• Like
  • Save
エデルマン・プライバシー・リスク・インデックス
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

エデルマン・プライバシー・リスク・インデックス

  • 1,897 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,897
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. エデルマン・プライバシー・リスク・インデックスポネモン・インスティテュート実施の調査結果に基づく Edelman GCRM Program | 1
  • 2. プライバシーリスクに対して脆弱な企業の実態プライバシーリスクは企業の事業運営やレピュテーションに多大な影響を及ぼします。 エデルマンの調査により、初めて明らかになった企業は機密情報の流出や悪用により、より一層の プライバシーリスクの主な要因:規制強化や罰金を科される事態に直面しています。規制の圧力が十分でなければ、企業のレピュテーションに多大な損失を及ぼすプライバシー侵害に関 プライバシーリスクがこれまでになく高まったことが、するニュースを目にしない日はないことでしょう。 企業に重大な課題を突き付けている今日、データセキュリティとプライバシーを効果的に 企業は最大のリスク要因となるプライバシー対策が管理することは、企業にとって必要不可欠です。ま できてないすます多くの機密情報が共有され、保管され、利用される現在、その情報がどのように管理され、保護 企業のグローバル展開や金融サービス、ヘルスケアされているかを明らかにする透明性がこれまで以上 業界における運営が重大なリスク要因となるに求められています。
  • 3. これまでになく高まるプライバシーリスク Edelman GCRM Program | 3
  • 4. プライバシーリスクがもたらす結果プライバシー侵害の代償は大きく、企業は顧客を失い、罰金を支払い、レピュテーションを失います。その結果、企業の事業運営は不安定な状態に陥ります。 顧客 企業レピュテーション 罰金 ビジネスの崩壊 Edelman GCRM Program | 4
  • 5. プライバシーリスクの要因と責任 消費者の懸念 規制の強化 消費者の4分の3が、個人情報が許可なく使用された場合、 オンラインショップの利用をやめる 米連邦取引委員会はプライバシーの侵害に 2,250万ドルを科す 消費者の半分以下しか、個人情報保護に関して、ヘルスケ 欧州委員会が公表した改定案では年間売上高の ア組織を信頼していない 2%の罰金 を科すことも含まれている Edelman DSP Group Study 代償 メディアによる監視 和解金の平均額は 1訴訟につき2,500ドル それに伴う弁護士費用は120万ドル Temple University Beasley School of Law Edelman GCRM Program | 5
  • 6. エデルマン・プライバシー・リスク・インデックスとは エデルマン・プライバシー・リスク・インデックス(ePRI)は、企業のプライバシーリスクの最大要因を 測定するグローバルなベンチマーク調査及びツールで、企業がどのように事業運営に伴うプライバ シーリスクを管理しているかを検証します。• ポネモン・インスティテュートが実施した過去3年間の調査分析に基づいている• 6,400名の情報セキュリティ管理者やリスクマネージャーを対象にしている• 29ヵ国を対象にしたベンチマーク調査及びツールである• 調査結果が、企業のプライバシーリスクをベンチマークに対して測定できるオンラインツールの基準に なっている• 単なる診断ではなく、方向性を示すものである
  • 7. プライバシーリスクの構成要素エデルマン・プライバシー・リスク・インデックスにより、企業は、個人情報の流出や悪用に繋がる潜在的な財務リスクやレピュテーションリスクへの対策が不十分であることが明らかになりました。企業は、ビジネスプロファイルと厳重なプライバシーポリシーの実施ができていないことにより、重大な危険性に直面しています。 ビジネス プロファイル: プライバシーポリシー 企業を の実施: 事業運営方法 全リスク 定義づけるもの
  • 8. 企業を定義づけるもの
  • 9. ビジネスプロファイル企業はどのように自社のビジネスプロファイルがプライバシーリスクの要因になるかを理解しなければなりません。 リスクの高い環境 で運営している企業は、適切なプライバシー対策ができていないと、特に被害を受けやすくなります。 業界 社員数/規模 地域 リスク 取り扱う情報 事業展開の地理的範囲
