著者紹介:アレックス・アンドレードワルツ氏は、自己主権型アイデンティティーのマーケットリーダーであるEvernym(エバーニム)のマーケティングディレクターだ。
ーーー
11月にカリフォルニア州で、ビジネスのデータ収集に新たな規制を課す投票法案である住民投票事項24が可決された。CPRA(California Privacy Rights Act:カリフォルニア州プライバシー権法)の一環として、個人は自分の個人情報の共有と販売に関するオプトアウトの権利を有することになり、企業は「道理にかなった」範囲でデータ収集を最小限に抑え、ユーザーのプライバシーを保護しなければならない。
カリフォルニア州に本社があるApple(アップル)、Facebook(フェイスブック)、Uber(ウーバー)、Google(グーグル)などの企業にとって、この新たな要件は既存のデータ収集能力に対する制限のように見えるかもしれない。
しかし、さらに詳しく見ると、話は違ってくる。この新たな法規の要求を満たすだけでなく、それを上回る範囲のプライバシー保護を提供する企業には、データプライバシーを消費者の管理下に置く新たなテクノロジーによって、自社を競合他社から差別化し、最終的な収益を押し上げるチャンスがある。
たとえば、世界で最も企業価値の高いテック企業、アップルについて考えてみよう。アップルの最大の競合相手であるグーグルとフェイスブックがユーザーのデータを不正に利用しているとして非難されていたときに、CEOのTim Cook(ティム・クック)氏は、プライバシーを競争上の強みに変える機会を見て取った。
このテックジャイアントは、プライバシーを最大限に保護するための一連の新機能を公開した。これには「アップルでサインイン」という新しい機能が含まれており、この機能を使うと、ユーザーは個人情報をアプリの開発元と共有することなく安全にアプリにログインできる。さらに最近、アップルはプライバシーに関する情報を掲載したページを更新し、主力のアプリがプライバシーを念頭に置いてどのように設計されているかを紹介している。
このプライバシー強化戦略は、アップルのマーケティングキャンペーンでも中心的な位置を占めた。「プライバシーの問題」を世界中で、テレビのゴールデンタイムのスポット広告や1万以上の広告板の主要メッセージにしたのだ。
そしてもちろんアップルは、データに飢えた競合他社を牽制するチャンスを逃さなかった。
「実際のところ、顧客を製品のように扱い、顧客データをお金に変えることができるとしたら、アップルは莫大な利益を上げることができるでしょう。しかし、アップルはそうしないことに決めました」とMSNBCのインタビューでクック氏は述べた。
プライバシーを重視したアップルの戦略は、新たなCPRAの法規に準拠するアップルの立場を強化するのに役立つだけではない。これは、顧客データを利用して利益を得てきた業界への強力なメッセージであると同時に、個人データの尊重について消費者に強く注意喚起するメッセージになる。
プライバシーに対する要求が強まる
消費者の増大する懸念への対応を迫られるなか、消費者のデータプライバシーを重視する傾向が生まれている。近年、そうした懸念は絶えずニュースの見出しになってきた。Cambridge Analytica(ケンブリッジ・アナリティカ)のデータプライバシースキャンダルや、Equifax(エクイファクス)などの企業における大規模な情報漏えいといった、人々の注目を集めたニュース記事のために、消費者は誰を信頼できるのか、どうすれば自分自身を守れるのか、考えさせられてきた。調査によると、この点で消費者が企業や政府にもっと多くを求めていることは疑う余地がない。
- 企業を信頼できると感じている消費者はわずか52パーセント、自国の政府を信頼できると感じている人々は世界のわずか41パーセントである(Edelman(エデルマン))。
- 消費者の85パーセントは、企業はより多くの対策を取ってデータを積極的に保護すべきだと考えている(IBM)。
- 消費者の61パーセントは、過去2年の間に個人データが侵害される恐れが強まったと述べている(Salesforce(セールスフォース))。
こうした信頼の欠如によって世界経済にどのような影響があるかを述べることは困難だが、#DeleteFacebook(フェイスブックを削除)の動きや、信頼してデータを任せられない企業からは商品を買わないと言う消費者が75パーセントもいるという驚くべき数字など、大規模な排斥運動がすでにいくつか見られる。
ビッグテック企業に限ったことではない。ロイヤルティプログラムから在庫計画、スマートシティ、選挙広告に至るまで、データを使用してプロセスを最適化したり、行動の変化を促進したりすることへの需要、そしてその効果は、非常に大きい。
今後10年も、データが大いに重視されることだろう。しかし、ビッグデータをめぐるこの激しい競争の代価に私たちは気づき始めている。消費者は民間企業に対しても行政機関に対しても信頼を失っている、ということだ。
プライバシーを重視したアップルの戦略といった民間企業の取り組みや、CPRAなどの公共政策の法律は、消費者の信頼を取り戻すだけでなく、プライバシー保護以外の益をもたらす可能性がある。自己主権型アイデンティティーなどの新たなテクノロジーのおかげで、企業はデータプライバシーポリシーを変革する一方、コストの節約や不正行為の削減を実現し、カスタマーエクスペリエンスを向上させることができる。
