(写真提供:CSIT)

テクノロジーの動向が社会を変革しています。私たちの多くは、パーソナライズされた健康データ、心拍数の測定値、血糖値レベルなどに関する詳細情報をキャプチャするデバイスを身に着けています。私たちは、Facebook、Instagram、Twitter上で自分の好み、趣味、位置情報、親友が誰であるかをシェアしています。もっと適切に述べると、私たちの身分証や現金・クレジットカードなどが財布にあることはもはや少なく、ノートパソコン、携帯電話や腕時計を使ってパスワードや指紋認証、または顔認証で瞬時にアクセス可能です。利便性とリスクはどちらも計り知れません。

Symantec社の2019年インターネットセキュリティー脅威レポートによると、毎年実に10人に一人が個人情報盗難の被害者になっています。こうした個人情報の盗難で、被害者らは平均3,900ポンドの被害に遭っており、これは1秒当たり6,000ポンドの損害に相当。中には全財産を失う被害者もいます。

これらは個人レベルで起きたことであり、単に彼らがデータ保護について十分な注意を払っていなかったと考えられますが、大規模なITインフラを運用し数十年もオンライン上でビジネスを行っている大企業では、このようなことが絶対に起こり得ないと言えるでしょうか。

2019年7月、British Airways社は最大50万人の顧客の個人情報と支払い情報が収集された攻撃を受けた後に、データ漏洩に対して1億8,300万ポンドの罰金が科せられました。2018年11月、Marriot社は、自社のStarwood部門の顧客予約データベースが不正組織に侵入され、データ漏洩により9,900万ポンドもの損失を被っています。アクセスされた情報は、支払情報、名前、住所、電話番号、Eメールアドレス、パスポート番号などでした。

Marriott International社に罰金を科す英国個人情報保護監督機関の意向表明で、情報コミッショナーであるElizabeth Denham氏は次のように語りました。「GDPR(EU一般データ保護規則)では、組織は保有する個人データに対して説明責任を果たす必要があることを明確にしています。これには、企業買収する際は適切なデューデリジェンスを実施し、適切な説明責任対策を導入して、どのような個人データを取得したのかだけでなく、どのように保護しているかも評価することが含まれる可能性があります」  

英国企業は売上高の最大4%の罰金を科される可能性があり、これは投資するに値する金額です。