  • 10. ビジネスプロファイル・リスク一覧表 地域 事業展開の地理的範囲 業界 社員数/規模 取り扱う情報 最高リスク 最高リスク 最高リスク 最高リスク 最高リスク• ベルギー • グローバル/スー • 金融サービス • 中小企業 • 顧客の機密情報• イタリア パーリージョナル*1 • ヘルスケア• スペイン • コミュニケーション 最低リスク 最低リスク 最低リスク 最低リスク 最低リスク• 中国 • ローカル*2 • 自動車産業 • 大企業 • 社員情報のみ• インド • 製造業• ブラジル *1 2つ以上の地域の多くの国々において事業を展開している企業 詳細は付録2をご覧ください。 *2 1ヵ国のみで事業を展開している企業
  • 11. 企業によって異なるリスクの起点企業の事業運営におけるリスクの起点は、業界、市場、規模によって異なります。自社の立ち位置を把握し、リスクが高い場合には対応策を取ることが、企業にとって必要不可欠です。 事業運営における 事業運営における リスクが低い企業 リスクが高い企業 VS. ブラジル イタリア 製造業 ヘルスケア ローカル グローバル 大企業 中小企業 社員情報のみを取り扱う 健康情報や顧客の機密情報を 取り扱う
  • 12. プライバシーポリシーの実施
  • 13. プライバシーリスクを決定する要因ePRIでは、企業がプライバシー侵害、訴訟や規制のリスクを軽減するための重要な指標となる3つの柱と12の要因を特定しました。 • 私の組織は、社員や顧客の情報の取り扱いに関して、透明性を確保している 私の組織は、顧客や規制当局からのプライバシーに関する苦情や質問に迅速に対応しているコミュニケーション/ • 私の組織は、プライバシーとデータセキュリティに関する社員教育に多大な努力をしている エンゲージメント • 私の組織の社員は、プライバシーの重要性と個人情報や機密情報をどのように保護するかを理解している • 私の組織は、プライバシーと個人情報保護を優先度の高い課題として位置付けている • 私の組織の幹部は、プライバシーポリシーを主導し、意思決定をする権限がある • 私の組織は、世界のプライバシーポリシーに関する文化的な違いを理解している 事業運営 • 私の組織は、法律や規制の順守を厳しく徹底している • 私の組織は、情報漏洩が組織のレピュテーションや財政面に悪影響を及ぼすと考えている • 私の組織は、社員や顧客の情報を保護するための十分なリソースを有している • 私の組織は、個人情報の流出や悪用を防ぎ、素早く発見することができる データ保護 • 私の組織は、個人情報を保護するための専門知識と技術を有している
  • 14. 対策不十分な企業リスク管理を効果的に実施していると答えたのは回答者の半数以下 で、半数以上が プライバシー侵害問題を起こす危険にさらされています。実施できていない点: プライバシーを優先し、リソースを充てる 社員をエンゲージする 透明性を徹底する 規制当局からの指摘に対処する
  • 15. 専門知識やリソースの不足 • 私の組織は、個人情報を保護するための専門知識と技術を有している 全くそう思わない 全くそう思わない 12% 非常にそう思う 14% 非常にそう思う 16% 15% リスクの高い企業そう思わない 25% そう思う そう思わない そう思う 17% 26% 67% 23% 62% 分からない 分からない 30% 22% • 私の組織は、社員や顧客の情報を保護するための十分なリソースを有している 全くそう思わない 全くそう思わない 3% 11% 非常にそう思う 非常にそう思う そう思わない 16% リスクの高い企業 22% 20% そう思わない 21% そう思う 59% そう思う 29% 19% 分からない 分からない 55% 36% 23%
  • 16. 優先度の低さ• 私の組織は、プライバシーと個人情報保護を優先度の高い課題として位置付けている 全くそう思わない 全くそう思わない 7% 非常にそう思う 14% 非常にそう思う 15% 15% リスクの高い企業そう思わない 20% そう思わない 14% そう思う そう思う 21% 25% 64% 59% 分からない 分からない 37% 31% • 私の組織は、情報漏洩が組織のレピュテーションや財政面に悪影響を及ぼすと考えている 全くそう思わない 全くそう思わない 6% 非常にそう思う 10% 非常にそう思うそう思わない 19% 18% リスクの高い企業 14% そう思わない 17% そう思う そう思う 56% 25% 31%分からない 分からない 51% 36% 24%
