個人情報やプライバシーが課題に
2018年のセキュリティ予想で、例年よりもやや強調されているのは、個人情報やプライバシーへの言及だ。その背景には、国内では2017年5月に「個人情報保護法」が改正され、2018年は5月に欧州連合(EU)で「一般データ保護規則」(GDPR)が施行されるなど、個人情報やプライバシーに関する法規制の強化があるようだ。
- 「デジタルセキュリティが基本的人権問題になる」(A10ネットワークス)
- 「子供が作成するデジタルコンテンツを収集している企業の存在が、子供に長期的なレピュテーションリスクをもたらす」(マカフィー)
- 「電子商取引のIDが危機的状況になる」(カスペルスキー)
- 「アイデンティティー(個人識別情報)の危機」(IBM)
- 「プライバシー論争が再燃、新しいフェーズへ」(シマンテック)
企業などでは、顧客の個人情報などを分析してビジネスに活用していく取り組みが広がり、上述の法規制の強化はこうした動きに対応するものでもある。マカフィーの櫻井氏は、企業がプライバシーポリシーなどを十分に確認しない顧客の状況を認識しつつ、法規制などに抵触することがあっても、積極的に情報を集めようする可能性があると指摘する。企業の中には、法規制のリスクを伴っても顧客の情報を利用することが利益になると考えるところがあるという。
特に、若年層がソーシャルネットワーキングサイト(SNS)などのオンライン上に自身の情報をアップロードし、別のユーザーと共有して楽しむといった行為が、将来的には本人のリスクになると警鐘を鳴らす。企業は自社のサービスを継続的に利用させる目的で若年層にこうした行為を促し、彼らのデータを収集する。結果的に企業は、ユーザーの過去の投稿などを雇用の判断材料に用いるといった可能性があり、若年層やその保護者におけるリテラシーの向上が喫緊の課題だと解説している。
シマンテックは、1990年代に巻き起こったプライバシーに関する論戦が2015年ごろから再燃し、特にプライバシーをめぐる政府による監視とのせめぎ合いがあるとしている。具体的には、デバイスと通信の暗号化をめぐる問題が大半だといい、特にコンテンツプロバイダーや通信会社、広告業界での通信の暗号化に対する取り組みや考え方が社会に大きな影響を及ぼしなかねないという。
こうしたことから企業や組織には、個人情報の取り扱いやプライバシーの配慮などについて、これまで以上に明確な取り組みが求められるようになるとの予想が多い。ただ、具体的な取り組みは事業環境などの条件によって大きく異なり、悩み抱えるところが少ない。このためセキュリティ各社は、GDPRのような法規制への対応を基本として取り組み進めるべきだと主張している。
