ガートナー、プライバシーとセキュリティの違いなど、「プライバシー」について企業が押さえるべきポイントを発表
- 2019/06/05 10:30
- SecurityInsight
ガートナー ジャパンは6月3日、今後日本でも重要となる「プライバシー」について、企業が押さえるべき重要なポイントを発表した。その概要は以下のとおり。
プライバシーを巡る状況は既に混沌としているが、ガートナーではプライバシーの議論は今後10年内には収束しないと見ている。プライバシーの議論は、デジタルの取り組みを推進する企業ではすでにクリティカルなものになっているが、今後さらに複雑化し、高度な判断が求められるようになる。
企業のリーダー(特にIT、セキュリティ、プライバシー担当役員や現場のリーダー)は、2019年、プライバシーに関するリテラシーを高め、備えに着手する必要がある。具体的には以下の4つの質問に答えられるようにする必要がある。
1.「プライバシー」とは何か。プライバシーとセキュリティの違いとは
2.プライバシー・リスク、セキュリティ・リスクとは何か
3.プライバシー・リスク、セキュリティ・リスクに対して法規制が求めるものは何か
4.企業が注意を要するプライバシー・リスク、セキュリティ・リスクはどこに存在するか
このうちの最初の2つについて解説している。
1.「プライバシー」とは何か。プライバシーとセキュリティの違いとは
プライバシーとセキュリティの違いについて明確な線引きはないが、分けて考えると議論が整理できる。セキュリティは危険や脅威からの「保護」であるのに対し、プライバシーはセキュリティが導入済みであることを前提に、個人データの「扱い」に着目している。
2.プライバシー・リスク、セキュリティ・リスクとは何か
「保護」に失敗、つまり個人情報が漏洩したときに顕在化するのがセキュリティ・リスクであり、個人情報の「扱い」方に失敗、つまり個人のプライバシーの権利が侵害されたときに顕在化するのが、プライバシー・リスクである。
セキュリティ・リスクによって企業が被るダメージは、信頼失墜、個人データ流出への対応費用、損害賠償などがあり、深刻な場合はCEOが辞任に追い込まれることもある。個人情報に関するセキュリティ管理がずさんな場合は、規制当局からの指導や罰金などの制裁を受けることもある。
一方、プライバシー・リスクでは、法的要件を満たさない個人データの「扱い」は制裁を受けるだけでなく、たとえ要件を満たしていたとしても、個人が気持ちが悪いと感じる限界を超えてしまえば、物議を醸し、顧客からそっぽを向かれる可能性がある。場合によっては、顧客は二度と戻ってこず、結果的にビジネスにも多大な影響が及ぶ可能性がある。