  • 17. 社員をエンゲージできていない プライバシー侵害問題の多くは、社員の不適切な情報の取り扱いや不注意が原因で発生します。ePRIは、社員の教育不足が生み出す 潜在的なリスクに、多くの企業が対応できていないことを明らかにしています。• 私の組織の社員は、プライバシーの重要性と個人情報や機密情報をどのように保護するかを理解している 全くそう思わない 全くそう思わない 6% 非常にそう思う 17% 非常にそう思う 16% 15% リスクの高い企業そう思わない 23% そう思わない そう思う 24% そう思う 20% 25% 64% 分からない 60% 分からない 35% 20%• 私の組織は、プライバシーとデータセキュリティに関する社員教育に多大な努力をしている 全くそう思わない 全くそう思わない 10% 非常にそう思う 17% 非常にそう思う 15% 14% リスクの高い企業そう思わない そう思う 25% 16% そう思う そう思わない 21% 69% 24% 65% 分からない 分からない 35% 23%
  • 18. 透明性に欠け、迅速に対応できていない消費者の個人情報の取り扱いに関心が高まり、世界中で施行される新法やメディアによる監視にも関わらず、企業は透明性の確保や迅速な対応ができていません。• 私の組織は、社員や顧客の情報の取り扱いに関して、透明性を確保している 全くそう思わない 全くそう思わない 5% 非常にそう思う 6% 非常にそう思う 18% 16% リスクの高い企業 そう思わないそう思わない 30% 24% そう思う そう思う 60% 22% 28% 分からない 56% 分からない 26% 25% 私の組織は、顧客や規制当局からのプライバシーに関する苦情や質問に迅速に対応している 全くそう思わない 全くそう思わない 11% 非常にそう思う 11% 非常にそう思う 15% リスクの高い企業 18%そう思わない そう思わない 23% そう思う 29% 19% そう思う 65% 21% 61% 分からない 分からない 31% 21%
  • 19. 法規制の順守を徹底していない 多くの企業が世界中で次々に考案される規制の順守に苦しんでいます。 • 私の組織は、法律や規制の順守を厳しく徹底している 全くそう思わない 全くそう思わない 13% 非常にそう思う 16% 非常にそう思う 18% 17% リスクの高い企業そう思わない 20% そう思わない 23% そう思う そう思う 23% 65% 17% 分からない 分からない 61% 31% 22%• 私の組織は、世界のプライバシーポリシーに関する文化的な違いを理解している 全くそう思わない 全くそう思わない 5% 非常にそう思う 16% 非常にそう思う 16% 14% リスクの高い企業そう思わない 29% そう思わない そう思う そう思う 24% 25% 66% 18% 61% 分からない 分からない 32% 22%
  • 20. プライバシーリスクの管理
  • 21. まず始めに1 理解する: ePRIオンラインツールを使って、自社のプライバシーリスクを よく理解しましょう。リスクに対する意見 の一致を図るために、法律、コミュニケーション、技術などの主要なステークホルダーと結果を共有しましょう。2 優先順位をつける: 理解を得ることで、企業は自社のプライバシーポリシーを方向付け、策定することができま す。企業にもたらす潜在的な影響を考慮し、一番実行できていない最大の弱点である要素を優先度の高い課題とし て位置付けることが大切です。3 実行に移す: 潜在的に危険な状態にある課題を改善するために、コミュニケーション、法律、技術分野の第一人 者と協力し、企業を超えて解決に取り組みましょう。
  • 22. ePRIオンラインツールで自社のプライバシーリスクを理解するePRIオンラインツールを活用し、自社のプライバシーリスクと各項目の基準値に対する違いをよく理解しましょう。
  • 23. プライバシーリスクが高い要因を優先する 私の組織は、プライバシーと個人情報保護を優先度の高い 課題として位置付けている 優先度 #1企業にとって 私の組織は、個人情報を保護するための専門知識と技術 を有しているリスクの高い要因を 優先度 #2定義し、査定しましょう。 私の組織は、社員や顧客の情報の取り扱いに関して、 透明性を確保している 私の組織は、顧客や規制当局からのプライバシーに 関する苦情や質問に迅速に対応している 優先度 #3
