GDPRがビジネスにどのように役立つかを準備する

公開: 2018-05-24

プライバシーとデータ保護は単なる流行語ではありません。 これらは、データ侵害やサイバーセキュリティの脅威の増加によって引き起こされる深刻な消費者の懸念であり、消費者の個人情報を危険にさらし、消費者の信頼を損ないます。

5か国で7,500人を調査したRSAのデータプライバシーおよびセキュリティ調査によると、消費者はオンラインのセキュリティ侵害にもっと注意を払っていると報告しています。 そして、彼らは彼らの情報が盗まれたときに会社に責任を負わせています。

その調査からの2つの重要な調査結果は次のとおりです。

  • 回答者の73%は、5年前よりもデータ侵害を認識しています。
  • 62%が、ハッカーを非難する前にデータを失った会社を非難すると述べました。

全体的に、消費者はデジタルプライバシーの保護が強化されていることを示しています。 消費者データの侵害は、計画的な盗難や個人情報の大量侵害を伴う必要はないことを忘れないでください。 サードパーティが会社の電子メールサブスクライバーのリストを購入し、そのリストに一方的な電子メールを送信すると、データ侵害を構成する可能性もあります。

これらの活動はいずれも消費者の心に響くものではなく、消費者の感情により、企業は消費者データをオンラインで保護する方法を再考する必要があります。

これらの感情はまた、政府が消費者情報の保護を規制する際により積極的なアプローチを取ることを余儀なくされています。 一部の政府は、データを誰が保存するかに関係なく、消費者により多くのデータの所有権を与える法律を制定し始めています。

そのような規制の1つに、2018年5月25日に発効する欧州連合の一般データ保護規則(GDPR)があります。このデータ保護基準は、消費者がデータにアクセスできるユーザーに関する同意を付与または差し控えることができるように設計されており、深刻な課題を提示します。 eコマース企業向け。

しかし、消費者とのより良い関係を築く機会として企業が歓迎すべき課題です。

消費者がデータ侵害で会社を非難する可能性が高い場合、消費者はデータを保護するために協力している会社を称賛する可能性も高くなります。 したがって、組織はGDPRコンプライアンスに迅速に取り組むことで、消費者を保護したいことを示すのが賢明です。

GDPRの範囲

一般データ保護規則は、欧州連合の28の加盟国すべてにわたるデータ保護法を標準化しています。 この規制の主な目標は、EU諸国全体で消費者データをより一貫して保護することです。

GDPRは非常に包括的な規制であり、200ページ以上と90以上の記事が含まれています。 DigitalGuardianのNateLordは、ビジネスに大きな影響を与えるGDPRの主要な要件のいくつかを特定しています。

  • データ処理の同意
  • 匿名化された透過的なデータ
  • データ侵害の通知
  • 消去する権利
  • データ保護責任者
  • 違反に対する罰則

MarTech Todayが指摘しているように、その中核となるGDPR保護は、明確で簡潔なプロセスとコミュニケーションを実施します。これらは、消費者の明示的かつ肯定的な同意を得て行われます。 そのために、GDPRは、個人を直接的または間接的に識別するために使用できるすべての情報を保護します。 これには、基本的な識別情報、Webデータ、健康データ、民族データ、および政治的意見が含まれます。

GDPRに準拠するには、企業は消費者に個人的なデータを慎重に処理し、必要に応じて情報を制御、監視、削除するさまざまな方法を消費者に提供する必要があります。

GDPRは、エンティティの2つの主要なグループに適用されます。

  • EUに所在する企業
  • EUに所在しておらず、無料または有料の商品やサービスを提供している、またはEU居住者の行動を監視している企業

したがって、主に米国の消費者に販売している米国を拠点とするeコマース企業であっても、AdWordsのリターゲティングキャンペーンのような単純なものは、EU居住者の行動を監視するものと見なすことができます。

EU以外のeコマース企業の場合、2つのオプションがあります。GDPRに準拠するか、EUの消費者市場へのアクセスを完全に失うことです。

2番目のオプションは、面倒で近視眼的です。 EU市民があなたのサイトでウィンドウショッピングをするのを阻止するのにどれだけの作業が必要かを考えてみてください。

代わりに、賢明な動きはGDPRに準拠することであり、その結果、マーケティングおよび販売先の消費者の要求を尊重することです。

GDPRがeコマースに適している理由

Egnyteの共同創設者兼最高セキュリティ責任者であるKrisLahiriは、GDPRにより、消費者が企業に委託したデータを大幅に管理できるようになると述べています。

ここでの重要なアイデアは「信頼」です。GDPRは企業と消費者の関係に新しい基本ルールを設定することを意図しており、この新しい状況では、消費者への直接販売の成功は、信頼性を示す小売業者の能力に依存します。 これまで見てきたように、消費者の3分の2近くが、データ保護の責任はデータを収集する会社にあると主張しています。 法律で義務付けられている限りその責任を真剣に受け止めることにより、オンライン小売業者は消費者に信頼性を示すことができます。

