データプライバシーは、認可された人物が意図された目的のみにデータが使用されることを保証するデータセキュリティの一形態です。
データを作成、収集、共有、分析する機能は飛躍的に拡大しています。 事実、人類は毎日 250 京バイトという天文学的な量のデータを生み出しているといわれています。 さらに、毎日毎分、組織は大量のデータを収集してマイニングし、インサイトをトレンドや機会に変え、顧客の考え方を把握しようとしています。
ところが、データ収集は一網打尽型アプローチを取りがちになり、よりパブリックなデータとともにユーザーのプライバシーに関わる機密情報を違法に取得してしまい、消費者にとっても組織にとっても問題が生じています。 また、顧客が「自らの意思で」共有した個人データでさえ、不正アクセスに対して安全に保護されていないと大きな問題になります。 そのため、データプライバシーの問題はあらゆる市場や業界が当事者となる懸念事項なのです。
データのデジタル化の範囲と有効性が改善されたおかげで、あらゆる種類の組織が、取得した個人のデータに基づいて個人プロファイルを容易に構築できます。 また、名前、年齢、住所といった基本情報の範囲を超えて、現在ではあらゆる形式の個人情報がデジタルデータとして存在します。そのなかには一見無害な情報 (興味や趣味、購買傾向、人間関係など) からきわめてプライベートなもの (マイナンバー、信用情報、健康データ、現在地、移動状況など) まで含まれます。
多くの場合、オンラインで自ら、あるいは知らないうちに共有された情報は機械によってスマート化されます。たとえば、ソーシャルメディアに投稿した子犬の写真は、セミインテリジェントアルゴリズムの学習に利用され、子犬を認識できるようにするために使われます。 私たちがオンラインで行う検索は、人間の言語をより自然に理解させて複製できるように機械を教育しているのです。
ところが、データがどのように使用されようと、データが存在し、未知のユーザーが利用できる状態にあるということが大いに警戒を招いています。 世界中の顧客 (当然政治家も) が組織に対し、データの元の所有者にデータの収集と使用の方法について最終判断する権限を与えることを求め始めています。
そのため、健全なデータプライバシーポリシーを設定して順守する組織は顧客との信頼関係を築きやすくなります。 同時に、新たに制定されるデータプライバシー法、規格、規制の違反に関わる法的リスクも排除できます。 Facebook が FTC に 50 億ドルの罰金を課されたのは記憶に新しいところですが、これもこうした法律を犯した場合の罰則がいかに厳しくなっているかを物語っています。
Facebook の 50 億ドルという罰金は消費者プライバシー法違反について組織に課された過去最高額ですが、間違いなくこれが最後の例にはならないでしょう。 米国、EU、南米、その他世界各地の政府監視機関が無許可のデータ収集と使用に対して厳しい姿勢を取っています。 データプライバシーポリシーの更新を怠っている組織は、顧客の信頼以上のものを失うリスクを負っているのです。
逆に、データ保護プレイブックを積極的に最新化し、リアルタイムの統合自動化テクノロジーを採用し、データが倫理と法に従って使用され、データ所有者の権利を侵害していないことを保証している企業には、さまざまなメリットがあります。
そのメリットは以下のとおりです。
前述のように、データプライバシーの最も関連性の高いビジネスメリットは、罰則と罰金を回避することです。 プライバシー法違反に対する厳罰化が進んでおり、個人情報が違法に公開されるという被害を受けた顧客に対する補償は言うまでもありません。
それ以上に、政府グループはユーザーデータの保護という使命を重く受け止めており、新たな法令を制定し、監視活動を増加して組織が顧客データを危険にさらしていないかを確認しています。 適切なデータプライバシーポリシーを作成して順守している組織なら、刑事責任を問われることを恐れる必要はありません。
顧客と組織の関係は単なる購入取引に留まりません。顧客が組織とビジネスをすることを選んだ場合、その組織は取引プロセスにおいて交換される個人データを尊重し保護すると信頼することになります。 そしてその信頼が裏切られると、信頼回復は困難です。
プライバシーの侵害は社会的評判とブランドを著しく損ないます。 今日の顧客は数多くの選択肢を持っており、多くの場合、データセキュリティに関してはたった 1 回の過ちで競合他社に顧客が流れてしまいます。 反対に、データプライバシーへのコミットメントを明確に打ち出し、データの収集と使用の方法について顧客に無制限のコントロールを与え、データ取扱いについて透明性をもって活動する組織は、顧客ロイヤルティを向上させることができます。 これはブランド価値の向上と顧客生涯価値の拡大を意味します。