  • 24. 組織を超えてチームを編成し、 実行に移す 企業: 適切な情報の取り扱い、プライバシーポリシーの徹底リスクを改善するために、 法律/政府関連業務: 事業を展開している全地域における各法律の順守プライバシーポリシーとその策定に 情報技術:投資しましょう。 情報漏洩等の事故の防止と復旧 コミュニケーション: エンプロイー・エンゲージメント、ステークホルダー・エンゲー ジメント、クライシス・コミュニケーション
  • 25. 第一段階: エデルマン・プライバシーワークショップ 結果 カスタマイズした 御社のエデルマンと同社のビジネス プライバシーポリ プライバシーリスク シーロードマップパートナーが、プライバシー の現状把握 の策定リスクを査定し、優先すべき要因を決定します。 社内の プライバシー戦略 意思統一 の策定
  • 26. サービス概要エデルマンと同社のプライバシー専門のビジネスパートナーが、御社のプライバシーとデータセキュリティ対策をトータルでお手伝い致します。 コミュニケーション 監査 ポリシー/法律プライバシーとセキュリティに レピュテーションと ポリシーの分析と指導関するメッセージの作成 コミュニケーションの監査 積極的な規制当局や政策立案者社内コミュニケーションと プライバシーリスクの査定 との関係構築エンプロイー・エンゲージメント コミュニケーションチームの 訴訟コミュニケーション 統合インフルエンサーと競合他社 政策当局への働きかけのマッピング 顧客と市場の調査 協調体制の構築と草の根的支援プライバシーとセキュリティの クライシスマニュアル対応管理情報漏洩のシミュレーションとトレーニングソートリーダーシップと経営幹部のポジショニング
  • 27. お問い合わせ WEB: Datasecurity.edelman.com Edelman.com/expertise/practices/data security & privacy TWITTER: @EdelmanDSP CONTACT: エデルマン・ジャパン株式会社 テクノロジー・プラクティス ディレクター 秋澤 知子 Tomoko.Akizawa@edelman.com
  • 28. 付録 1プライバシーとデータセキュリティに関する現状リサーチ
  • 29. 消費者の信頼における格差 エデルマンが実施したグローバル調査「プライバシーとセキュリティ:企業のブランド、レピュテーションと行動における新たな 促進要因」によると、消費者が考えるプライバシーの重要性と企業の情報保護に対する消費者の信頼には大きな格差があ ることが明らかになりました。 92% 各業界におけるプライバシーとセキュリティの重要性 84% 各業界における個人情報保護に対する信頼 78% 77% 69% 69% 63% 51% 50% 50% 48% 43% 37% 33% 27% 12% 12% 11% 9% 6%Q7. How important is your privacy and security when doing business with the following industries?Q8. Which industry do you trust most to adequately protect your personal information? Please select the top three industries. Edelman GCRM Program | 30
  • 30. 消費者におけるプライバシーの意義消費者は、個人情報が許可なく使用された場合、そのサービスの利用を止める傾向にあります。プライバシー対策を怠っている企業にとっては、大変な打撃になります。個人情報が許可なく使用された場合、サービス供給者を替えるか、そのサービスの利用を完全に止める消費者 80% 79% 77% 75% 75% 67% 67% 65% 63% 59% 55% 55% 54% 50%Base: All respondents (Global n=4,050)Q9. For the following types of companies, if your personal information was accessed without your permission, how likely would you be to switch to a different provider or stop usingthese services entirely, if they did have personal information on you? Please use a scale of 1-5, where 1 is “not at all likely” and 5 is “very likely.”
