オンラインで行われるビジネスがますます増えるにつれ、顧客が企業に託す個人データの量も増えており、データセキュリティは企業にとっても顧客にとってもますます重要になっています。シスコの 2022 年消費者プライバシー調査によると、顧客の 80% 以上がデータ処理を購入決定の要素として考えています。この需要は各国の法律にもますます反映されるようになり、個人識別情報 (PII) を保護するための規制が増加しています。このデータは、機密個人情報 (SPI) とも呼ばれ、名前、住所、生年月日、社会保障番号、生体認証情報など、個人を特定できるあらゆる情報が含まれます。
データ収集の増加とデータの取り扱いに関する監視の強化に伴い、企業が顧客の個人情報を保護することの重要性を認識し、このデータを責任を持って取り扱う方法を理解することがこれまで以上に重要になっています。このブログでは、PII の保護がなぜそれほど重要なのか、データ漏洩を防ぐためのベストプラクティス、そして Transmit Security が顧客のデータを安全に保つために使用しているいくつかの安全対策について説明します。
顧客の個人情報を保護することが重要な理由
顧客の個人データを保護することが重要な理由はいくつかあります。まず第一に、それは正しいことです。顧客は企業に個人情報を信頼して預けており、企業にはユーザーの信頼を維持するためにその情報を保護する責任があります。
さらに、顧客の個人情報が漏洩するデータ侵害は、企業と影響を受ける顧客の両方に深刻な結果をもたらす可能性があります。侵害が発生した場合、社会保障番号、クレジットカード情報、その他の個人情報などの機密情報が盗まれ、個人情報の盗難やその他の詐欺行為に使用される可能性があります。これにより、顧客に多大な経済的損失が生じるだけでなく、企業の評判が損なわれ、法的責任が生じる可能性があります。IBMの2022年データ侵害コストレポートによると、世界全体のデータ侵害の平均総コストは435万ドルで、これは訴訟費用、ブランド価値の損失、顧客離れ、侵害を封じ込めるための技術的活動など、さまざまな要因の結果です。
さらに、ヨーロッパの一般データ保護規則 (GDPR) や米国のカリフォルニア州消費者プライバシー法 (CCPA) など、多くの国が厳格なデータ保護法を施行しています。これらの規制は、ヨーロッパやカリフォルニアに所在する企業だけでなく、それらの地域のユーザーからデータを収集または処理する企業にも適用されます。これらの規制に従わない企業は、多額の罰金や法的措置に直面する可能性があります。
顧客の個人情報を責任を持って取り扱う方法
データ処理に関するユーザーの期待がますます高まる中、また PII の使用に関する規制に準拠するために、企業は次の手順を実行する必要があります。
- 収集するデータの量を制限する: 責任を制限するため、また顧客データの使用方法を規制する法律に準拠するために、収集する個人データは、その収集目的に必要なデータのみにすることが重要です。企業は、必要のない情報や使用しない情報の収集を避ける必要があります。
- データを安全に保存する: 顧客の個人データを安全に保存および暗号化するための一般的なベスト プラクティスを実装して遵守します。企業は、許可された担当者だけがデータにアクセスできるように、厳格なアクセス制御も実装する必要があります。
- セキュリティ対策を定期的に評価および更新する: テクノロジーは急速に進化するため、企業は顧客の個人データを適切に保護するためにセキュリティ対策を定期的に評価および更新することが重要です。
- データを適切に廃棄する: 個人データが不要になった場合は、不正アクセスや誤用を防ぐために安全に廃棄する必要があります。
- データの収集と使用について透明性を保つ: 企業は、収集する個人データとその使用方法について透明性を保つ必要があります。顧客には、GDPR や世界中のその他のデータ プライバシー法の重要な要素である、個人データにアクセスし、修正または削除する権利についても通知する必要があります。
- データ保護について従業員をトレーニングする: すべての従業員は、顧客の個人データを保護することの重要性と、この情報を取り扱うための会社のポリシーと手順についてトレーニングを受ける必要があります。
Transmit Security は顧客の個人データをどのように取り扱いますか?
アイデンティティはサイバーセキュリティの最も重要な側面ですが、ほとんどの IDP はセキュリティの専門家ではないため、企業はサードパーティのセキュリティソリューションを使用してアイデンティティプラットフォームに継続的にパッチを適用する必要があり、その結果、データ侵害や意図せず顧客の PII を公開する行為につながるセキュリティの盲点が生じます。
Transmit Security では、サイバーセキュリティに関する深い知識を ID 管理に活かしています。この専門知識は、サイバーセキュリティの革新に 20 年携わってきた当社の創設者から、メンバーの 90% 以上がサイバーセキュリティに関する深い経験を持つ開発チームにまで及びます。
このような背景から、当社はセキュリティを念頭にゼロから構築された ID プラットフォームを作成し、当社の顧客、そして顧客の個人データが安全かつプライベートに保たれることを保証する追加の安全対策を導入しました。
- 認証:強力な認証なしではデータにアクセスできず、データ内の個人情報 (PII) に人間がアクセスすることはできません。
- テナントごとの暗号化: データはテナントごとに固有のキーで暗号化されるため、データ侵害が発生した場合でもデータの使用が非常に困難になります。
- カスタムデータ保持: 各セッション中にデータを保持する期間をお客様が決定できるようにします。これにより、データ保持を必要最小限の期間に制限しながら、より厳密な、またはより緩いデータ処理を必要とするさまざまなワークフローに対応する柔軟性が確保されます。
- 最小権限アクセス攻撃対象領域をさらに縮小するために、厳格なアクセス ポリシーを備えた小規模なチームを維持しています。
- モデルトレーニングにおける PII の回避: これにより、機械学習モデルのトレーニングと評価に必要な大規模なデータセットによって個人データのプライバシーとセキュリティが侵害されることがなくなります。
データ侵害のリスクを軽減
顧客の個人データを保護することは倫理的な義務であるだけでなく、デジタル時代におけるあらゆる企業の長期的な成功にとって不可欠です。特に、エンドユーザーや立法者がデータセキュリティに関心を持ち、企業に責任を負わせるための措置を講じるようになった今、これは重要な課題です。過去数か月にわたって見てきたように、最も信頼され安全な企業であっても、顧客の個人情報を漏洩させるデータ侵害の影響を受ける可能性があります。
結局のところ、データ侵害から逃れられる人は誰もいませんが、次の 3 つのルールに従うことでリスクを大幅に軽減できます。
- 不要なデータは保存しないでください。
- データを保存する必要がある場合は、可能な限り最短時間で保存してください。
- データが保存されている間は、ベストプラクティスに従って保護してください
データへのアクセスを困難にするだけでなく、導入した安全対策を破ることで得られる情報を制限することで、攻撃者にとって会社が標的になりにくくすることができます。そうすることで、企業は顧客の個人情報のセキュリティを確保し、顧客からの信頼を維持することができます。