすることが、そのような脅威による潜在的損害を抑えることにつながります。

不必要なデータ収集

新しい法令では顧客がデータの使用について企業に明示的な許可を与えなければならないと規定されています。その場合、共有されるデータの種類を選択する自由も与えられることが重視されています。取引に必要不可欠な範囲にデータ収集活動を制限することを怠った企業は、法的に訴えられる恐れがあります。

不明確なプライバシー契約条件

悪徳業者が法律用語や複雑なポリシー契約で本来の目的をごまかせたのは、もう昔の話です。今やデータプライバシー契約条件は、顧客その他のステークホルダーが容易に理解できる方法で明示しなければなりません。ユーザーが自分は何に対して同意をしようとしているのか明確ではなかったと示すことができる場合、それは企業側の過失責任になります。

セッション期限の問題

顧客が個人情報を含むオンラインフォームへの入力を途中で止めた場合、他のユーザーがそのデータへのアクセス権を得る可能性が残されます。
セッション期限切れの安全性機能は、
ユーザーが割り当てられた時間内にサイト上で特定のアクションを実行しなかった場合に
個人情報フォームやその他の情報へのアクセスを切断するよう設計されています。こうした安全対策をすべての
アプリケーションとコンピューターシステムに搭載することが、データ漏洩の防止につながります。

安全性の低いデータ転送チャネル

デジタルデータはポイント A からポイント B へ直接届けられるものと思いがちですが、実は
移行中のデータは想定外の経路で受け渡されることがあるため、個人情報が無許可のユーザーに漏洩される潜在的リスクがあります。
セキュリティの脆弱なチャネルはデータプライバシーの大きな問題です。企業は
セキュリティの強固なチャネル (SFTP または TLS) のみを使うべきです。

今日のビジネス環境においてデータプライバシーが主要課題であることは明白ですが、
企業がこの課題を克服してデータプライバシー重視の社風を形成するには、どうすればよいのでしょうか。
ここではまず、参考にできるベストプラクティスをいくつかご紹介します。

データプライバシーを包括的に見る

データプライバシーは会社全体に影響を及ぼす問題であり責任でもあるため、IT 部門だけに責任を押し付けることはできません。包括的アプローチを取り、データプライバシーポリシーを策定して従うよう社内の全部署を関与させましょう。

データをマッピングする

効果的なデータプライバシー管理は、データがどこにあり、何が含まれ、誰がアクセスすることができ、どの程度最新の状態かを企業が明確に把握しているかどうかにかかっています。データのマッピングは企業の現在のデータの状況を詳細に示します。

実践と誓約を一致させる

実行可能なポリシーや条件を実施することは対策の半分にすぎません。こうしたポリシーを順守できず、約束と義務を果たせないままでいる企業は、法的責任と顧客の失望を突きつけられることになります。

データ収集ポリシーを定期的に更新する

データ収集は静的プロセスではありません。関連性が高く有益であると企業がみなすデータのタイプは、四半期ごと、またはより頻繁に変化する可能性があります。つまり、もし企業がデータ収集と使用の実践方法を更新しようと決めた場合、こうした変更を反映するためにポリシーを更新する必要があるのです。

ベンダーを評価する

ビジネスは孤立しては成立しません。第三者のベンダーや契約業者が顧客の個人データにアクセスする必要が生じることもあります。そのため、企業はこうしたパートナーを厳しく審査し、信頼性の高いセキュリティ対策が実践されていることを確認することが重要です。さもないと、第三者が弱点となってデータ漏洩が発生する恐れがあります。

政府はデータプライバシー違反に対して年々強硬な姿勢を取るようになっています。世界各地でデータプライバシーの強化を目指して制定された最近の法令をいくつかご紹介します。

GDPR (一般データ保護規則)

EU (欧州連合):EU 市民が自らの個人データに対して持つコントロールを強化し、企業に対するデータ規制を簡素化して確立し、EU/EEA 圏外の個人データの収集と転送に対処します。

CCPA (カリフォルニア州消費者プライバシー法)

カリフォルニア州:カリフォルニア州民のデータプライバシー権と消費者保護を強化し、企業による個人データの取扱いと使用を規制します。

CPRA (カリフオルニアプライバシー権法)

カリフォルニア州:CCPA を拡大し、カリフォルニア住民のデータ権を強化し、企業規制を厳しくし、対象シナリオを増やすために同意要件を拡大しています。

CDPA (消費者データ保護法)

バージニア州:バージニア州民による個人データのプライバシーコントロール権を強化し、組織が収集した個人情報へのアクセス、修正、削除を許可します。また、あらゆる規模の企業を対象にデータ収集基準と規制を制定しています。

LGPD (個人情報保護法)

ブラジル:EU の GDPR と同様の条項と規制が含まれます。また、ブラジルの企業はデータ保護担当者を任命し、ポリシーが正しく順守されていることを確認しなければならないと定めています。

ServiceNow は、Governance, Risk, and Compliance でプライバシーマネジメントを提供します。プライバシーバイデザインをサポートし、リスクとコンプライアンスをリアルタイムで把握し、Privacy Management で信頼を構築します。

Process Optimization について

組織全般のリスクプログラムの一環としてプライバシーのリスクを発見、管理し、変化を続ける世界の規制要件に対応します。

連絡先
Demo