  • 31. 米国における規制企業のプライバシー侵害に対し管轄権を有する全ての連邦機関は、大幅に規制を強化しています。 グーグルはブライバシー法違反により、連邦取引委員会に 和解金2,250万ドルを支払う ブルークロス・ブルーシールド・オブ・テネシー(BCBST)は、 2009年の個人情報漏洩問題により、1,500万ドルの罰金を支払う 証券取引委員会は、個人情報漏洩は重大なビジネスリスクに 当たるとして、株式公開企業に対し情報漏洩問題の公開を求める
  • 32. 欧州連合における新たな規制現在欧州の諸機関では、27もの連合国の情報保護法を精査し、欧州全体にわたる新たな一つの制度を作るために、広範囲にわたる案が議論されています。もし、この案が承認されれば、新たな制度では、データ管理者の責任を根底から変え、データ保護機関(DPAs)の権限を強め、個人の権利を拡大することになります。この規制には、法違反に対し、年間売上高の2%の罰金が科されるとされており、全世界に影響を与えることになります。
  • 33. アジアにおける規制多くのアジアの国々では、欧州や米国同様、新たなプライバシー保護法が策定され、情報漏洩に対して罰金が科され、より厳しい規制が敷かれています。 インド:Passed Information Technology Rules (2011) シンガポール: Personal Data Protection Act (2012) 香港: Amended Personal Data Ordinance (2012) APEC地域: APEC Privacy Framework
  • 34. 増加する訴訟「ネブアド、行動ターゲティングテストをめぐる 「マイクロソフト、マクドナルド、マツダ、CBS、 訴訟で和解」 – MediaPost データマイニングの隠蔽に広告を利用とした として訴訟を起こされる」– Network World 「和解金の平均額は1訴訟につき 2,500ドル、それに伴う弁護士費用は 120万ドル」 – Temple University Beasley School of Law 「フェイスブックにプライバシー侵害で 150億ドルの賠償求める」 – CNET
  • 35. 批判的なメディア企業は、ますます批判的に主張するメディア環境により、重大なレピュテーションリスクに直面しています。 GMのオンスターによる セキュリティーが 愚かなプライバシー侵害 企業の最重要課題へ フェイスブック、 欧州の個人情報保護法に従い、 アップル、ついにパスの 顔認証システムを無効へ 愚かなプライバシーポリシー に対し重い腰を上げる プライバシーに対する 懸念が購買決定に影響 アマゾンのプライバシーと キンドル・ファイアに関する疑問
  • 36. 付録 2エデルマン・プライバシー・リスク・インデックス
  • 37. 地域によって異なるプライバシーリスクePRI調査によると、欧州におけるプライバシーリスクが最も高いことが明らかになりました。近年の個人情報保護法の策定や、プライバシーに対する文化的差異が原因として考えられます。 50.9 58.7 北米 欧州 41.1 中東 42.7 アジア太平洋 40.2 南米
  • 38. 国によって異なるプライバシーリスクプライバシーリスクの高い国と低い国の間には、大変大きな差があります。プライバシーリスクが最も高い11ヵ国は欧州に位置しており、多くの新興国におけるプライバシーリスクは低くなっています。 ベルギー Belgium 68.6 イタリア Italy 65.2 オランダ Netherlands 64.1 スペインSpain 62.5 フランス France 59.2 ドイツ Germany 59.1 スウェーデン Sweden 58.7 ポーランド Poland 56.5 デンマーク Denmark 56.3 ノルウェー Norway 55.0 アイルランド Ireland 54.8 ニュージーランド New Zealand 54.7 オーストラリア Australia 54.2 カナダ Canada 53.8 アルゼンチン Argentina 53.3 イギリス United Kingdom 53.0 ロシア Russian Federation 