ガートナー ジャパン
メインメニュー ホーム リサーチ コンサルティング ベンチマーク エグゼクティブ プログラム イベント 会社情報 メインメニュー
SAMPLE RESEARCH

サンプル・リサーチ

2014年の展望:監視とプロファイリングがプライバシー関連の
レピュテーション・リスクにつながる

インフラストラクチャ (INF)/INF-14-20
Research Note
K. Pratap, C. Casper, A. McIntyre, J. Heiser, F. Buytendijk
掲載日:2014年6月10日/発行日:2014年2月28日

本リサーチ分析レポートのテーマに関心をお持ちの方は、7月15日(火)・7月16日(水)に開催する 「ガートナー セキュリティ & リスク・マネジメント サミット 2014」 のページを是非ご覧ください。(イベント終了後も開催実績としてご覧いただけます)


本リサーチノートは、プライバシー担当役員、リスク・マネージャー、コンプライアンス・マネージャーを対象に、監視とプロファイリングからレピュテーション・リスクが生じる経緯と、ビジネスに対する影響の数値化が困難である理由を説明するものである。

要約

主要な所見

  • スノーデン氏による米国政府の秘密文書の暴露後、マスコミ報道によって、米国の諜報機関が企業の許可なく知らぬ間に米国領土を経由する通信を傍受しているという懸念が米国外の企業の間で広まった。
  • プライバシー保護が義務付けられていない国々の見込み顧客は、企業に自身の個人情報を委ねる可能性が低くなる。また、そのような国で活動している企業は、国外の顧客や国をまたがる顧客を獲得することも難しくなる。
  • 顧客と市民は、ビッグ・データとそのプライバシー上の意味合いに関する理解を深めるにつれて、個人データの取り扱いに慎重ではない企業に対する批判をますます強める。
  • 2012年には、米国の携帯電話アプリ・ユーザーの57%が、個人情報の共有に関する懸念からアプリのインストールを拒否するか、またはアプリをアンインストールした。

推奨事項

  • 企業は、(米国または任意の国家の) 諜報機関が企業の機密情報や個人情報を傍受し、それらを利用して企業に打撃を与える可能性に基づいてリスクを分析する。
  • プライバシー規制のない国で事業を展開している企業は、顧客の要件に沿った最も受け入れられるプライバシー規制を特定する必要がある。これがプライバシーに関する法令がない条件下でのレピュテーション・リスク管理になる。
  • モバイル・アプリケーションおよびサービスのプロバイダーは、アプリの明示的な目的に一致したユーザー・エクスペリエンスを提供し、個人情報はユーザーの同意を得た場合にのみ利用すると明示することによって、ユーザーが「不気味に感じる」ことを避ける。
  • ビジネス・リーダー (CEOを含む) は、潜在的なレピュテーション・リスクの緩和と倫理上の目的の達成に向けて、プライバシーの保護を自社のビジネス目標とする。


目次

 戦略的プランニングの仮説事項

 分析
  要旨
  戦略的プランニングの仮説事項
  過去の予測

 推奨リサーチ



戦略的プランニングの仮説事項

  • 米国外の多くの企業は監視されていることを理由として米国のプロバイダーを避ける恐れがあるが、2014年から2015年末までにプロバイダーを変更する企業は1%未満にとどまる。
  • 2017年までに、情報通信技術が整備された上位100カ国のうち80%が、個人情報を管理するためのプライバシー規制を導入する。これは2013年に比べて33%増の数字である。
  • 2014年までに、スマートフォン・ユーザーの70%がプライバシーに関する懸念からオンライン・サービスまたはアプリを1度は拒否する。
  • 2016年末まで、消費者データを利用する企業の25%が、情報の信頼性に関する問題を適切に理解していないために、企業の評判を落とす事態に陥る。

