データの悪用とその防止策とは?(事例を交えて)
あなたのデータはどこにでもあります。メールリストに登録したり、フェイスブックにログインしたり、スマートフォンに無料アプリをダウンロードしたりするたびに、あなたのデータは盗まれています。
これは、データが悪用されることを恐れる顧客やユーザーを不安にさせます。
データはビジネスにとって強力な資産となり得ますが、それを適切に管理することが重要です。
このガイドでは、データの不正使用とは何か、どのような種類があるのか、主なデータの不正使用の例、そしてブランドを持続的に成長させるために不正使用を防ぐにはどうすればよいかを説明します。
データの誤用とは?
データは良いものです。
アナリストやマーケティング担当者が顧客をよりよく理解し、彼らの生活を向上させるために適切な情報、製品、サービスを提供するのに役立ちます。
しかし、データの取り扱いを誤ったり、悪用されたりすると、顧客にとっても企業経営者にとっても、たちまち悪いものになってしまいます。
データの誤用とは、企業が合意した条件以外でデータを使用することです。企業がデータを収集する際には、そのデータがどのように使用されるかを法的に伝える必要があります。
データの不正使用は誰が、あるいは何が判断するのでしょうか?
いくつかの組織があります:
- ユーザー契約
- データプライバシー法
- 企業方針
- 業界規制
データの収集と使用方法については、一定の法律と規制があります。これらのガイドラインや規則に従わない場合、法的措置を含むいくつかの結果を招く可能性があります。
データの不正利用の種類とその防止策をご覧ください。
データ不正使用の3つのタイプ
データの不正使用にはいくつかの種類があります。
これらを理解しないと、罰則や法的問題、ブランド評価の低下に直面する可能性があります。
1. 混合
データを収集する際には、それを正しい目的で使用していることを確認する必要があります。混同とは、組織が特定の目的のために特定の利用者からデータを収集し、そのデータを別の目的に使用することです。
混同の一例として、企業が機密性の高い顧客データを別の企業と共有する場合が挙げられます。多くの場合、データ収集の条件にそのような条項が含まれていなくても、姉妹会社はデータを共有します。
もう一つの例は、誰かが研究などの学術的な目的でデータを収集し、後にそのデータを営利企業の事業成長を促進するためのマーケティング目的で使用する場合です。
いずれの場合も、データが何に使われるのかを明確にしなかったために、会社は間違った方向に進んでしまったのです。データがどのように使用されるかを正確に聴衆に伝えなければなりません。
2. 個人的利益
職場でデータが悪用される2つ目の一般的な方法は、「個人的利益 」です。これは、データにアクセスできる者が、自分の利益のためにデータを悪用することであります。
個人的利益によるデータ悪用の最も一般的な例は、従業員が社内データを悪用した場合です。
このように聞くと、データの悪用は悪意によって引き起こされるように聞こえるかもしれませんが、必ずしもそうとは限りません。データの不正使用は、たとえ従業員に悪意がなかったとしても起こり得ます。
最も一般的な例としては、従業員がより簡単にアクセスするために、誤って会社のデバイスから個人のデバイスにデータを移動してしまうケースが挙げられます。
3. 曖昧さ
前述したように、コミングリングについて議論する場合、企業はデータを収集する際に使用すると言った方法でのみデータを使用しなければなりません。
データがどのように使用されるかが不明確な場合、企業はデータを誤用する可能性があります。曖昧さとは、企業がユーザーデータをどのように収集し、使用しているかを開示していないことです。
つまり、データがどのように使用されるのかについて曖昧なまま伝えると、誤った使い方をされる可能性があるということです。
このようなことが起こる最も一般的な方法の一つは、企業がデータの使用方法を知らないため、具体的な理由を示すことができない場合です。しかし、企業は顧客から収集したデータをどのように使用するかを正確に開示する必要があるため、これは依然として不正使用とみなされます。
遵守すべきデータの不正利用に関する法律
データの不正使用は、評判の低下や大手テック企業からの罰則につながる可能性があります。例えば、ソーシャルメディア・プラットフォームのガイドラインから外れると、利用停止、利用禁止、またはシャドーバンされる可能性があります。
しかし、さらに重要なことは、ある種のデータの不正使用は、あなたが世界中の法律に違反していることを意味する可能性があるということです。ここでは、法的トラブルを避けるために遵守すべきデータの不正使用に関する法律をいくつか紹介します:
一般データ保護規則(GDPR)
GDPR(一般データ保護規則)は、2018年に施行された欧州連合(EU)内の法律です。
GDPRは、欧州におけるデータ保護の基準を定め、改善するために施行されました。また、企業や組織内のデータ侵害に対する説明責任と透明性を高めるために制定されました。
GDPRの目的は、欧州連合内の住民を保護することです。
