データ プライバシーとは、顧客の情報を非公開かつ機密に保つことを意味します。しかし、データ共有、データ所有権、データ管理に関するサードパーティ契約は、依然として最高情報責任者や法務機関が直面する問題です。
データのプライバシーを確保するために、これらすべてをどのようにカバーするのでしょうか?
まず、データプライバシーとは何でしょうか?
課題の 1 つは、データ プライバシーの定義が、話す相手によって異なることです。このため、消費者情報の保護は不確実なものになります。
あるケースではデータ プライバシーは、Builtin によって「個人の権利と既存の規制の両方を尊重しながら、個人情報、プライベート情報、または機密情報を保護し、適切な同意を得て収集され、安全に保管され、許可された目的にのみ使用されるようにする慣行」と定義されています。
しかし、データのプライバシーは IBMによる定義 「個人が自分の個人データを管理できるべきであるという原則。これには、組織が個人データをどのように収集、保存、使用するかを決定する能力も含まれます。」
法律用語では、プライバシーの侵害とは コーネル大学ロースクール 「さまざまな侵入的または望ましくない行為を通じて個人の保護されたプライバシーの権利を侵害すること。このようなプライバシーの侵害は、私有財産への物理的な侵入から機密情報や画像の不正な開示まで多岐にわたります。」
規制当局がデータプライバシーを保護する方法
データプライバシーの明確な定義が曖昧なため、多くの企業は欧州の 一般データ保護規則 GDPR は、消費者がソーシャル メディアを閲覧したりインターネットを使用したりする際に残す情報痕跡を減らす権利を消費者に与えています。また、個人は企業が収集して保持している自分のデータを要求し、削除を要求することもできます。つまり、個々の消費者が自分のデータを「所有」しており、そのデータをどのように利用し使用するかを決定する権利があるという前提です。
GDPR は、これまでで最も包括的なデータプライバシーに関するガイドラインであるため、多くの国がこれを採用したいと希望しています。 米国ではしかし、規制に対する反対により、同様の厳格なデータ保護を導入する取り組みが妨げられ、訴訟に発展する事態に至っています。
2022年にグーグルがユーザーと結んだ3億9200万ドルの和解はその一例だ。この訴訟では、米国の司法長官グループが有権者を代表してグーグルを訴えた。訴訟では、グーグルがユーザーの位置を追跡しているが、そのことをユーザーに明確に示していないと主張された。
Google は和解の一環として金銭的損害賠償金を支払った。また、同社がユーザーのデータをどのように収集しているか、ユーザーがデータを削除する方法、追跡されているかどうかをユーザーが制御する方法を、よりわかりやすい方法でユーザーに知らせる必要もあった。
Google のケースは、Google 以外にも多くの企業がユーザーに関する情報を第三者に提供および販売していたため、大きな影響を及ぼしました。これらの企業は、数百ページに及ぶ細字の文書でユーザーに対してデータ共有の慣行について通知していましたが、平均的なユーザーが読むことは期待できませんでした。それでも、ユーザーが特定のサービスやアプリケーションを使用したい場合、「条件に同意する」ボタンをタップしなければ、ロックアウトされてしまいました。
この慣行は企業に不当な利益をもたらしました。法律上、このような慣行は「強制契約」とみなされる可能性があります。つまり、契約当事者の一方が他方に対して不当な利益を得ていることを意味します。これは、有利な立場にある当事者が契約書を作成し、他方が容易に読んで理解できないような方法で契約書を作成したためです。
反対の法的観点は、各個人が、たとえ細かい文字であっても、自分が同意する契約書のすべての言葉を読んで理解する責任があるというものです。
最終結果は?
法曹界はデータプライバシー権をめぐって意見が分かれており、議会もあまり進展していない。
だから何’s データプライバシーに対する最善のアプローチとは?
企業の法務部門は、細かな条項や免責事項が詰まった膨大な契約書を作成し続けるだろう。CIOはこれを避けることはできないが、 できる ウェブサイトやサービスのユーザーに対して、データがどのように、どのような条件で収集され、共有されるのかを明確に示す必要があります。多くの企業がこれを行っており、企業のデータ プライバシー ポリシーに不安を感じるユーザーのために「オプトアウト」メカニズムも提供しています。
とはいえ、これらの手順を実行するのは言うほど簡単ではありません。
上層部が締結するサードパーティ契約にはデータ共有の規定が含まれており、データ管理の問題もあります。たとえば、顧客データの一部をクラウド サービスに保存することを選択し、データの直接管理権を失って、クラウド プロバイダーでデータ侵害が発生した場合、誰の責任になるのでしょうか。
もう一度言いますが、この問題に対処するための確固とした法律や連邦の規制はありませんが、保険会社は する それに取り組みます。
「クラウド環境では、 データ所有者 たとえセキュリティの失敗が企業の責任であったとしても、データ侵害によって生じた損失に対して責任を負うことになる。 データホルダー (クラウドプロバイダー) 透明性保険サービス。
トランスペアリティはさらに、「米国の州および連邦のデータプライバシー法では、サイバー侵入があった場合に民事責任を課すことはない」としているが、「通常、侵害が発生した後に企業が損害を修復または軽減できなかった場合に責任が課される」としている。さらに、「州のデータ侵害通知法に基づいて影響を受けた個人にタイムリーに通知しなかった場合、州司法長官または他の州執行機関によって課される民事罰の責任を負う可能性がある」と付け加えている。
そのため、企業がデータ侵害をユーザーや顧客に直ちに通知し、侵害を軽減し、顧客に 1 年間セキュリティおよび監視サービスを無料で提供することが、今日の標準的なデータ プライバシー慣行となっています。
また、サイバー賠償責任保険に加入し、サイバー賠償責任を企業全体のリスク管理計画のリスク問題として組み込むことも標準的な慣行となるはずです。
このサイバー賠償責任保険の補償範囲は、企業が補償し支払いたい内容に応じて、性質が異なります。
ほとんどのサイバー賠償責任保険は、第一者および第三者の費用をカバーしており、顧客およびユーザーへの通知費用、侵害がどのように発生したかを判断するためのフォレンジック、顧客向けの信用および詐欺監視サービス、および企業の評判へのダメージを軽減するための危機管理が含まれています。
クラウド プロバイダーがデータを漏洩した場合、そのプロバイダーに対する判決に対しても責任を負う可能性があり、プロバイダーに対して訴訟を起こす必要がある場合もあります。
「クラウドベンダーにとって、データ侵害の申し立ては、実際には過失責任(E&O)の申し立てです」と、 ウッドラフ・ソーヤー法律事務所「クラウド ベンダーは通常、データが侵害された個人に対して直接的な責任を負いませんが、サービス (この場合は、顧客のデータを安全に保つこと) の履行に失敗したとして顧客からクレームを受ける可能性があります。このため、テクノロジー企業では、過失と脱落の補償とサイバー補償が 1 つのポリシーにまとめられているのが一般的です。」
データ プライバシーが何であるかについては普遍的な合意はありません。そのため、データ プライバシー管理は企業とその CIO にとって課題となっています。
このような環境では、CIO が広く受け入れられているデータ プライバシー慣行を可能な限り採用し、経営陣や法務チームと連絡を取り合い、ベンダーへの RFP の要件としてデータ プライバシーを含めることが重要です。また、すべての新しいアプリケーションでデータ プライバシーの QA を要求します。