分析

要旨
本リサーチノートはプライバシーに関する2014年の展望を紹介するものであり、2017年までの動向を予想することを目的とし、プライバシー担当役員、コンプライアンス・マネージャー、リスク・マネージャー、プライバシー監査者、ベンダー・マネージャーを読者に想定している。予測に当たっては、プライバシー慣行に重点を置き、世界中の国々がプライバシー規制を導入するスピードを考慮に入れている。プライバシー保護が義務付けられていない国々の見込み顧客は、企業に自身の個人情報を委ねる可能性が低くなる。本リサーチノートの予測はすべて、レピュテーション・リスク管理の重要性が増大していることを示唆している。これは現在のデータから直接明らかになるものではないが、2017年末までビジネス上の意思決定に影響を及ぼす。本リサーチノートでは、方針を策定し、ベスト・プラクティスを導入して、プライバシー侵害にまつわる企業のリスクを軽減し、ユーザーの信頼を増して収益を上げるために必要な知見を提示する。

政府は消費者のプライバシーを保護するために企業が従うべき指針を強化しているが、政府自身も抜け道を作って消費者情報を監視し収集している。インターネット・トラフィックを全面的に監視する法的権限と技術的能力を入手したか、または入手しようとしている政府の数は増加している。また、多くの国の諜報機関がそれに協力しているというマスコミ報道も目にする。複数の政府が、インターネット・トラフィックに適用できる暗号の強度を制限し、政府によるコンテンツの監視を明示的に可能にする法律を施行している。これを念頭に置いて、ガートナーは過去の予測を振り返った。「2014年までに、政府によるコンテンツの監視により世界中で3分の2の企業がコンテンツの処理方法を変更する」という予測は現実のものとなった。一方、「米国は2013年までに連邦プライバシー侵害通知法を制定する」という予測は実現しなかった。



戦略的プランニングの仮説事項

戦略的プランニングの仮説事項:米国外の多くの企業は監視されていることを理由として米国のプロバイダーを避ける恐れがあるが、2014年から2015年末までにプロバイダーを変更する企業は1%未満にとどまる。


分析:Carsten Casper

主要な所見

  • スノーデン氏による米国政府の機密文書の暴露後、マスコミ報道によって、米国の諜報機関が企業の許可なく知らぬ間に米国領土を経由する通信を傍受しているという懸念が米国外の企業の間で広まった。
  • ガートナーは顧客から多くの質問を受けている。顧客は、(1) 米国のプロバイダーと契約しない、(2) 米国のプロバイダーとの関係を解除するか、または更新しない、(3) 通信を保護する適切な手段を見つける、といったことを検討している。
  • 監視されているという報道を受け、相当数の企業が上記のいずれかの措置を取ったということを示すデータはない。企業がそのような措置を取った場合、通常は、そのほかにも理由が多数ある。
  • 企業がプロバイダーを変更する決定をした場合でも、高コストとなる可能性のある米国外のプロバイダーに余分なコストを払うか、保護のためのコストを払おうという関係者は、政府にも、ビジネス・パートナーにも、顧客にも、ほとんどいない。
  • 大半の国において、諜報機関は外国企業の電子通信にアクセス可能であるか、またはアクセスを試みている。米国の監視プログラムは屈指の強力さであるかもしれないが、米国だけが監視しているわけではない。

市場への影響:

企業への影響:

  • 世界中の企業はデータの物理的保存にさらに注意を払う必要がある。物理的に近ければストレージ・インフラストラクチャが差し押さえられやすくなるからである。これは法的な場所 (契約の署名者) または論理的な場所 (アクセスできる人) によってデータセンターの場所を決定していた近年の動向を逆転させる。
  • 一部の企業は、「詮索好き」と思われる国を通過するインターネット経路の回避を優先するようになる。経路の変更は通信コストの上昇につながる。
  • いくつかの国がデータ監視の回避地として注目される可能性がある。このような国は、ストレージと処理を政府が覗き見しないことを主張する。
  • 企業は新たに雇用または契約したスタッフの身元調査を徹底して、スノーデン氏やブラッドリー・マニング上等兵 (元米軍情報分析官、ウィキリークスに多数の機密文書を提供した) のような人間による情報漏洩を回避しようとする。これは、コスト増、求人活動の長期化、求職者の減少をもたらす。優秀な求職者の中には、怪しくないという証拠を提出できないかまたは提出を望まない人もいるからである。人間の行動分析に対する需要も増大する。
  • 情報漏洩や政府による監視を恐れて、企業は隔離化計画 (Compartmentalization) に投資し、ストレージ、処理、保守のコストが上昇する。

