ビジネスにおいて、プライバシーとセキュリティは混同されやすい言葉です。特に「データプライバシー」と「データセキュリティ」については、それぞれの違いがあまり意識されずに使われることも少なくありません。本記事では両者の明確な違いと、その違いを企業がしっかり理解するべき理由について説明していきます。
データプライバシーとデータセキュリティ
データプライバシーとデータセキュリティは全く異なります。簡単に説明すると、データプライバシーは「個人情報の取り扱いに関するルール」で、データセキュリティは「外部からの攻撃を含むあらゆるリスクから企業のデータを守るための行動」です。
データプライバシーとデータセキュリティには「企業を守る」という共通の目的があります。そして、どちらも企業にとって等しく重要です。それでも両者の違いをきちんと理解したうえで、それぞれについて適切に取り組むことが大切です。
データプライバシーとデータセキュリティはどちらも不可欠
データプライバシーとデータセキュリティは、どちらかをきちんと対策していれば良いというものではありません。
データプライバシーが必要な理由
データプライバシーは個人情報の取り扱い基準(ルール)ですが、これはデータの主体である個人(本人)にとっても、データを保有する企業にとっても重要です。
たとえば個人情報に関するルールが不明確だと、個人情報を紛失したり、個人情報が不用意に第三者の手に渡るなどのリスクが高まります。結果として詐欺やクレジットカードの不正利用といった犯罪の犠牲になったり、思想や病歴などセンシティブな情報が公開されて精神的なダメージを受ける可能性も少なくありません。
企業にとっては、こうしたトラブルは顧客からの信用と顧客そのものを失うことにつながります。もちろん賠償責任が問われる可能性もありますし、個人情報保護法やGDPR(一般データ保護規則)などに基づくペナルティの対象となり、イメージ的にも金銭的※にも大ダメージを受ける可能性があるでしょう。
※GDPRによるペナルティとして、2019年にはGoogleが5000万ユーロ(約62億円)、2021年にはAmazonが7億4600万ユーロ(約970億円)の制裁金を科されました。
データセキュリティが必要な理由
データセキュリティは、データプライバシーを成立させるために必要不可欠です。
データセキュリティには企業が持つあらゆるデータを守るための行動指針や、指針に沿って行動することが含まれます。仮に個人情報を保護するルール(データプライバシー)がしっかりしていても、それを実現できるだけの技術や運用体制(データセキュリティ)がなければ意味がないのです。
とはいえどんなにデータセキュリティに力を注いだからといって、データプライバシーまで自動的に保護されるわけではありません。外部からの侵入を完璧に防ぐシステムがあっても、たとえば「本人の許可なく個人情報を第三者に見せてはいけない」というルールがなければ、個人情報の流出を避けることは難しいでしょう。
法規制への準拠と顧客から信頼獲得がカギ
データプライバシーがしっかり守られるためには、データセキュリティを前提としつつ、法規制に準拠した個人情報の取り扱い方を定める必要があります。
主な法規制について
データプライバシーに関わる法規制は国や地域ごとに定められています。たとえば日本では2005年に全面施行された「個人情報保護法」、EUでは2018年5月施行の「GDPR」、アメリカ・カリフォルニア州では2020年施行の「CCPA」といった具合です。
これらの法規制は随時アップデートされているため、企業がデータプライバシーに取り組む際は、常に最新の情報にアンテナを張っておく必要があります。
顧客からの信頼も重視
データプライバシーでは法規制だけでなく「顧客からの信頼」にも十分に配慮が必要です。著名な政治コンサルティング会社だったケンブリッジ・アナリティカ社は、2016年アメリカ合衆国大統領選挙の期間中にFacebookから取得した個人情報を不正に利用したとされました。顧客からの信用を失った同社は、その後2018年に廃業しています。
このように顧客からの信頼は、企業の存続を左右するほど重要な要素です。データプライバシーに取り組む際は顧客が感じる不安や疑念を理解し、それを払拭することを意識する必要があります。
まとめ:データプライバシーとデータセキュリティの連携を意識する
データプライバシーとデータセキュリティは別個のものですが、両者を完全に切り離して考えることはできません。企業は顧客や従業員の個人情報を適切に管理・運用するためのルールをきちんと整備する一方で、個人情報を含むあらゆるデータを守るためのセキュリティ対策により、顧客からの信頼を得ることができます。