ガートナー ジャパンは6月3日、「プライバシー」について企業が押さえるべきポイントを発表した。
同社では、企業のリーダー(特にIT、セキュリティー、プライバシー担当役員や現場のリーダー)に対し、以下の4つの質問に答えられるようにする必要があるとしている。
- 「プライバシー」とは何か。プライバシーとセキュリティーの違いとは
- プライバシー・リスク、セキュリティー・リスクとは何か
- プライバシー・リスク、セキュリティー・リスクに対して法規制が求めるものは何か
- 企業が注意を要するプライバシー・リスク、セキュリティー・リスクはどこに存在するか
デジタル社会とプライバシー
プライバシーとセキュリティーの違いについては、セキュリティーは、危険や脅威からの「保護」であるのに対し、プライバシーはセキュリティーが導入済みであることを前提に、個人データの「扱い」に着目しているとしている。ここでいう「扱い」とは、同意を得る、目的外の利用はしない、透明性を高める、要求に応える、匿名化する――などの個人のプライバシーの権利を侵害しないための一連の対応や仕組みのことを指す。
また、プライバシー・リスクとセキュリティー・リスクについては、個人情報が漏えいした時に顕在化するのがセキュリティー・リスクであり、個人情報の「扱い」方に失敗、つまり個人のプライバシーの権利が侵害されたときに顕在化するのが、プライバシー・リスクだとしている。
セキュリティー・リスクによって企業が被るダメージは、信頼失墜、個人データ流出への対応費用、損害賠償などがあり、プライバシー・リスクでは、法的要件を満たさない個人データの「扱い」は制裁を受けるだけでなく、たとえ要件を満たしていたとしても、個人が気持ちが悪いと感じる限界を超えてしまえば、物議を醸し、顧客からそっぽを向かれる可能性があるとしている。
ガートナーでは、プライバシーを巡る議論は複雑で今後10年内には収束しないとしている。しかしデジタルの取り組みを推進する企業では、既にクリティカルなものになっており、今後さらに複雑化し、高度な判断が求められるようになると指摘している。