プロバイダーおよびベンダーへの影響:

  • プロバイダーは、物理ストレージを強調することによって差別化することができ、例えば、ドイツ、スイス、マレーシア、シンガポールにおいて国内プロバイダーに機会が生まれる 。
  • 傍受を恐れて、転送中のデータとリモート保存されたデータの両方に関する暗号技術への関心も高まる。
  • 暗号化は、情報の所有者が暗号化キーの保有者でもある場合にのみ成功する。そのためキー管理ソリューションを持つプロバイダーが脚光を浴びる。クラウド方式のキー管理がビジネスのイネーブラである。
  • 先述した保護方法の変化により、一部のテクノロジが商業的にブレークする。これまでは大半の顧客にとって高価過ぎた技法に対する需要が非常に高まる。そのため規模の経済によって価格が低下し、購入する余裕のある顧客と、購入したいと考える顧客が増加する。
  • 傍受したデータに対する需要は民間部門にも広がり (例えば、ある時刻に他人の家の近くにいなかったことを証明できる「削除されるとかつては信じられていた」場所データにアクセスするなど)、ベンダーに市場でのチャンスが生まれる。

推奨事項:

  • リスク分析を実施する。米国や外国の有能な諜報機関が企業の機密情報や個人情報を傍受し、その情報を利用して企業に打撃を与える可能性はどの程度あるか。このリスクを緩和し、回避するために必要な追加コストはどれほどの額になるか。予想されるコスト増加額と、情報漏洩に伴う潜在的な損失額のどちらの方が大きいか。
  • 自社の経営陣が「リスクが高過ぎる」という結論に達した場合は、プロバイダーの変更、ビジネス・プロセスの見直し、通信保護に要するコストのビジネスへの織り込みを進める。
  • 自社の経営陣が「外国のプロバイダーを利用するメリットの方がリスクより大きい」と判断した場合は、議論に決着を付けて、この決定を文書化する。

関連リサーチ:
「Survey Analysis: Privacy, 2013」



戦略的プランニングの仮説事項:2017年までに、情報通信技術が整備された上位100カ国のうち80%が、個人情報を管理するためのプライバシー規制を導入する。これは2013年に比べて33%増の数字である。


分析:Khushbu Pratap

主要な所見

  • 2013年現在、情報通信技術 (ICT) が整備された上位100カ国 (根拠1参照) のうち60%が個人情報を管理するためのプライバシー規制を発表している。とはいえ、その認知度、明瞭さ、導入、実施はまだ作業段階にある。このような規制の成熟度は国ごとに大きく異なる。また、60%の国のすべてが企業データと個人データの国境を越えた転送に関して明示的な法令を制定しているわけでもない。
  • 2013年のBSAグローバル・クラウド・コンピューティング・スコアカード (根拠2参照) では、日本、オーストラリア、米国、ドイツ、シンガポール、フランス、英国、韓国、カナダ、マレーシアが、データ・プライバシー関連の強力な政策環境を持つとされた。
  • 厳格なプライバシー規制には賛否両論がある。プライバシー規制は一部の企業にとっては面倒なこともあるが、プライバシーに関する法令遵守の最小限のレベルを見れば、この問題に対してその国の政府がどの程度敏感であるかを相対的に知ることができる。

市場への影響:

  • プライバシー保護が義務付けられていない国々の見込み顧客は、企業に自身の個人情報を委ねる可能性が低くなる。また、そのような国で活動している企業は、国外の顧客または国をまたがる顧客を獲得することも難しい。
  • 後からプライバシー規制を策定する国には、実例を参考にできるというメリットがある。執行機関によって公表されている罰金と訴訟は、既存企業と新規企業のプライバシー管理行動を導く前例となる。
  • プライバシー規制を導入する国家が33%増加し、既に導入されたプライバシー規制が改正される可能性があるため、データ転送時の責任に関する曖昧さが減少し、企業がどこでどのようにビジネスを行うかを決定しやすくなる。

推奨事項:


