Skip to content

データプライバシー週間 : データプライバシー対応の準備はできているか?

    
データプライバシー週間 : データプライバシー対応の準備はできているか?

全米サイバーセキュリティアライアンス(NCA)のおかげで、今年もデータプライバシー週間2024が開催される。

NCAは、毎年データプライバシー週間を主催し、オンラインプライバシーに関する認識を広め、個人や企業が貴重なリソースである個人情報を保護できるようにすることを目的としている。Contrast Securityは、3年連続でデータプライバシー週間に貢献できることを誇りに思う。

今年のテーマである「Take Control of Your Data(自分のデータを管理しよう)」の準備はできているだろうか?オンラインプライバシーに精通して、許可なく機密データを共有する企業を鼻であしらう準備はできているだろうか?さて今週は、変化の激しいプライバシーをしっかりと管理するために必要な、簡単な対策をいくつか行うのに良い週だ。

この記事では、データプライバシーの状況と、データを「管理する」とはどういうことなのかについて、私の考えを紹介する。以下に、個人情報の保護に関してよく寄せられる質問に答えてみた。留意すべき最も重要なことは:

思っている以上に自分には価値があるということ

人々は自分のデータを過小評価する傾向があるか?

大いにある。一般的な考え方では、このようなデータは個人である自分にとっては何の意味も持たないので、それに価値を見出すのは難しいというものだ。しかし、MetaやGoogleなどの企業が利益を上げていると聞くと、彼らがあなたを収益化していることに気づく必要がある。もし、ある企業が、あなたが作った物理的な製品であなたに対価を支払うことなく儲けていたら、許せないことだろう。データだったら違うのだろうか?

データを管理するとはどういうことか?

全米サイバーセキュリティアライアンス(NCA)は、企業やサービスとのデータ共有について、以下の項目を見極めて、十分な情報に基づいて適切な判断をすることを推奨している:

  • そのサービス、アプリ、ゲームは、見返りとして求めらている個人情報の量や種類に見合う価値があるか?
  • そのサービスは、自分のデータプライバシーを管理しながら利用できるのか?
  • 求められているデータは、そのアプリやサービスに関連するものなのか?例えば、なぜ「ソリティア」ゲームに自分の連絡先を全て知らせる必要があるのか?
  • アプリ、サービス、またはアカウントを数ヶ月使用していない場合に、データが収集・共有されている可能性があるかもしれないと知りながら、手元に置いておく価値はあるか?
こうした措置は重要だが、規制体系や、企業が公正で透明性のある対応を約束することも必要だ。
 

プライバシーに関する規制の動向

米国をGDPR(EU一般データ保護規則)のレベルまで押し上げる特定の規制体系はあるのか?

これまでに米国で、一般的な消費者保護プライバシー法の成立に最も近づいたものは、2022年に現れたADPPA(米国データプライバシー保護法)だ。 この法案は下院を通過したが、議会では2023年の暦が終わるまでに正式に審議する時間をとらなかった。

自主規制がうまくいかないことは何度も見てきた。自発的に正しいことをする企業は間違いなく存在する。でも正直に言うと、全ての企業がプライバシーに関して毎回正しいことをするよりは悪用することで、より多くの利益を得る可能性がある。その規制が必要であり、適切に執行する仕組みが必要なのだ。

実際、FTC(米国連邦取引委員会)が一貫して消費者のプライバシーを保護するためにできる限りのことしていることに、とても好感を持っている。FTCには法律があるわけではなく、独自にルールを作っているだけだ。FTCは、適切な活動をするための資金さえ与えられれば、プライバシーに関する非常に有能な規制機関となるはずだ。FTCは何年も忙しくなるであろうが。

ドラッグストアの乳製品売り場であなたは監視されている

データを管理するためには、何から始めればいいのだろうか?

1日かけてデータのフットプリントについて考えてから、先に進もう。

これは難しい作業である必要はなくて、頭の運動みたいな感じでいい。例えば、朝起きたら、携帯を手に取って、今が何時かを確認して、といった具合に。それから、メールをチェックするか?どれもそれほど気にするものではない。 でも、Redditを立ち上げて、ちょっとスクロールして何が起こっているかを見るとする。これが、その日初めて自分が最初に追跡されたことになるけど、まだベッドの中だ。
 

スマホで特定のアプリを起動する頻度を意識して1日を過ごしてみよう。どのWebサイトにアクセスしているか?どのようなフォームに記入しているか?その日はドラッグストアに行くか? 私の地元のWalgreensでは、全ての冷蔵庫のドアを誰が見ているか追跡できる広告に置き換えた。 私はその通路を歩かないようにしている。 そこは、店に足を踏み入れた私に関するデータが監視カメラで追跡される場所だからだ。