GDPR法を破った場合の罰則は、最高2,000万ユーロまたは世界売上の4%(いずれか高い方)の罰金です。
GDPRは欧州の企業だけに影響するわけではありません。組織が世界中どこにあろうと、GDPRの法律に違反する可能性があります。あなたの会社がEU居住者の個人データを収集、処理、または使用する限り、GDPRの規則の対象となります。
ビジネスを成長させるためにユーザーデータを追跡したいのであれば、国際的なデータ法に従っていることを確認する必要があります。世界をリードするプライバシーに配慮したウェブ解析ソリューションであるMatomoのようなツールは、GDPRのコンプライアンスを達成するのに役立ちます。
Matomoを使えば、データ保護法を遵守しながら、自信を持ってウェブサイトのパフォーマンスを向上させることができます。
カリフォルニア州消費者プライバシー法(CCPA)
カリフォルニア州消費者プライバシー法(CCPA)は、世界中の企業が遵守しなければならないもう一つの重要なデータ法です。
GDPRと同様、CCPAは特定の地域の住民(この場合は米国カリフォルニア州の住民)を保護するために制定されたデータプライバシー法です。
CCPAは2020年に施行され、世界中の企業が規制に違反すると罰せられる可能性があります。例えば、CCPA違反が発覚した場合、意図的な違反1件につき7500ドルの罰金が科される可能性があります。
意図的でない違反の場合、罰金を科される可能性はありますが、その額は2,500ドルと少ないです。
グラム・リーチ・ブライリー法(GLBA)
貴社の事業所が米国内にある場合、1999年に施行されたグラム・リーチ・ブライリー法(GLB法またはGLBA)と呼ばれる連邦法の対象となります。
GLBAは1999年金融近代化法とも呼ばれています。その目的は、アメリカの金融機関による消費者データの取り扱い方法を管理することです。
GLBAには3つのセクションがあります:
- ファイナンシャル・プライバシー・ルール:個人的な財務データの収集と開示を規制。
- セーフガード規則: 金融機関は金融データを保護するためのセキュリティ・プログラムを確立しなければならない。
- 口実規定: 偽りによる個人データへのアクセスを禁止。
GLBAはまた、米国内の金融機関に対し、データ共有の慣行を説明するプライバシー・ポリシーを顧客に書面で伝えることを義務付けています。
データ悪用の実例4つ
If you want to see what data misuse looks like in real life, look no further.
データの悪用が実際にどのようなものかを知りたければ、これ以上探す必要はありません。
ビッグテックは、最大のデータ悪用やスキャンダルの中心的存在です。
ここでは、同じようなシナリオを避けるために注意すべき、実際のデータ不正使用の例をいくつか紹介します:
1. フェイスブックによる選挙妨害
歴史上最も有名なデータ悪用の例として、2018年のフェイスブックとケンブリッジ・アナリティカのスキャンダルがあります。
2018年の米中間選挙中、政治コンサルティング会社のケンブリッジ・アナリティカは、学術研究のために収集されたとされるフェイスブックユーザーの個人データを取得しました。
その代わりに、ケンブリッジ・アナリティカはおよそ8700万人のフェイスブックユーザーのデータを使用していました。
これは混同の典型的な例です。
結果は?ケンブリッジ・アナリティカは倒産・解散し、フェイスブックは連邦取引委員会(FTC)から50億ドルの罰金を科されました。
2. ウーバー「ゴッドビュー」トラッキング
もうひとつの大手テック企業、ウーバーは10年前にデータの不正利用で捕りました。
なぜか?
Uberは2014年に従業員向けに 「God View 」と呼ばれる新機能を導入しました。
このツールによって、Uberの従業員はアプリを使ってライダーを追跡できるようになりました。問題は、彼らが利用者の許可なく彼らを監視していたことです。「ゴッドビュー 」は、ウーバーがライダーの動きや位置をスパイすることを可能にします。
FTCは結局、ウーバーに大規模な訴訟を起こし、和解契約の一環として、ウーバーは2014年から2034年の間、外部の企業にプライバシー慣行を監査させることに同意しました。
3. ツイッターのターゲティング広告の行き過ぎ
2019年、ツイッターは広告主が広告のターゲティングを改善するためにユーザーの個人データにアクセスすることを許可していたとして有罪判決を受けました。
広告主はユーザーの明示的な許可なしに、ユーザーのメールアドレスや電話番号にアクセスできるようになっていました。その結果、ツイッターの広告バイヤーがこの連絡先情報を使ってツイッターのデータと相互参照し、広告を配信できるようになっていました。
ツイッター社は、このデータ流出は内部的なミスであったと述べています。
4. グーグルの位置情報トラッキング
2020年、グーグルはユーザーの個人データをどのように使用しているかを明確に開示していなかったとして有罪判決を受けました。
その結果は?
