データを適切に扱わなかった場合、どうなるのか？

　データを適切に扱わなかった場合、どのような事態になるのかを考えてみました。

　適切に扱っていない＝管理していないということなので、データ流出や漏洩のリスクがともないます。一度流出したデータは元の状態に戻すことができません。顧客情報が流出したとなれば、損害賠償、会社の信頼失墜、株価下落など会社経営に大きな影響を与えることになります。

　データ流出など不祥事が起こった場合、状況に応じた行政指導を受けることになります。また、プライバシーマークやISO27001などの情報セキュリティーの第三者認証を保持している場合は剥奪される恐れがあります。認証が剥奪されると、これまでお付き合いしていた会社とのビジネスを存続することができなくなる場合が想定されます。

　適切に扱っていないということは、個人情報（個人データ）取得に際して、利用者にとってどのような用途でデータを取得し使用するのかを明らかにしていないということになるので、場合によっては不正な手段によるデータ取得となる恐れがあります。

個人データを「取得しない」戦略の可能性

　しっかりデータを保護し適切に扱っていたとしても、データ流出のリスクはゼロにはなりません。常にリスクが付きまとうため、逆転の発想として、あえて個人データを”取得しない”戦略の可能性について考えてみました。

　当たり前かもしれないですが、メリットよりもデメリットの影響度のほうが高いように感じます。また、そもそも個人情報（データ）を取得しない戦略を取れる企業は限られてくるように思います。名前や性別はもちろん、個人を識別する番号（マイナンバーや運転免許証番号等）、ターゲティング広告に利用するメールアドレスや電話番号、クレジットカード情報などはすべて個人情報（データ）と考えます。自社はもちろん、業務委託先企業で利用している場合にもデータ保護の義務が発生します。

安心と信頼を担保するデータ活用の未来

　先にも触れたように、適切にデータを扱わないと、データ流出や漏洩のリスクが高まります。そして、一度流出したデータは元の状態には戻せません。さらには、損害賠償や会社の信頼失墜、株価下落などの経営に大きな影響を与えます。

　だからこそ、データ保護を行うということは、自社のデータを把握し活用することに繋がり、マーケティング活動やデータ戦略を正しく実施する基盤づくりとなります。消費者や取引先企業に対しても、自社のデータに関する利用用途や範囲を明確にすることで、”安心”と”信頼”を提供することができる未来に向けて、私たちは何ができるのでしょうか。

　次回は、実際に起きてしまったデータ保護に関する事件の解説をもとに、「データ保護を取り巻く現状と問題点」について解説していきます。

【参考資料】
『データ戦略と法律　攻めのビジネス』中崎隆 安藤広人 板倉陽一郎 永井徳人 吉峯耕平 著、日経BP、2018年10月
『データの法律と契約』福岡真之介 松村英寿 著、商事法務、2019年1月
『概説GDPR』小向太郎 石井夏生利 著、NTT出版、2019年9月