データプライバシー管理では、組織はデータとビジネス全体でのデータの取扱いをさらに詳細に監視する必要に迫られます。 データの収集と使用の方法を決める詳細な監査から始まり (その後は定期監査の継続)、組織はデータ管理の非効率性を容易に特定して解消できます。 これで、よりデータを重視する社風が生まれ、ビジネスプロセスの合理化が進み、あらゆる部署のあらゆるレベルにメリットがもたらされます。
プライバシーイニシアチブにより、ビジネスのデータプラットフォームを統合し、すべての関連データとデータ管理ツールを単一の一元化した場所に集約できる可能性もあります。 これでデータのサイロ化にまつわる危険を取り除き、データ分析を改善し、データ整合性を向上させ、インサイトを活用してビジネスの意思決定を下せるようになります。
顧客へのサービスを向上し、信用へのダメージを回避し、新規法令と確立された法令の順守を維持するため、多数のソフトウェア開発者が「プライバシーバイデザイン」(PbD) を採用しています。
PbD はデータプライバシーの新しい、より意図的なアプローチです。 PbD により、システムエンジニアはプライバシーチェックとソリューションをすべての製品、サービス、インフラストラクチャ、ビジネスプラクティスに採用するようになります。 これらの検討事項を開発の早期段階から取り入れ、本番環境全体からロールアウトとポストロールアウトのサポートまでを通して継続的な重点事項とする必要があります。
PbD により、データプライバシーがローンチ直前の後付け的項目ではなく、開発のライフサイクル全体での最重要項目となります。
残念ながら、効果的なデータプライバシーとは顧客データを責任を持って取扱うと決定する、といった単純なことではありません。 現代のビジネスには多様なハードルがあり、データプライバシー管理を成功させるにはそれを克服または回避しなければなりません。
人工知能 (AI) の進化によって組織は大量のユーザーデータをより容易かつ正確に分析できるようになりました。 ところが、この新しい機能には対応を要する一定の倫理的問題が伴います。 データ分析はどこまで許されるのでしょうか? AI は、そもそもは無害なデータを基にきわめてプライベートで価値のある個人情報を抽出できます。 組織はそのような戦術を採用する前に、この種のデータの収集から派生する問題について十分に認識しなければなりません。
データプライバシーの責任の主な部分は、それを扱う従業員に課されます。 トレーニング不足の従業員は簡単にデータの誤配置、暴露、不正使用をしてしまい、顧客をリスクにさらし、会社への賠償金が生じるおそれがあります。 同様に、信用できない従業員が機密データを盗もうと虎視眈々と狙っています。 顧客情報へのアクセスを与える前に従業員全員を徹底的に調査し、関連性の高いデータプライバシーポリシーと規格について従業員全員がトレーニングを受ける必要があります。
多くの組織はデータの収集と分析に重点を置いていますが、ビジネスの関係が終了すると、データに対する責任を最後まで全うすることを完全に怠ってしまいます。 個人データは確立された規格に従って、顧客 (または従業員) がそのビジネスに携わっている間のみ保管します。 個人データを必要以上に長期間保持することは、罰金や罰則の対象となる場合があり、潜在的なデータ侵害の被害を深刻化させます。
Web とクラウドでホスティングされているソフトウェアによって、無防備な組織には安全性の低いデータアクセスポイントが生まれるおそれがあります。 データセキュリティでは新しいアプリケーションをすべて徹底的に調査し、安全であると認定されたうえで組織内で使用できるよう展開する必要があります。
データ保護は基本ですが、データに対する脅威がセキュリティコントロールを突破してしまった場合、または緊急事態によりデータ整合性が脅かされる場合は、効果的なインシデント応答計画が必要です。 計画を作成、共有、改善し、トレーニングを行って、データ侵害の最初の徴候があったときに計画を展開できるようにすることが、そのような脅威による潜在的損害を抑えることにつながります。
新しい法令では顧客がデータの使用について組織に明示的な許可を与えなければならないと規定されています。その場合、共有されるデータの種類を選択する自由も与えられることが重視されています。 取引に必要不可欠な範囲にデータ収集活動を制限することを怠った組織は、法的に訴えられる恐れがあります。