フランスのデータ保護当局はグーグルに5700万ドルの罰金を科しました。
企業におけるデータの悪用を防ぐ8つの方法
データの不正利用の危険性とそれに伴う罰則についてご理解いただけたと思います。
ここでは、データの不正使用を防ぐための8つの方法をご紹介します:
1. 倫理的なウェブ解析ソリューションでデータを追跡する
今日のビジネス社会では、データを追跡することなしには生きていけません。問題は、データを安全に追跡しているかどうかです。
データの不正使用で法的トラブルに巻き込まれないようにするには、Matomoのような倫理的なウェブ解析ソリューションを使用する必要があります。
Matomoを使えば、GDPRに準拠し、ユーザーのプライバシーを尊重しながら、ウェブサイトのパフォーマンスを追跡し、改善することができます。データを収益化して広告主に競売にかける他のウェブ解析ソリューションとは異なり、Matomoを使用すれば、データを所有することができます。
2. 大手ハイテク企業とデータを共有しない
上記のデータの悪用例が示すように、大手ハイテク企業はしばしばデータプライバシー法に違反しています。
そして、グーグルのようなこれらの企業のほとんどは便利に見えますが、特にデータ流出、プライバシー侵害、広告主へのあなたのデータの販売に関しては、しばしば不便であります(そしてもっと悪い)。
「あなたは製品である」という言葉を聞いたことがあるでしょうか?ビッグテックに関して言えば、もしあなたがそれを無料で手に入れているなら、あなた(そしてあなたのデータ)は彼らが売っている商品なのです。
ビッグテックとのデータ共有をやめる最善の方法は、グーグルのようなプラットフォームを使わないことです。グーグルに代わる様々な製品についてのアイデアは、グーグルに代わる製品のリストをご覧ください。
3. 本人確認
データの悪用は通常、会社ぐるみの策略ではありません。多くの場合、社内のセキュリティ体制やシステムの不備が原因です。
まずは、データにアクセスできる人物の身元確認を適切に行うことが重要です。
4. アクセス管理
本人確認を行った後は、適切なアクセス管理を行う必要があります。例えば、データの悪用を防ぐために、社内の特定の役割にのみ特定のアクセス権を与えるべきです。
5. アクティビティログとモニタリング
データの不正使用や侵害を追跡する一つの方法は、アクティビティログを設定することで、特定のタイプのデータに誰がいつアクセスしているのかを確実に把握することです。
このようなログを継続的に監視する専門チームを設け、何かあった場合に迅速に対応できるようにする必要があります。
6. 行動アラート
手動でデータを監視することも重要ですが、データセンター周辺で異常な動きがあった場合に自動アラートを設定するのも良いでしょう。脅威や危険なイベントが発生した場合に備えて、行動アラートや通知を設定しておく必要があります。
7. オンボーディング、トレーニング、教育
質の高いデータ管理を実現する方法の1つは、従業員にデータ・セキュリティの知識を身に付けさせることです。データ・セキュリティは従業員教育の一環として実施する必要があります。また、定期的なトレーニングや教育を実施し、企業や顧客データの保護について従業員に周知させる必要があります。
8. データ・プロトコルとプロセスの策定
長期的なデータ・セキュリティを確保するためには、データ・プロトコルとプロセスを確立する必要があります。
ユーザデータを保護するために、組織内にルールとシステムを設定し、データの悪用を防ぐために、従業員が参照し、継続的に従うことができるようにします。
Matomoで倫理的にデータを活用する
データはビジネスのすべてです。
しかし、軽く見てはいけません。ユーザーデータの取り扱いを誤ると、顧客の信頼を失い、組織から罰則を受けることになり、さらには法的な問題や巨額の罰金が発生する可能性もあります。
責任を持ってデータを扱うために、プライバシーを第一に考えたツールだけを使うべきです。
Matomoは、プライバシー法に違反することなく、ウェブサイト全体のデータを収集、保存、追跡する、プライバシーに配慮したウェブ解析ツールです。
100万以上のウェブサイトがMatomoを使用しており、ウェブサイトのパフォーマンスを追跡し、改善することができます:
- 正確なデータ(データサンプリングなし)
- プライバシーに配慮し、GDPR、CCPAなどのプライバシー規制に準拠しています。
- ヒートマップ、セッション記録、A/Bテストなどの高度な機能
Matomoを21日間無料でお試しください。クレジットカードは不要です。