1億4700万人のアメリカ人の個人情報を暴露した2017年9月のEquifaxデータ漏洩、そしてそれ以降に起こった多くの有名データ漏洩以来、データセキュリティとデータプライバシーが役員会レベルの緊急懸案になったのです。
2019年エデルマン・トラスト・バロメーター・スペシャルレポートによる。 In Brands We Trust? では、81%の消費者が、ブランドの信頼性が購買の意思決定に大きな役割を果たすと回答しています。 つまり、今日のデータ侵害は、罰則というボトムラインのリスクだけでなく、組織のブランドや評判を危うくし、新規顧客の獲得や既存顧客の維持に直接影響を与えるものなのです。
「企業は、プライバシー侵害による規制上の制裁や風評被害、結果的な顧客喪失などの商業的影響を減らすために、コンプライアンスとビジネスリスクの問題の両方としてプライバシーを扱う必要があります」と、英国の Information Security Forum の managing director、
Steve Durbin は述べています。
More than semantics
情報セキュリティコミュニティ以外の多くの人にとって、「データセキュリティ」と「データプライバシー」という言葉はしばしば互換的に使用されます。 実際には、共通の目標を共有していても、同じではありません、とPotomac Lawのサイバーセキュリティ・パートナーであるGreg Ewingは述べています。
「データ・プライバシーとデータ・セキュリティの違いは、誰かの個人情報を保護することと、あなたのビジネスのすべての情報を保護するために実施しているセキュリティ対策の違いです」と、彼は言います。
カリフォルニア州消費者プライバシー法 (CCPA) や EU の一般データ保護規則 (GDPR) などの規制が施行された現在、この区別は意味論以上の問題になっています。 例えば、GDPRは、EU市民の個人を特定できる情報(PII)を含むデータ侵害に対して、数十億ドルにも及ぶ深刻な金銭的罰則を課しています。 PIIの記録1件につき2,500ドルから7,500ドルというCCPAのコンプライアンス違反の罰則も、同様にすぐに膨れ上がる可能性があります。
COVID-19の大流行が収まる気配がない中、より多くの人々がこれまで以上にオンラインで時間を過ごすようになっています。 COVID-19 前後のオンライン使用における大規模なシフトは、大規模なソーシャル メディアおよびエンターテインメント企業が顧客データをどのように収益化するかに対する一般的な不信感と相まって、州の規制当局も気づかないわけがありません。 全米州議会議員会議によると、現在30州でプライバシー保護法案が審議されている。
「データ・プライバシーは、本質的に、組織のデータ・セキュリティのサブセットです」とユーイングは述べています。 「データ・プライバシーを維持するためのツールとデータ・セキュリティを確保するためのツールは重なるかもしれませんが、この 2 つは一般に、異なるツールを使用する異なるチームによって異なる方法で対処されるため、この区別は重要です」。
この重複は混乱を招き、データセキュリティだけに注力する企業には、デフォルトでデータプライバシーも保護されているという誤った印象が残ります。 しかし、そうではありません。 データ セキュリティは、組織のすべてのデータを盗難や破損 (ランサムウェア攻撃時など) から保護することに重点を置いていますが、データ プライバシーは、より詳細なものです。 データプライバシーを確保するために、組織は、データへのアクセスを許可された人物やデータの保存場所(例えば、HIPAA(医療保険の相互運用性と説明責任に関する法律)に準拠したクラウドなど)を理解し、追跡し、制御しなければなりません。
データプライバシーとデータセキュリティの違いを示す好例として、2016~17年の米大統領選の際に、今は亡き政治コンサルティング会社Cambridge Analyticaが8700万のFacebookユーザープロファイルを採取したことが挙げられると、2018年5月に閉鎖されるまでCambridge Analyticaの代理店側PRを行っていたコミュニケーションコンサルタントJoshua Kailは述べています。 データが安全であったとしても、Facebookはユーザーデータの使用に関して、独自のプライバシーポリシーと2011年のFTCの同意協定を乱用した。
「従来の悪質なサイバー攻撃ではなく、基本的にデータを引き渡した上で不適切な方法で使用されたという点で、データセキュリティの観点からは奇妙な例だった。 “データのプライバシーに関しては、私たちは皆、アカウントでサインアップした瞬間にそれを失ってしまったのです。 本当に、ケンブリッジに利用されたのは『私たちのデータ』ではなく、私たちに関するフェイスブックのデータだったのです。 この区別こそが、現在のデータポリシーの本当の危険性が生きているところです。”
Kail は最近、Bill Detwiler の TechRepublic Dynamic Developer ポッドキャストに出演し、データ プライバシーとデータの権利について議論しています。
A matter of trust
データ プライバシーは年々規制が強化されていますが、それでも今日、大部分は信頼に起因する問題であると、IEEE 会員で Ascent Solutions のサイバーセキュリティ戦略家でもある Kayne McGladrey 氏は述べています。 ケンブリッジ・アナリティカのスキャンダルをきっかけとした反発が示すように、人々が取引先企業に何を期待するかは、データの利用を規定する法律と同じくらい重要なことなのです。
「今日のデータプライバシーは、主に法律、規制、社会規範に基づく個人データの処理に関係しています」とMcGladreyは述べています。 “多くの場合、これは、消費者が理解しがたいプライバシー ポリシー (読むのに 20 分近くかかるようなもの) を無視してから、そのポリシーへの同意を認めるボタンをクリックすることで表現されます。 消費者がそのポリシーに同意することで、その組織は、消費者の興味に基づいたターゲット広告を表示するためにデータを使用するなど、文書化された方法でデータを扱うことができるようになります。 しかし、その組織が消費者の同意なしに、それらの個人データを他の組織に売って予想外のこと(保護された言論の自由を抑圧するために使うなど)をさせたとしたら、それは規制管理か社会規範の違反によって、プライバシーの侵害となるだろう。”
過去数年間に起こったすべてのこと — 大規模なデータ侵害の絶え間ない鼓動、企業や個人に対するエスカレートするサイバー攻撃 — を考えると、取引先企業やその収集を義務付ける政府の手に、人々が自分のデータはもはや安全ではないと感じることは驚くことではありません。
このような不信感から、企業がこれらの問題の前に立ちはだかる必要性はこれ以上ないほど大きいと、loanDepot の情報セキュリティ ガバナンス マネージャー、Lili Ana 氏は述べています。
「ハッキング業界が急速に成長し、サイバー犯罪者がより多くの資金を持つようになり、デジタルアットホームワークプレイスのグローバルな変革が新常態となり続ける中、企業は情報セキュリティとデータプライバシーとデータセキュリティが企業と消費者を守るためにいかに連携しているかを理解し行動する必要があります」とAna氏は述べました。 “積極的なアプローチでビジネスを保護するための投資は、ビジネスを破壊するだけでなく、評判、信用、消費者の信頼を台無しにするデータ事故や侵害という代替案よりもはるかにコストが低いです。”
Also See
- プライバシー対策が不十分な企業はデータ侵害に遭う可能性が80%高い (TechRepublic)
- カリフォルニア州の新しいプライバシー法を遵守するために企業はしばしば手動プロセスに依存 (TechRepublic)
- Whonix advanced security and privacy distributionの使い方 (TechRepublic) Zoom.jp (TechRepublic)
- 。 セキュリティとプライバシーの約束は1つを除いてすべて果たした (TechRepublic)
- 顧客はプライバシーへの懸念からデータを手放したがらない、Oktaが発見 (TechRepublic)
- ほとんどの米国人はCOVID-19の拡散と戦うために個人データのプライバシーを見送ることをいとわない (TechRepublic)