プライバシー規制が厳密に実施されていない国において事業を展開している企業は、以下を行う。

  • プライバシーと透明性に関連して顧客の抱いている懸念に具体的に対処するサービスを提供する。これが、プライバシー関連の法令がない条件下でのレピュテーション・リスク管理になる。
  • 顧客の要件に沿った最も受け入れられるプライバシー規制を特定する。
  • 守ることのできないプライバシー管理の約束をしない。プライバシー・ポリシーで言及した主張または指針には、その導入と評価のための社内プログラムを開発する。
  • 法務部門に相談し、事業対象地域においてプライバシーに関する法令または指針が自社のビジネスに適用されるようにする。

ベンダーに機密情報の処理または保存を委託している顧客は、以下を実行する。

  • 業務契約書を読み直して、ベンダーの責任と免責事項が機密情報を管理する上で十分であることを確認する。
  • ベンダーに場所に基づく情報と処理手順を要求する。該当するプライバシー法規について法務部門に相談する。
  • 営業地域に適用される法規に基づいて、機密情報を管理するベンダーのリスクを特定する。

関連リサーチ:
「Let Go of Personal Data Without Losing Control」
「Survey Analysis: Privacy, 2013」
「Managing Privacy Risks in the Public Cloud」
「Privacy as a Differentiator: The Impact of Privacy Rules on Cloud Services Providers」
「クラウド・セキュリティのハイプ・サイクル:2013年」(INF-13-175、2013年12月27日付)



戦略的プランニングの仮説事項:2014年までに、スマートフォン・ユーザーの70%がプライバシーに関する懸念からオンライン・サービスまたはアプリを1度は拒否する。


分析:Angela McIntyre

主要な所見

  • 2012年までに、米国の携帯電話アプリ・ユーザーの57%が、個人情報の共有に関する懸念から、アプリのインストールを拒否するかまたはアプリをアンインストールしたことがあった (出典:Pew Research Center [ http://pewinternet.org/~/media/Files/Reports/2012/PIP_MobilePrivacyManagement.pdf ])。
  • 消費者は、個人情報が企業によって携帯電話から収集され共有されていることに気付いていない (出典:Create With Context [ https://www.privacyassociation.org/privacy_perspectives/post/what_misconceptions_do_consumers_have_about_privacy ])。
  • 消費者は、スマートフォンの個人情報が第三者によって保存、使用、共有されていることを知らない。あるオンライン・アプリに提供した個人情報はそのアプリまたは会社のみによって利用されると考えがちである。消費者はおおむね以下の事実に気付いていない。
    • オンライン・ストアでの購入情報と配送先住所は、ソーシャル・メディアのような他のアプリと共有されることがある。
    • 場所 (毎日どこに行くか) の情報は、Foursquareのようなアプリに「チェックイン」したときに限らず、ほぼ常時、収集されている。
    • 広告ネットワークは、広告が表示されているアプリからだけでなく、多数のアプリから個人情報を受け取る。
    • 断片的な個人情報を相互に関連付けてユーザーを特定することができる。
    • 活動トラッカーや心拍数モニターが収集したデータの所有権が、消費者にはない可能性がある。
    • 個人情報は無期限に保存される。
  • ほとんどの消費者は、アプリやサービスを無償で利用することと引き換えに自分のデータを喜んで提供している。収集されるデータの広範さを知らず、プライバシーを侵害するような方法で利用されるとは考えていないためである。それでも、携帯電話ユーザーは賢くなりつつある。2012年には、携帯電話ユーザーの19%が、他人に位置情報を知られたくないためにスマートフォンの位置追跡機能をオフにした (出典:Pew Research Center [ http://pewinternet.org/~/media/Files/Reports/2012/PIP_MobilePrivacyManagement.pdf ])。
  • 消費者は、「不気味な」事件が起きるとアプリを捨てる。これは通常、知らないうちにアプリが個人情報を収集または利用していることを知って消費者が驚いたときに起きる。例えば、スマートフォンに送られてきた広告に友人の顔が表示される、または、訪問したWebページを無料のゲーム・アプリが追跡していたためにスマートフォン・アプリの実行速度が低下した上に、データ通信量が増加して余分な料金が発生するといった場合である。アプリが余計な推測をすることもある。例えば、スポーツ・ジムの入会の誘いを受けたとき、フィットネス体操をしている人なら喜んでも、太っている人なら「気味が悪い」と感じて不快になり、アプリをアンインストールするかもしれない。
  • 規制が、モバイル・アプリケーションとサービスのプライバシーについて意識を高める要因になっている。消費者のオンライン・プライバシーは、PRISM事件のために欧州の方が政府の関心を集めている。規制当局はオンライン・プライバシー法を強化し始めており、個人情報を収集し共有する前に、個人情報の種類ごとにアプリ提供者がユーザーの許可を得ることを義務化する可能性が高い。このように開示と同意を新たに必須にすることにより、何が追跡され共有されているのかに関する消費者の認識は高まる。消費者は、一部の情報共有条項に合意しなくなり、その結果、アプリのダウンロードを拒否する可能性が高くなる。

