<8月号の目次>
◎ コネクテッドTV広告市場に乗り切れないGoogleはサードパーティーCookie廃止を延期させて市場を増殖
◎ 巨大テック企業が支払う制裁金の対価
◎「データ漏えい」制裁金の相場はどこまで上がるのか
◎【MAD MAN起点観測】制作費は減らしても未だ「兆円」規模の米国テレビ局各社
◎ これは共創なのかコラボなのかタイアップなのか
「データ漏えい」制裁金の相場はどこまで上がるのか
前章では、企業の個人データの収集方法に関して「GDPRの指導に対して違反をしている行為」への「何が指導されているのか(アウトなのか)」を紹介した。制裁金の金額よりも、現在の企業が「何がアウトなのか」を実感していないことに気づく第一歩としての解説だ。
そして、本章では「データ漏えい」の場合(サイバー攻撃を受けてしまった場合)の角度から「制裁金」の状況にアンテナを張ってみる。
ここは誰しもが「漏らしてはアウトでしょ」とアウトの感度が高くコンセンサスが取れている分野だ。にもかかわらず、日本では制裁金のインパクトが希薄で、その怖さに対して襟を正そうというエネルギーが全体的に低い。
企業レベルで考えると、「制裁(金)なんてそんなに怖いものではない」という程度の理解が存在しているか(絶対ゼロにするという意識が少なくないか)。
データを取られてしまった企業であっても「自社も被害を受けました。政府に正直に申請します」と行動すれば済むような風潮を後押しする法規制のように感じられる。その結果、行動を改めるほどの大きな罰則もなく、「まだまだスレスレのコストでやりたい放題」の企業行動に戻る傾向がないだろうか。
前章からの続編として、データが抱えるマイナスリスクとその意識のアンテナを立てるために、本章では「データ漏えい」の分野に切り替え、その「金額」について深堀りしていく。この話題において「自社にはまだ関係がない」と思ってしまわぬよう、今ある自社事業において「この金額がリスクかも」とシミュレートして欲しい。
■甘い法規制に「甘んじて」良いのか
スタートアップならば、その起業の心意気そのままにマイナスリスク(例:キャッシュを燃やしながら売上を伸ばしていつかは元を取るぞ)を覚悟の上で、ゼロから未来を切り開いている姿勢は、少々乱暴でも筆者は応援したい立場だ。
ところが、成長した企業(例:日本の上場企業)が数千の単位で顧客やユーザーを預かる段階にあるにもかかわらず、その数や規模に比例した覚悟=責務を持ち得てない「乱暴な」事業も多い(数の大きさが責務の大きさではないが、スタートアップほどの無知ではあるまいという意)。
幼少の頃のサッカーゲームに例えれば、シュートすることばかり考えてボールを追いかけていた時(データを入手したり活用することばかり考えていた時)は、ボールを蹴るだけで楽しくてそれで良かった。これが小学生や中学生レベルに進むと、ゴールキーパーは不在のままで試合を進める状況(得点損失の防御がないままの状況)では、「勝てない」と気づいてくる。その先に将来的には、チームでパスをつないでの勝利やリーグ(世界)制覇のような大きな世界も見えてくる。
企業のユーザーから集めている「データ」の試合においても、似たような状況がある。日本を起点として「データ」を扱う事業主(例外なく全事業主100%が当てはまる)は、幼少レベルのボール蹴りのままで良いはずもなく、リーグでの勝負を見据えたいはずだ。一歩譲って世界の最高峰レベル「未満」でも良いとしても、日本の法規制「以上」の立ち位置を築くことが理想だ。
■データが持つ3つのマイナスリスク
企業のデータに関するたくさん考えられるリスクの中から、筆者は3つの主要なマイナスリスクをMAD MANレポート読者と共有する。そのマイナスリスクの1つが「データ漏えい(サイバー攻撃)」であり、その制裁金の「規模感」について慣れておこうとするのが本章だ。
MAD MANレポートのシリーズにおいて、企業のデータの扱いを大きく3つの「マイナスリスクへの意識」のみに区分けるのは、日本ではすべての項目を均等に網羅することに比重が寄り過ぎて強調なく混在(ごちゃまぜ)されている雰囲気があるからだ。筆者が(サクッと)仕分けた力点は以下の通りだ。
1)本章で取り上げる「盗まれてしまう」リスク
=サイバー攻撃を受けてデータ漏えいしてしまうというマイナスリスク
この分野は読者の皆さんだけでなく、広く一般的に最も大きく「アウト」、「損失」と認識されている。本章はこの部分の触れられていない盲点(意識されていない部分)として、「制裁金」の面から取り上げる。日本の法改正には非常に甘い「ギャップ」が見えるので、一考してみたい(甘い事はありがたいことだろうか)。
2)企業による個人データの「こっそり盗きみ見(例:Cookieの同意なき利用)を「しでかして」しまうリスク(前章の話題)。
前章で解説したAmazonやGoogleなどが先行して「まな板の鯉」になってくれている現状から早めに気づいておきたい。「なぜ、どこが、アウトなのか」をすでに紹介した。
