今日から新たにPrivacy Managementという概念について説明をしていきます。
Privacy Management とは、社内におけるData Privacyを管理する手法のことです。
Digital Ageに入った現代では、今後重要性が増す考え方です。
概念としてはISO 9001やISO 14001を思い浮かべていただければよいかと思います。
マネジメントシステムの必要性は評価がむつかしいものの一つです。
社内の合意が得られない場合、ビジネス・ケースを提示する必要があります。
ビジネス・ケースを組み立てるために、まずはデータ侵害のコストについてから話を始めていきましょう。
データ侵害時に発生するコストにはどのようなものがあるかご存知でしょうか?
GDPRでは巨額の制裁金ばかりが注目されていましたが、「見えないコスト」にも注意が必要です。
1.危機管理コスト(PRコスト)
一貫性があり、適切なタイミングで、ユーザに対して親切な情報提供を行ためには専門家の協力が必要となります。
2.調査コスト
データ侵害の確認、封じ込め策の実施、原因の解消といった作業を専門家が行う時間と費用が生じます。また、影響を受けたデータの数、範囲、種類について特定するのにかかる費用も生じます。
3.被害者への通知コスト
影響を受けた被害者への手紙、e-mail、ウェブサイト、その他影響を受けた被害者にコンタクトするために必要な手段を準備し準備したものを届けるために必要な費用が生じます。
4.コールセンターのコスト
データ侵害が発生するとコールセンターの設置をする必要があります。専用電話や専用e-mailアドレスの設置に関する費用も生じます。
5.外部弁護士のコスト
弁護士への相談費用やデータ侵害後の義務にかかる費用も生じます。訴訟への対応費用も生じます。
6.装置の更新、セキュリティ対策コスト
データ侵害が発生すると、装置やソフト、システムの更新を行うこととなる場合があります。
7.売り上げの減少コスト、株価の減少コスト
データ侵害は株価の低下、顧客離れ等を引き起こす可能性があります。
8.保険コスト
保険の費用はデータ侵害後上がります。
9.被害者救済対策コスト
被害者に対する救済措置に要する費用が生じます。(クレジットカードの監視、詐欺行為の解決、ID盗難保険の提供)
10.制裁金コスト
制裁金、対応遅れ、対応ミスに対する罰金コストが生じます
11.従業員トレーニングコスト
トレーニング内容を改良し、従業員を再トレーニングするためのコストが生じます
12.カード更新コスト
クレジット・カード番号が漏洩した場合はカード番号の変更費用が生じます。
13.被害者の損害補償コスト
データ侵害の被害者が被った損害を補償するための費用が生じます。
14. 機会費用
データ侵害は組織の生産性を低下させます。また、一部の従業員はデータ侵害によって生じた業務によって拘束されることとなります。