2017年9月に米信用情報大手のEquifaxがサイバー攻撃を受けて1億4700万人の米国在住者の個人情報が流出したと発表して以来、多くのデータ流出事件がニュースの見出しを飾ってきている。その結果、データプライバシーとデータセキュリティは取締役会レベルの差し迫った懸念事項となっている。
Info-Tech Research Groupでセキュリティ/プライバシー/リスク/コンプライアンスのプラクティスリードを務めるAaron Shum氏は「Equifaxの事件によって、今まで潜んでいた(サイバーセキュリティ関係の)多くの問題がビジネスレベルに浮上してきた」と述べた上で、「われわれは、組織というものに存在し得るある種の機能不全があったと認識している」と続けた。
Edelmanのレポート「2019 Edelman Trust Barometer Special Report: In Brands We Trust?」(2019 エデルマン・トラストバロメーター スペシャルレポート:ブランドは信頼に値するのか)で示されているように、コンシューマーの81%は「ブランドが正しい行いをしていると信じられること」が、商品を購入するかどうかの決定要因であると回答している。言い換えると、今日ではデータ流出によって、会計上の不利益というリスクがもたらされるのみならず、企業のブランドや評判に傷が付き、新規顧客の獲得や既存顧客の維持にも直接影響するのだ。
英国のInformation Security ForumのマネージングディレクターであるSteve Durbin氏は「企業はプライバシーをコンプライアンスリスクとビジネスリスクという双方の観点から取り扱い、プライバシーの侵害の結果としてもたらされる、規制当局による制裁とともに、評判の毀損(きそん)とそれに伴う顧客の喪失といった商業上の影響を低減する必要がある」と述べた。
言葉の表面的な違いだけではない
情報セキュリティコミュニティーに属していない人々の多くは、「データセキュリティ」と「データプライバシー」がしばしば可換な用語だと認識している。Potomac Lawでサイバーセキュリティなどを担当するパートナーGreg Ewing氏によると、これら2つの言葉は目標を共有しているものの、実際には同じではないという。
Ewing氏は「データプライバシーとデータセキュリティの違いは、個人の情報を保護することと、企業におけるあらゆる情報に対する保護を実現するセキュリティ対策を講じることの違いだ」と述べた。
カリフォルニア州消費者プライバシー法(CCPA)や、欧州連合(EU)の一般データ保護規則(GDPR)といった規制が実施されている現在、両者の違いは言葉の表面的な違いだけの問題にとどまらない。例えばGDPRの下では、EU市民のPII(個人を特定できる情報)に関わるデータ流出を発生させた場合には数十億ドルにもなり得る多額の制裁金が科される。またCCPAの下では、コンプライアンス違反にはPIIレコード1件あたり2500~7500ドル(約27~80万円)の罰金が科されるため、その総額はあっという間に莫大なものになり得る。