重要なのはデータ収集の範囲がどれほどであるかを見極めておくことだ。「自分は何を意識的に選択しているか?」と考えることから始めればいい。何であれなれば自分は納得するのか、どこか他を調べたほうがいいかもしれないとか、または、企業に対して異議を唱えて「ねぇ、歯医者が、こんな不必要な情報を求めるようになったんだね?」と言うとか。

そんなのあげるつもりはないよ。別の歯医者を探した方がいいかな?」と言うことができる。

プライバシーに関する仕事をするようになってから、フォームを見て、これは何のために必要なのかと考えるようになった。なぜこれが必要なのか自分は理解しているか?この情報を入力せずに先に進むことはできるか?

私のデータを書類に記入する人たちに対して、問いたい。「データをシステムに入力したら、そのデータをどうするのか?どのようなシステムを使っているのか?ハードコピーはシュレッダーにかけているか?」

医療機関によっては、書類を一度も変更したことがない場合もある。その場合は個人情報の盗難が心配であることを伝えて、やんわりと断ることができる。 請求に問題があった場合にあなたを探し出せるようにするために、個人情報が必要だと言われることもあるかもしれない。その場合は、あなたの携帯電話番号を使って連絡するよう言うこともできるだろう。

データプライバシーを管理できないことが分かっても、そのサービスを使い続ける価値のあるサービスやアプリはあるか?

私の考えでは、プライバシーとは選択の問題であって、管理するものではない。
 
今日の世界には多くの選択肢がある。例えば、Amazonを利用するときなどを考えてみよう。何百万もの製品から選択でき、選択肢が膨大になる可能性がある。多くの場合、企業はユーザが好むと思われるものを勧めたいと考えており、こうしたおすすめ商品は盛大に表示される。企業はユーザが欲しいものを見つける手助けをしたいと考えており、それはパーソナライゼーションで行われるが、ほとんどの場合、個人情報に基づいている。企業は、あなたが何歳で、どこに住んでいて、どの社会経済的集団に属しているかを知っている。そして、あなたと類似したユーザがこのようなものものを買うのを好むと判断し、あなたに同じものを買うよう勧める。選択肢が多すぎて、すべての選択肢を比較検討する時間がないことを企業は分かっているので、このようにオススメ商品が表示されるのだ。
 
しかし、Amazonの検索結果の最初の1~2ページ以降にアクセスすることが、どれくらいあるだろうか?Googleの検索時に、検索結果の最初のページより後のページに行ってスクロールすることは、よくあるだろうか? 何が表示されるかは誰かが選択してくれていて、それが自分の嗜好に合っている場合は、本当に便利だ。なぜなら、欲しいものを見つけるためにAmazonで全てをスクロールしなくても良いから。でも、パーソナライゼーションがうまくいってない時は、パーソナライゼーションをオフにして、自分で選択したいと思う。物事をうまくやろうとしている企業でさえ、バランスを見落とすことがよくあるのだ。大手IT企業のリーダーたちは、「個人についてできる限りのことを知ろう。そうすれば、ユーザが何を必要としているかを伝えることができる。」という考えにとらわれている。
 
本当にそれを望んでいる人もいる。 また、利用可能な全てのものにアクセスして、自分で選択したいと考える人もいる。
 
プライバシーとは、管理するものではなく、選択するものだと思う。本当にプライバシーに準拠したシステムを構築しているのであれば、「今日はパーソナライゼーションしたい」という選択肢をユーザに提供すべきだ。
 
Cookie(パーソナライズを可能にする情報の小さなファイル)の使用同意のポップアップが表示される場合に、ほとんどの人は「全て許可」をクリックして、一番簡単な方法を選ぶ。これは簡単だけど、サイトで個人情報が収集されるのを制限する最善の方法ではない。実際、何を許可/拒否するかを管理するのはまったく難しいことではない。例えば、ChromeブラウザでCookieを設定する方法を見て欲しい。

 

毎年のように責任をなすりつけるのは不公平か?

エンドユーザを指差して、データプライバシーを管理する全ての責任をエンドユーザに負わせるのは現実的なのか?