50.4 香港 Hong Kong 50.0 Unitedアメリカ States 48.1 日本 Japan 43.2 イスラエル Israel 42.2 アラブ首長国連邦United Arab Emirates 41.2 サウジアラビア Saudi Arabia 39.7 シンガポール Singapore 38.7 メキシコ Mexico 37.9 韓国 Korea 37.2 中国 China (PRC) 32.0 インド India 31.3 ブラジルBrazil 29.3 - 10.0 20.0 30.0 40.0 50.0 60.0 70.0 80.0
  • 39. 事業展開の地理的範囲によって異なるプライバシーリスク各地域や国によって異なるプライバシーリスクの複雑さにより、事業展開の地理的範囲が広ければ、プライバシーリスクは高くなります。 ローカル80.0 1ヵ国のみで事業を展開している企業70.0 66.8 58.3 リージョナル60.0 1地域内の2ヵ国以上において事業を展開している企業50.0 39.040.0 36.0 スーパーリージョナル 2つ以上の地域の多くの国々において事業を展開している企業30.020.0 グローバル10.0 世界のあらゆる地域において事業を展開している企業 - Local Regional スーパー Super regional Global ローカル リージョナル グローバル リージョナル
  • 40. 業界によって異なるプライバシーリスク顧客の機密情報を取り扱う業界のプライバシーリスクが最も高く、オンラインで顧客情報を取り扱わない業界のプライバシーリスクと比べると、大変大きな差があります。 Financial services 金融サービス 79.3 Health & pharma ヘルスケア 78.3 コミュニケーション Communications 66.0 航空 Airlines 62.8 専門サービス Professional services 61.0 公共 Public sector 58.8 教育/調査 Education & research 56.5 交通 Transportation 56.3 ホスピタリティ Hospitality 55.0 エネルギー/電気・ガス水道 Energy & utilities 55.0 テクノロジー/ソフトウェア Technology & software 53.8 リテール(オンライン) Retail (Internet) 52.0 リテール(会話) Retail (conventional) 44.5 一般消費財 Consumer products 44.3 サービス Services 39.5 エンターテインメント/メディア Entertainment & media 32.8 農業 Agriculture 32.3 工業 Industrial 27.5 自動車 Automotive 24.0 製造 Manufacturing 20.8 - 10.0 20.0 30.0 40.0 50.0 60.0 70.0 80.0 90.0
  • 41. 企業の規模によって異なるプライバシーリスク小規模の企業のプライバシーリスクは、大規模の企業のリスクよりも大変高くなっています。これは、通常大企業は、プライバシーリスクを管理するためのリソースを有していることが理由として考えられます。しかしながら、個人情報を取り扱う量の多さや、一層の規制強化により、大企業もプライバシーリスクに直面しています。 501~1,000 59.5 500以下 57.5 1.001~5,000 50.3 5,001~10,000 46.5 75,000以上 45.8 25,001~75,000 45.8 10,001~25,000 44.8 - 10.0 20.0 30.0 40.0 50.0 60.0 70.0
  • 42. 取り扱う情報によって異なるプライバシーリスク取り扱う情報量と情報の機密性が、プライバシーリスクに大きな影響をもたらします。 取り扱う個人情報の種類:  顧客(個人情報を含む)  顧客(個人情報を含まない)  社員  消費者(ターゲット消費者)  市民(政府使用)  患者(健康記録)  学生  株主/投資家