繰り返しになりますが、GDPRは単なるデータセキュリティ対策ではありません。 これは、企業が自分のデータの所有権に対するEUの消費者の権利を尊重することを強制する進歩的な法律です。 この法律は、とりわけ、EU市民は、最初にその会話にオプトインすることなく、マーケティングメッセージの対象とならない権利を持っていると述べています。

eコマースのように消費者の忠誠心を長期にわたって獲得しなければならない業界では、プライバシーに対する消費者の権利を尊重することは単に良いことではありません。

それは信頼の基本的な要素です。

数値の計算:コンプライアンスについて積極的に取り組むためのビジネスケース

組織の現在のセキュリティ構造とプロセス、およびそれらがGDPRとどの程度異なるかによっては、企業が準拠するための作業負荷が大きくなる可能性があります。 GDPRコンプライアンスは、企業にとって非常にコストがかかる可能性もあります。 2018年3月のPropellerInsightsの調査によると、企業の36%がGDPRコンプライアンスの取り組みに50,000ドルから100,000ドルを費やす予定です。 さらに24%は、10万ドルから100万ドルを費やします。

しかし、消費者が組織への信頼を失った場合、これらの金銭的投資はビジネスの損失と比較して見劣りする可能性があります。 オンラインでプライバシーを保護することは消費者にとって最優先事項であり、彼らは彼らを保護するのに十分なことをしていない企業に害を及ぼす力を持っています。

GDPRコンプライアンスに向けた取り組みにおいて、組織は規制を健全なビジネス慣行に変え、消費者とのより良い関係を構築するために使用できます。

また、ビジネスの観点から、コンプライアンスのために時間とお金を前もって投資することで、コストのかかる違反を防ぐことで、長期的には企業のお金を節約できます。 Ponemon Instituteによる2017年のデータ漏えいのコスト調査によると、データ漏えいの平均コストは362万ドルです。 それは予防可能な原因のためにかなりの金額です。

GDPRのセキュリティ要件を実装することにより、企業は、後で7桁の金額を支払う必要がないように、現在5桁の金額を費やしている可能性があります。

GDPRコンプライアンスの準備方法

GDPRの準備は組織によって異なりますが、eコマース企業が正しい方向に進むために実行できるいくつかの基本的な手順は次のとおりです。

1.すべての利害関係者を巻き込む

最初に行うことは、組織のすべてのレベルのチームメンバーを含むGDPRタスクフォースを設定することです。 消費者データを収集、分析、処理、またはその他の方法でやり取りする社内のグループを含める必要があります。 これらのチームメンバーは、GDPRコンプライアンスに必要な変更を実装するのに役立つ情報を簡単に共有でき、それぞれのチームへの影響に対処できます。

タスクフォースを動機付けるために、Marsh&McLennanのPeter Besharは、企業が組織全体に浸透し、コンプライアンスの重要性を促進する、経営幹部レベルでの認識と緊急性のトーンを設定することを奨励しています。

より大きな影響を与えるために規制をパーソナライズします。 個人情報が危険にさらされることを誰も望んでいません。 コンプライアンスの重要性を強調するときは、その角度を使用してください。 個人的なものにすることで、チームメンバーは、組織を準拠させるために実行する必要のある作業の価値をよりよく理解できるようになります。

GDPRは広範囲にわたっています。 すべての利害関係者は、GDPR要件についてトレーニングを受ける必要があります。これには、トレーニングセッションの開発、情報リソースの提供、および定期的な従業員とのコンサルティングが含まれます、と、Above theLawの創設編集者であるDavidLatは説明します。 誰もが資料を理解して消化できる方法で情報を提示することが重要です。そのため、ポスターやビデオなどのビジュアルは、GDPRの複雑さを説明するための優れたツールになります。

2.SIEMツールを実装する

GDPRでは、コントローラーがその責任の下ですべての処理アクティビティを追跡および記録する必要があり、ほとんどの組織はこれを行うためにセキュリティ情報およびイベント管理(SIEM)ツールを利用しています。

SIEMツールは、ハードウェアおよびソフトウェアシステムのネットワークからデータを収集し、データをリアルタイムで分析して、イベントを相互に関連付け、セキュリティ違反を示す可能性のある異常や動作パターンを特定します。テクノロジーライターのPaul Rubensは、eSecurityPlanetのレポートで説明しています。 SIEMツールは、さまざまなデバイスのセキュリティログを管理し、脅威を発見し、侵害を防止および検出し、セキュリティイベントがどのように発生し、その潜在的な影響を判断するための法医学的証拠を提供します。

