データプライバシーの問題に関しても、ダブルスタンダードの観点で似たようなことが起きていないだろうか。企業や組織の観点では、業務委託先や下請業者、取引先に対しては、業務上取り扱う自組織のデータの安全性を確保するよう対策の徹底を促しておきながら、自組織の対策自体がそもそも十分とはいい難いということはないだろうか。先に挙げた、従業員によるデータ利活用が可視化できていない状況はその一例だ。可視化できていないものは、制御しようもなければ防ぎようもない。
個人の観点では、自分の個人データに関しては企業や組織が適切な取り扱いを徹底して当然と考えるだろう。一方で、日常業務の中で自ら取り扱う見ず知らずの第三者の個人データに対して、同じ温度感で取り扱いをしている人たちがどれだけいるだろうか。自分の個人データが目的外利用されたり悪用されたりするようなことがあれば、おそらく大半の人たちが酷く憤慨するであろう。なぜなら自分の人権が侵害されると考えるからだ。「なぜこの会社からこんな営業電話がかかってくるんだ?」といった機会に遭遇した人は、誰もが不審に思ったはずだ。
法規制の観点でも、日本は実効性を高める取り組みに注力するべきだろう。グローバル展開する日系企業では、データプライバシーに関する法規制が自国と比べて緩い日本のいうことは聞けないという海外担当者からの指摘に苦慮するケースも目にする。データプライバシーの観点だけでなく、重要インフラなどさまざまな領域で、法規制の厳格さの観点で日本は欧米をはじめとした一部諸外国の後を追っているのが現状だ。
個人データを不正に持ち出された企業や組織も犯罪の被害者である故、対策上の不備や報告義務違反に対する高額の罰金といったペナルティに関しては、国内だけでなく海外でも賛否両論あるのは事実だ。しかしながら、度重なる個人データの流出を背景に、個人の人権が侵害されることがないよう対策を行うことは、個人データを利活用する企業や組織、そして個人の義務でありダブルスタンダードがあってはならない。
その義務を一層浸透させるためにも、実効性や抑止力のある法規制の整備だけでなく運用が必要だ。義務違反に対してペナルティを課すことは、企業や組織、個人のデジタルモラルの向上や被害防止に向けた対策の強化を促す上でも必要不可欠な時代に突入したといえる。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