市場への影響:

  • 個人情報に関してユーザーの信頼を得ることが、アプリやサービスの成功には不可欠になる。ユーザーが信頼するアプリのみが広く採用される。信頼が成功の条件になるが、競争力とはならない。
  • アプリとサービスのプロバイダーは、カスタマイズしたユーザー・エクスペリエンスを提供するに当たってユーザーが 「不気味に感じる」状況を排除する必要がある。さまざまな種類の個人情報を収集することは、アプリまたはサービスの使用に当たって優れたユーザー・エクスペリエンスを提供することと明確に結び付けられなければならない。個人情報の利用は、アプリの目的に一致した方法によってユーザーの目に見える価値につながる必要があり、ユーザーを驚かせてはいけない。
  • 多くの種類の個人情報を収集して販売する見返りに、アプリやサービスを無償で提供するというビジネスモデルを採用しているプロバイダーは、事業が困難になる。プライバシーに関する情報開示により、収集するデータの種類、および第三者と共有する内容を項目別に挙げて、ユーザーからその許可を明示的に得る必要がある。このように、透明性の高いプライバシー・ポリシーは、消費者がアプリのダウンロードを考え直すきっかけになる。

推奨事項:


モバイル・アプリとサービスのプロバイダーへの推奨事項:

  • アプリまたはサービスで優れたユーザー・エクスペリエンスを提供する目的で使用可能な個人情報のみを収集する。収集された個人情報を表示する手段と「オプトアウト」する手段をユーザーに与える。
  • 経営陣レベルでプライバシー担当の役職を創設し、プライバシー・ポリシーの更新、規制の監視、個人情報の保護と利用のベスト・プラクティスを実施する。
  • アプリの明示的な目的に一致したユーザー・エクスペリエンスを提供し、個人情報はユーザーの同意を得た場合のみに利用することで、ユーザーが「不気味に感じる」状況を回避する。

関連リサーチ:
「Privacy and Ethical Concerns Can Make Big Data Analytics a Big Risk Too」
「Cool Vendors in Social Marketing, 2013」



戦略的プランニングの仮説事項:2016年末まで、消費者データを利用する企業の25%が、情報の信頼性に関する問題を適切に理解していないために、企業の評判を落とす事態に陥る。


分析:Jay Heiser、Frank Buytendijk

主要な所見

  • ビッグ・データ分析の意味合いはもちろん、自分に関して収集されるデータの量を現在意識しているインターネット・ユーザーの数は比較的少ないが、消費者の認識の甘さを同意と思い違いしてはならない。
  • 顧客と市民は、ビッグ・データとそのプライバシー上の意味合いに関する理解を深めるにつれて、個人データの取り扱いに慎重ではない企業に対する批判をますます強める。
  • 消費者データにアクセスできる企業の中では、洗練されたビッグ・データ分析ツールを利用できる企業がますます増えている。
  • 機密情報と個人情報を収集し活用する能力 (技術力) の進化のスピードは、その安全な利用を保証する制御方法の開発を上回る。

市場への影響:

  • プライバシー保護の活動家は、通常、認知度を高めようとするときに、特定の業界や特定の企業を標的として慣例と規制の変更を求めてロビー活動をする。当初は少数の企業にとって対外的な頭痛の種になるだけであるが、最終的には広範な変化を余儀なくされる。
  • プライバシーに対する予想されていない形態での影響を検出する新しい製品カテゴリが出現する (コンテンツ・ベース、連続的監視など)。
  • 透明性の高い信頼がますます競争力になり、消費者は個人のプライバシーに最も配慮していると感じられる製品とサービスに引き付けられる。
  • 大企業が、ようやく、TRUSTeのようなプライバシー認証プログラムに参加することが有利であると考えるに至る。