SIEMツールを実装する前に、消費者の個人情報にアクセスできるすべての重要な資産のインベントリを作成するようにしてください、とマリクは提案します。 また、インベントリにモバイルデバイスを含めることを忘れないでください。 モバイルセキュリティ会社Lookout、Inc。の調査によると、企業の従業員の63%が、モバイルデバイスを使用しているときに顧客、パートナー、および従業員のデータにアクセスしています。

この情報を知っていると、SIEMシステムによるデータ収集に必要なすべてのシステムが確実に含まれます。

3.リスク評価を実施する

非常に広い意味で、GDPR規制は、企業が自社のシステムが直面するリスクに適切なセキュリティ対策を実施することを求めています。 規制は意図的にリスクを定義しておらず、リスクにアプローチしてGDPRコンプライアンスを達成するための最善の方法を決定するのは組織に任されています。

徹底的なリスク評価には、リスクの特定と、特定されたリスクと戦うための軽減計画の作成の両方が含まれます。 サイバーセキュリティおよびコンプライアンス企業であるNetwrixのEMEAゼネラルマネージャーであるMattMiddleton-Lealは、企業がリスク評価を実施するためのいくつかのステップを提案しています。

  • インスピレーションを得るための代替コンプライアンス基準(PCI、DSSなど)を確認します。
  • すべてのデータポイントとその機密性を誰もが知って理解できるように、データを分類します。
  • 特定のリスクを特定し、それらをリスク/ベネフィット比で比較検討します。
  • 継続的に評価します。

GDPRコンプライアンスプロセス全体を通じて法務チームに相談することをお勧めしますが、特にこのステップは、法務が重要なパートナーになる可能性があるステップです。 法務部門は、リスク評価を主導し、継続的な計画を支援し、コンプライアンスを継続的にチェックするのに役立ちます。

4.脅威検出制御を実装します

GDPRでは、企業は72時間以内にセキュリティ違反を報告する必要があります。 この要求を満たすために、組織は、侵害が発生したときに即時アラートをトリガーする適切な脅威検出制御を備えている必要があります。 コントロールは、その小さな時間枠内での応答を可能にするのに十分でなければなりません。

データセキュリティ会社ImpervaのSaraPanは、次のような質問をすることを提案しています。

  • 「誰がデータにアクセスしていますか?」
  • 「アクセスはユーザーにとって適切ですか?」
  • 「どうすれば最速の入射応答を達成できますか?」

脅威の検出は、設定して忘れるプロセスではありません。 内部および外部の脅威を継続的に監視する必要があるため、企業は継続的な評価のプロセスを設定し、詳細なインシデント対応計画を立てることも重要です。 対応計画では、インシデントの調査に焦点を当てて、発生源とそれを封じ込めるためのプロセスを決定する必要があります。

これらのプロセスと計画を定期的にテストすることで、企業はGDPRに準拠した方法で脅威や攻撃に対応できるようになります。

これは、消費者データ保護を擁護するチャンスです

GDPRは、2018年5月25日以降、準拠していない企業に罰金を科す予定です。組織が知っておく必要のある罰金には2つのレベルがあり、GDPREU.orgで詳しく説明されています。

  • 下位レベル:最大1,000万ユーロ、または前会計年度の世界の年間収益の2%のいずれか高い方。
  • 上位レベル:最大2,000万ユーロ、または前会計年度の世界の年間収益の4%のいずれか高い方。

罰金は多額ですが、企業は、ペナルティを回避するためだけに近道をとるのではなく、データ保護とプライバシーを確​​保するための適切なプロセスの実装に重点を置く必要があります。 罰金を回避するためだけにプロセスを回避しようとすることで、組織は規制当局だけでなく、規制当局をビジネスに従事させている消費者の怒りを危険にさらします。 GDPRは、企業を罰するためではなく、消費者を保護するために渡されました。

その目標を念頭に置いて、組織は、個人情報の保護に関心があり、消費者の最善の利益を念頭に置いたセキュリティ対策を積極的に実施することを消費者に示すように動機付けられる必要があります。 コンプライアンスに費やされたすべてのエネルギーとリソースは、消費者が信頼できる企業との取引をより積極的に行うときに報われるでしょう。

しかし、それは企業による献身的な努力を必要とします。 5月25日の期限が迫っているため、組織はGDPRへの準拠を積極的に追求する必要があります。

免責事項:この出版物は、いかなる種類の法的助言を構成するものではなく、資格のある弁護士から独自の法的助言を得るのを妨げるものではありません。 さらに、この記事は法的拘束力のある文書ではなく、実行するためのものではありません。 この記事で提供される内容は変更される可能性があり、適用法の下での要件を完全に反映するものではありません。 この出版物を提供するにあたり、Scalefastは、法的拘束力のある文書を実行することを表明せず、いつでもいかなる種類の責任も負わずに議論から脱退する権利を留保します。

画像:Comfreak、rawpixel.com、無料-写真