悪徳業者が法律用語や複雑なポリシー契約で本来の目的をごまかせたのは、もう昔の話です。 今やデータプライバシー契約条件は、顧客その他のステークホルダーが容易に理解できる方法で明示しなければなりません。 ユーザーが自分は何に対して同意をしようとしているのか明確ではなかったと示すことができる場合、それは組織側の過失責任になります。
顧客が個人情報を含むオンラインフォームへの入力を途中で止めた場合、
他のユーザーがそのデータへのアクセス権を得る可能性が残されます。 セッション期限切れの安全性機能は、
ユーザーが割り当てられた時間内にサイト上で特定のアクションを実行しなかった場合に
個人情報フォームやその他の情報へのアクセスを切断するよう設計されています。 こうした安全対策をすべての
アプリケーションとコンピューターシステムに搭載することが、データ漏洩の防止につながります。
デジタルデータはポイント A からポイント B へ直接届けられるものと思いがちですが、
実は移行中のデータは想定外の経路で受け渡されることがあるため、個人情報が
無許可のユーザーに流出する潜在的リスクがあります。 セキュリティの脆弱なチャネルはデータプライバシーの大きな問題です。組織は
セキュリティの強固なチャネル (SFTP または TLS) のみを使うべきです。
今日のビジネス環境においてデータプライバシーが主要課題であることは明白ですが、 組織がこの課題を
克服してデータプライバシー重視の文化を形成するには、どうすればよいのでしょうか。 ここではまず、
参考にできるベストプラクティスをいくつかご紹介します。
データプライバシーは組織全体に影響を及ぼす問題であり責任でもあるため、IT 部門だけに責任を押し付けることはできません。 包括的アプローチを取り、データプライバシーポリシーを策定して従うよう組織内の全部署を関与させましょう。
効果的なデータプライバシー管理は、データがどこにあり、何が含まれ、誰がアクセスすることができ、どの程度最新の状態かを組織が明確に把握しているかどうかにかかっています。 データのマッピングは組織の現在のデータの状況を詳細に示します。
実行可能なポリシーや条件を実施することは対策の半分にすぎません。 こうしたポリシーを順守できず、約束と義務を果たせないままでいる組織は、法的責任を突きつけられ、顧客を失望させることになります。
データ収集は静的プロセスではありません。関連性が高く有益であると組織がみなすデータのタイプは、四半期ごと、またはより頻繁に変化する可能性があります。 つまり、もし組織がデータ収集と使用の実践方法を更新しようと決めた場合、こうした変更を反映するためにポリシーを更新する必要があるのです。
ビジネスは孤立しては成立しません。第三者のベンダーや契約業者が顧客の個人データにアクセスする必要が生じることもあります。そのため、組織はこうしたパートナーを厳しく審査し、信頼性の高いセキュリティ対策が実践されているかを確認することが重要です。 さもないと、第三者が弱点となってデータ漏洩が発生する恐れがあります。
政府はデータプライバシー違反に対して年々強硬な姿勢を取るようになっています。 世界各地でデータプライバシーの強化を目指して制定された最近の法令をいくつかご紹介します。
EU (欧州連合):EU 市民が自らの個人データに対して持つコントロールを強化し、組織に対するデータ規制を簡素化して確立し、EU/EEA 圏外の個人データの収集と転送に対処します。
カリフォルニア州:カリフォルニア州民のデータプライバシー権と消費者保護を強化し、組織による個人データの取扱いと使用を規制します。
カリフォルニア州:CCPA を拡大し、カリフォルニア住民のデータ権を強化し、組織規制を厳しくし、対象シナリオを増やすために同意要件を拡大しています。
バージニア州:バージニア州民による個人データのプライバシーコントロール権を強化し、組織が収集した個人情報へのアクセス、修正、削除を許可します。 また、あらゆる規模の組織を対象にデータ収集基準と規制を制定しています。
ブラジル:EU の GDPR と同様の条項と規制が含まれます。 また、ブラジルの組織はデータ保護担当者を任命し、ポリシーが正しく順守されていることを確認しなければならないと定めています。
ServiceNow は、ガバナンス、リスク、コンプライアンス (GRC) でプライバシー管理を提供します。 プライバシーバイデザインをサポートし、 リスクとコンプライアンスをリアルタイムで把握し、プライバシー管理で信頼を構築します。