データプライバシー週間の全体のテーマは、自分のデータを管理することだ。 もちろん、NCAがリスト化している措置は重要だ。 しかし、規制体系や、企業が公正で透明性のある対応を約束するとこも必要だ。
 
「データを管理する」というのは、本当に良いアイデアだ。でも、それは完全に実社会と適合する訳ではないと思う。世の中に存在するためは、自分のデータを特定の機関に提供しなければならない。現代の生活は、ある程度のデータ共有がつきものだ。それについては管理できないし、自分のデータを管理するべきなのは自分だと言うのは、少し見当違いだと思う。
実際に非常に良い例がある。数か月前、23andMe社で情報漏洩が起こった。あるハッカーが、過去に差別を経験した特定の種類の背景を持つ人々のリストを入手し、そのデータを売りに出した。 23andMe社はその後、これはそもそもユーザーのせいだと言った。
 
このような企業には、収集したデータに対する責任がある。特に、今回のように23andMe社が収集したデータから多くの利益を得ている状況ではなおさらだ。なのに、企業はユーザにも料金を請求するので、ユーザは企業に自分のデータを提供するためにお金支払わなければならない。それは、すごくバカげてる。
 
データのプライバシーを保護するための措置を講じることは、明らかにユーザ個人の責任であり、大事なことだと思う。しかし、見落とされがちなのは、十分な情報を得ることは非常に難しいこと、さらに「パスワードは使い回さないように」というアドバイスに従うことさえ難しいということだ。
 
個人の消費者の事となると、ユーザが専門家並みにならなきゃいけないものが多すぎる。ユーザは企業のセキュリティ体制をレビューしなきゃいけないし、自分の遺伝データを共有するリスクを理解しなきゃいけない。そして、すべての金融口座を予算管理アプリに接続するリスクを理解しなきゃいけない。一人でこれらすべてを理解するには時間が足りない。
 
データプライバシーの責任は、個人だけでなく、双方が責任を持つ必要がある。 企業がユーザのために全てをやってくれることを期待できないのと同じように、個人だけが自分のデータに対して責任を負うのだとは言えない。双方に妥協が必要だ。

ContrastのTrust Centerを今すぐチェック!

2023年、ContrastはTrust Center(セキュリティセンター)を立ち上げた。 これは、Contrastユーザだけでなく、導入を検討中のお客様、パートナーなどにも向けたワンストップショップで、プライバシー、セキュリティ、コンプライアンスに関してContrastが提供するすべてを理解できる。その内容をよく理解して欲しい。特に当社のプライバシーポリシーを!

 

NCAのアドバイスで日頃使っているものは?

データのプライバシーを管理するためのNCAのアドバイスに関して、私が最も注意しているのは次の点だ:

  1. 自分ではコントロールできないことを知ること。例えば、地図アプリには位置情報が必要だ。内国歳入庁(IRS)は社会保障番号を必要とする。
  2. データプライバシーの習慣を身に付けること。アプリでデータのプライバシーを管理できない場合は、似たような別のアプリを試してみることだ。
  3. 設定を確認すること:
  • カメラ – オフ 
  • マイク – オフ
  • 位置情報 – オフ 
  • 連絡先共有 – オフ
  1. 使わないアプリを削除すること。冷酷になろう。

データ管理に関して人々が犯す最大の過ちと言えば

人は反対することを恐れる。恐れないで。「どうしてなのか?」理由を聞こう。

パスワード、パスワードマネージャ、多要素認証(MFA)、自動アップデート、フィッシングメッセージに関する意識などを使って、これらを行うように人々を説得するにはどうしたらよいのだろうか?

セキュリティとプライバシーの維持は本当に負担に感じるので、抵抗があるのは理解できる。教育が重要であることに変わりはないが、現実的でなければならない。
 
以下はセキュリティー対策であり、私の範囲外になるが、それでも再確認する価値はある:

Contrastでは、日々プライバシー保護を意識・実践している。当社には、プライバシー保護に関する広範な文書があり、定期的に更新されている。例えば、社員が次のようなことを自分達で判断できるようにするための社内ガイドラインがある:

  • メールがフィッシングである可能性が高い場合;
  • 実際にメールがフィッシングであると判断した場合にそのメールをどうするか;
  • 次のような場合の対処方法:
    • リンクをクリックした
    • 添付ファイルをダウンロードした
    • 認証情報を入力した
    • 添付ファイルを開いた
    • メッセージに返信した など。
  • また、これらの間違いを犯してしまった場合にセキュリティ部門に連絡を取る方法も説明している。
Contrastの全社員に言っているのは、「ContrastのCTO兼共同設立者であるJeff Williamsが、社員の給与情報を確認するように聞いてくることはない。CEOのRick Fitzが、社員に数枚のギフトカードを買ってくれとは頼まない。特に、夜中の2時には。また、給与担当者が、同僚の社会保障番号を確認するよう聞いてくることはない。」
 
このようなフィッシング攻撃を回避する方法について、自分自身や社員、同僚、家族、友人に教えることは、データ管理するための大きな一歩となる。
 
Contrast社員一同、皆さんが有意義なデータプライバシー週間を過ごし、データプライバシー通になれるよう幸運を祈っている!
 

関連記事/サイト:

Contrast Security Japan