消費者の4分の1が「データ侵害に遭った企業の利用」を停止
世界的に個人情報保護の機運が高まる中、日本の消費者は自身の個人情報保護についてどのように取り組んでいるのでしょうか。
デジタルセキュリティの世界的リーダー企業であるタレス(本社:パリ)が世界11カ国の消費者を対象に行った「2022年 タレス 消費者デジタル信頼指数(データセキュリティに対する消費者の信頼度調査)」によると、「個人情報データ侵害の被害にあった企業の利用を停止したことがある」と回答した人は、25%。全体の実に4分の1の人が、個人情報の侵害を機に企業の利用を止めた経験を持つことがわかりました。さらに、日本では全体の6%がデータ侵害に会った企業を相手に法的措置を講じたことがあると回答しており、8%は法的措置を検討しているという回答が得られました。
企業側のセキュリティ対策に頼るだけでなく、自ら追加のセキュリティ対策を講じる消費者も増えています。同調査によると、多くの日本の消費者が自ら時間をかけて追加のセキュリティ対策を講じ、企業側に保存されている個人情報の保護に努めているとした領域は、次の通りです。
【自ら追加セキュリティ対策を講じている領域】
- 銀行および金融サービス(58%)
- メールによる通信(46%)
- ソーシャルメディア(34%)
- オンラインショッピングやeコマース(58%)
一方、自ら追加対策をしている割合が低い領域としては、医療関連(17%)と旅行関連(13%)が挙げられます。
政府機関への信頼が最低
上記のとおり、個人情報保護について最も多くの消費者が自己防衛を講じているのは「銀行および金融サービス」でしたが、その一方で個人情報保護について消費者からの信頼がもっとも高かった企業は「銀行および金融機関」でした。高いと言っても信頼していると回答した人はわずか29%であり、業界を問わず企業への不信感が根強いことが見て取れます。
【個人情報保護について消費者からの信頼が高い企業】
- 銀行および金融機関(29%)
- 医療サービス期間(23%)
- 消費者向けテクノロジー企業(22%)
一方、消費者からの信頼が最も低かったのは「政府機関」で、信頼していると答えた消費者はわずか8%。次いでメディア&エンタメ企業(9%)、ソーシャルメディア企業(10%)と続きました。メディア&エンタメ企業やソーシャルメディア企業に対する信頼の欠如は、ある意味予想通りかもしれませんが、政府機関のデータ保護についての厳しい不信感については少々意外に感じた方も多いかもしれません。
「セキュリティ対策を義務化すべき」が51%
ここまで見て来たとおり、企業の個人情報保護の取り組みについて消費者の目は厳しく、多くの人が企業の対策に不満を持っていることがわかります。実際、データ流出などで消費者の個人情報を侵害した企業については厳しい目が向けられており、今回のタレスの調査では、世界中の消費者が暗号化やユーザー認証プロトコルなどの優れたデータセキュリティ対策を実装するべきという意見を持っており、 半数以上(平均:54%、日本:51%)がこれを義務化するべきと考えていることがわかりました。
また、被害者に対する補償(平均53%、日本:70%)、専門家を雇い再発防止に努めること(平均:46%、日本:35%)、責任をもって被害者のデータを特定し元に戻すこと(平均:43%、日本:47%)、より厳格な法規制に従うこと(平均:42%、日本:39%)という意見も。個人情報侵害というと、海外ではGDPRのように莫大な金額の罰金を科す法律が整備されていますが、消費者の意見として当該企業に「罰金を科す」ことを求める意見は10人中3人程度(平均:31%、日本:32%)にとどまっています。つまり保証や罰金よりも、データ侵害を未然に防ぐ体制の整備を求める傾向が高いということです。万が一、データ侵害を起こしてしまった場合、企業には迅速な補償はもちろん、再発防止として具体的にどのような対策を取ったのかを明確に消費者に示すことが強く求められます。
改正個人情報保護法 情報漏洩時の報告通知が義務化
このように消費者の企業への目が厳しくなっている背景には、実際に企業が所有するデータの侵害、特に漏洩事例が相次いでいるからです。東京商工リサーチが行った「個人情報漏えい・紛失事故調査」によると、上場企業とその子会社が公表した個人情報の漏えい・紛失事故の件数は、2021年の137社から2022年の165件、公表した上場企業とその子会社の数は、2021年の120社から2022年の150社へと、どちらも2年連続で過去最多を更新しています。また、個人情報保護委員会に報告された上半期の情報漏洩事案数も、2021年の517件から2022年度は1587件と3倍以上に伸びています。
国はこの状況を重く受け止め、2022年の個人情報保護法改正で事業者の守るべき責務の在り方を見直し、これまで「努力義務」だった情報漏洩時の「個人情報保護委員会への報告や本人への通知」を、次の条件に当てはまる場合は事業者の「義務」としました。
【報告と通知が義務になるケース】
- 要配慮個人情報が含まれる個人データの漏えい等
- 不正利用により財産的被害が生じるおそれがある個人データの漏えい等
- 不正の目的をもって行われたおそれがある個人データの漏えい等
- 個人データに係る本人の数が千人を超える漏えい等
NTTデータがまとめた「サイバーセキュリティに関するグローバル動向四半期レポート(2022年7月~9月)」によると、個人情報漏えいの原因で最も多かったのが「ウイルス感染・不正アクセス」が55.1%で、2021年の49.6%を上回りました。個人情報漏えいの原因が、この「ウイルス感染・不正アクセス」の場合は、上記の「不正の目的をもって行われたおそれがある個人データの漏えい等」に該当するため、個人情報保護委員会への報告と本人への通知が義務となります。なお、報告については①速報(漏洩を知った日から3~5日以内)と②確報(原則30日以内)の2段階で行わねばなりません。
漏洩が起きてしまってから慌てるのではなく、あらかじめ報告や通知の手順を社内で整備・確認しておき、万が一の際には迅速かつ適切な対処をして、消費者への被害と自社の信頼失墜を最小限に抑えましょう。