SSIの価値
自己主権型アイデンティティー(SSI)では分散型台帳技術と非常に進んだ暗号技術を利用しており、企業はプライバシーを危険にさらすことなく顧客の身元を証明できる。
簡単に説明すると、消費者はSSIによって自分の個人情報に対する制御を強化できる。消費者は、デジタル処理によって個人情報を検証可能な資格情報の形で保管および管理することが可能だ。その情報は、決して改変や粉飾、外部操作されない方法で、信頼できる機関(政府や銀行、大学など)によって発行および署名される。消費者はその後、身元を証明する手段として、必要に応じていつでも、どこでも、誰とでもこの情報を共有できる。
デジタル記録をオンラインで共有することは何も新しいことではないが、SSIは2つの根本的な点で非常に画期的である。
- 組織は、必要なデータを収集する際に、不要なデータまで取得してしまうことがない。運転免許証や保険証など、財布に入れて持ち運ぶ物理的な資格情報とは異なり、検証可能なデジタル資格情報は、個々の属性に分割し、各属性を別々に共有できる。
わかりやすい例として、バーに入って、法定年齢に達していることを証明するために運転免許証を見せることが挙げられる。免許証には必要なデータが記載されているが、名前や住所など、提示する必要のない情報も含まれている。検証可能なデジタル資格情報を使うと、不要な情報は一切開示することなく、年齢を証明する情報を共有できる。
より高い機密性が求められる場合、自己主権型アイデンティティーでは、暗号技術を使って、実際のデータを明らかにすることなく自分自身に関する何かの情報を証明することもできる。先ほどの例の場合、生年月日を明らかにすることなく、法定年齢に達しているかどうかについて、「はい・いいえ」の答えを示すことができる。
最小限のデータを開示することは、個人にとってはプライバシー保護の強化、企業にとっては過剰な個人情報の保管および保護よって生じる、膨大な負担を回避できることをそれぞれ意味する。
2. データの相互関連付けが非常に困難である。プライバシーは虚構であり、データはすべて、相互に関連付けることが可能である、と言う人がいるが、自己主権型アイデンティティーでは、ほかのデジタルIDソリューションに関連した主要な懸念事項の多くから保護される。
たとえば、シングルサインオンなど、ある程度のデータ可搬性を提供してくれるほかのツールを見ると、私たちのオンラインでの操作を仲介サービスが追跡できるという懸念が常にある。フェイスブックの広告はこれに関係しており、私たちを不安にさせる。フェイスブックは、私たちがフェイスブックの資格情報を使ってサインインしたあらゆるサイトやアプリを把握しているのである。
SSIでは、仲介サービスや、中央の登録台帳は不要である。検証者(本人確認を要求する者)は、暗号技術を使って真正性を検証できる。つまり、検証者は、資格情報の元の発行者に連絡する必要はなく、資格情報の発行者は、資格情報がいつ、どこで、誰に共有されたかを知るすべはない。相互に関連付けが可能な署名は共有されず、デジタルIDは完全にユーザーの制御下にあり、ユーザーだけが見ることができる。
その結果、消費者はプライバシーとセキュリティーの強化の恩恵を受け、企業には以下の利点がある。
- アカウント作成時により効果的かつ正確にデータを検証し、不正行為を削減できる。
- サインアッププロセスを大幅にスピードアップし、摩擦を低減できる。
- 時間を節約し、KYC準拠(大手銀行の場合は通常、毎年5億ドル(約520億円)以上のコストがかかる)を合理化することによって、コストを削減できる。
- 他社データ検証時の相互のやり取りを減らし、効率を向上させることができる。
- データを収集せずに、カスタマーエクスペリエンスをカスタマイズしてオムニチャネル化し、その品質を向上させることができる。
これはサイエンスフィクションではない。すでにいくつかの主要な政府、企業、NGOが自己主権型のソリューションを立ち上げている。これには、UNIFY(ユニファイ)、Desert Financial(デザート・ファイナンシャル)、TruWest(トゥルーウェスト)などの金融機関、Providence Health(プロビデンス・ヘルス)やNHS(National Health Service:国民医療サービス)などの医療機関、LGなどの通信業界や国際航空運送協会などの旅行業界の大手企業や組織が含まれている。
このテクノロジーがどれだけ早く普及するかははっきりしないが、プライバシーが次の競争の戦場として急速に浮上していることは明らかである。CPRAなどの新しく可決された法規によって、企業が準拠する必要のある基準が成文化されている。しかし、企業自体が長期的に変化していくには、消費者からの要求が必要なのである。
時代を先取りする企業には、大幅なコスト節約と成長が見込めるだろう。何と言っても、消費者のロイヤルティは、プライバシーを尊重して保護する企業に向かい始めているのだ。この点で出遅れている企業にとって、自分のデータを取り戻すことに対する消費者の要求は大きな警鐘となるだろう。
関連記事:プライバシープラットフォームのOneTrustが約5280億円のバリュエーションで310億円調達
カテゴリー:セキュリティ
タグ:プライバシー コラム
[原文へ]
(翻訳:Dragonfly)