この2)は、1)のデータ漏えいと同じくらい「アウト」であるという認識が欧米では急速に高まっているが、日本ではまだまだ「アウト」の意識が薄い(例:無意識にYESを押させるCookie許可を取るバナーがまかり通る状況など)。これは潜在的に「大きな負債」の要素として、MAD MANレポートでは度々紹介している。
3)DSR視点からデータ活用の負債コストを見極める「DSR=Data Subject Request」「DNS=Do Not Sell My Data」に対するリスクコスト
データはその利活用を考える以前に、保持していること自体で消費者からのリクエスト対応に応じる大きな維持コスト(責任)を抱えることになる。
これは2020年11月号 Vol. 72でご紹介した話題だ。データを保有しているばかりに2018年以降から法定されたGDPR/CCPAに基づいて、「ユーザーからの権利主張で企業サイトに対して個人からの情報の確認リクエストに対応しつづけるための基本コスト」が増大していく。
「ワタシのデータを見せて」、「ワタシのデータを消して」、「どうしてワタシをそのようなプロファイリングにしたのですか」などのリクエストに企業側が振り回されて応じるコスト(責任)が顕在化している。
もちろん、企業活動におけるデータ管理や関心は上記の3項目だけではなく、経済産業省においてもデータの管理と利活用に関するきめ細やかな「それ以外の」確認点は多数公開・指摘されている。とはいえ、まだまだ日本企業での総論は他人事のようである。網羅しすぎるあまりに力点がぼやけてしまう感じが受け取れる。
これまでもMAD MANレポートで2)と3)の分野については繰り返し紹介してきたが、本章では新しく誰しもが「アウト」と思っているはずの足元の基本である1)の「データ漏えい」に絞って、その「処罰=制裁金」のコストインパクトを示唆していく。
■データ漏えい企業は被害者ではなく加害者として制裁が課せられる
日本企業による漏えい件数を取りまとめて発表している「東京商工リサーチ」も、企業名と件数の発表のみで、制裁金についての発表が見当たらない(図1参照)。
図1 東京商工リサーチが2021年1月15日に発表した「上場企業の個人情報漏えい・紛失事故」調査(2020年)
出所:東京商工リサーチ
どれほどのマイナスインパクトを受けたか(制裁金やビジネスの機会ロス)、「政府や当局はそれらの企業にどのような制裁を課したのか」について、報道される傾向が少なく、該当資料があれば日本の読者からのご指摘や解説をお待ちしたい。
データ漏えいを「サイバー攻撃を受けた」と言い換えれば、「受けた企業側が被害者」と思ってしまいがちだが、データを預かる責任や理念は企業側にある。「預かりもの」を取られてしまっては事業として成り立つはずもない。
ユーザーや消費者の立場で「勝手に第三者に盗まれている」状況をしでかした企業が、盗まれたことを自主的に申請するのは当然として、制裁措置がうやむやのままになっているのが現在の日本の状況(法規制やコンセンサス)のようだ。
立場の弱いユーザー側を守るべく消費者データ保護の各当局が「被災したユーザーへの損害賠償費用」や「政府や当局からの法的制裁」を課すことの機運が少なくとも欧米では高まっている。これがGDPR/CCPAの根源だった。
その感覚を基準にすれば、日本の個人情報保護法の改正はまだまだかなり企業側に好都合な状況のままであり、消費者側からはそのアンバランスに対して「無風」であることも考えておきたい。
■企業が目指す利益は制裁金の少なさや罰則回避ではないはず
ひとたび「漏えいがとんでもなくダメだ」の機運が日本にも上陸すれば、企業側としては「事後の弁護士費用を含めた対応費用」や「ユーザーや顧客を失う機会損失」などの積み重なる不利益が想定される。本章では、それらの社内コストのさらに上積みされるコストとしての、上陸前の「欧米での法的制裁金」がいくらか考えたい。
繰り返すが、「日本の法改正に沿っている」として日本法規を「隠れ蓑」とする意識のままの企業姿勢で良いかどうかを考える選択肢が目の前にある中で、どれを選択するかだ。その練習問題が目の前に登場している。
たとえば、企業市民たるSDGsの行動規範も応援したいが、データからもたらされる消費者やユーザーへのインパクトはSDGsの話題よりも明日効果が現れるリアルなインパクトを消費者側にもたらす事象に感じられる。
■世界からは蚊帳の外の日本の法改正
図2 経済産業庁のサイトに掲載されている「個人情報保護法 令和2年改正及び令和3年改正案について」のP18より
出所:経済産業庁
図2は、経産省の視点での個人情報保護法「令和3年(2021年)改正案」の中での制裁金に関する改定のページだ(2021年5月7日付け)。改正後案には制裁金が引上げられているのだが、非常に企業寄りの「ものすごく甘い」状況であるのは・・・
続きはMAD MANレポートVol.81にて
ご購読のお問い合わせは、本サイトのコンタクトフォームより、もしくは、info@bicp.jp までお願いいたします。
MAD MAN Monthly Report の本編は有料(年間契約)となります。詳しくはこちらのページをご覧ください。