推奨事項:

CEOも含めたビジネス・リーダーへの推奨事項:

  • 潜在的なレピュテーション・リスクを緩和し、倫理的目的を達成するために、プライバシー保護を企業のビジネス目標とする。
  • 個人識別情報 (PII) に関係するプロジェクトを開始する前に、プライバシー審査を必須としたポリシーを策定する。
  • 製品の企画担当者、ソフトウェア・アーキテクト、コーダー、製品テスト担当者、監査担当者がプライバシー原則 (例:『OECD Privacy Principles』[ http://oecdprivacy.org/ ]) に精通していることを確認し、潜在的な違反行為に注意を怠らないよう奨励する。
  • 透明性を高める。企業のデータ保護慣行について誤解を招いたり不正確で混乱したりするような情報を前にすると、消費者はその企業を信頼すべきどうか正当な判断ができない。
  • 責任を自覚する。大量のプライバシー情報を利用する企業は、それが特権であって、細部に注意を払っていることを示して、絶えず正当性を証明する必要があることを認識しなくてはならない。
  • 消費者または市民がどのような個人データの保護方法を望んでいるか分からない場合は、消費者または市民に問う。

関連リサーチ:
「Maverick* Research: Ethics Are at the Center of the Nexus of Forces」
「Maverick* Research Toolkit: Ethics at the Nexus of Forces」
「Maverick* Research: Nexus Fatigue Drives Social Dysfunction and Operational Failure」
「Privacy and Ethical Concerns Can Make Big Data Analytics a Big Risk Too」
「A Framework for Evaluating Big Data Initiatives」
「The Road Map for Successful Big Data Adoption」


過去の予測
顧客からの要望に応え、今回ガートナーはこれまでの主要な予測を振り返ることにする。ここでは対極に位置する予測を意図的に選択している。すなわち、完全に (またはおおむね) 実現した予測と、実現しなかった予測である。


実現した予測:2014年の予測 − 2014年までに、政府によるコンテンツの監視により世界中で3分の2の企業がコンテンツの処理方法を変更する。

ガートナーが2013年にこの予測をしたのは、スノーデン氏がNSAについて暴露する前であった。政府の監視対象になることを最小限に抑えるためのデータ管理慣行に関する顧客のインクワイアリは過去12カ月にわたって着実に増加している。中国政府が支援する集団による傍受も引き続き大きな懸念であるが、新しく把握されたNSAの活動が実務に及ぼす影響に対しても関心が高まっている。



実現しなかった予測:2013年の予測 − 米国は2013年までに連邦プライバシー侵害通知法を制定する。

2012年に予測した時点では、ホワイトハウスによるプライバシー保護フレームワークの発表を基にしていた。このフレームワークでは、プライバシー侵害通知に関する国内標準の策定に1つのセクションが割かれていた。米国連邦取引委員会 (FTC) が債務不履行に陥った企業に対する調査、訴追、罰金を強く否定したことから、ガートナーは標準が2013年までに制定されると予測していた。ただし、このような法律が将来制定されるという可能性を排除するものではない。FTCのプライバシー保護活動 ( http://www.ftc.gov/news-events/media-resources/protecting-consumer-privacy/enforcing-privacy-promises ) が続いていることから分かるように、この方向での動きは継続している。



推奨リサーチ
「Predicts 2013: Increasing Government Oversight Will Force Change in Privacy Controls」
「Privacy and Ethical Concerns Can Make Big Data Analytics A Big Risk Too」
「Hype Cycle for Privacy, 2013」



根拠


1. ICTが整備された上位100カ国:世界経済フォーラムの『Global Information Technology Report 2013』
( http://reports.weforum.org/global-information-technology-report-2013/#= ) に記載されたNetworked Readiness Indexの上位100カ国

2. BSA Global Cloud Computing Scorecard
( http://cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloudScorecard2013.pdf )


(監訳:礒田 優一)
INF: INF-14-20


※本レポートの無断転載を禁じます。

←INDEXに戻る

 

gartner.com
TOP OF PAGE
Copyright