サイバーセキュリティに関するニュースを扱ってきて思うのは、同じ嘘の1つの言い回しがあるということだ。「我々は、あなたのプライバシーやセキュリティを真剣にとらえている」。
このフレーズをあちこちで耳にしたことがあるだろう。データ流出が明らかになったときの企業の常套句だ。顧客への“不徳の致すところ”的な電子メール、またはあなたのデータには気を配ってると言いながら、次の文では往々にして誤使用や紛失を認めるというウェブサイトでの公表によく見られる。
ほとんどの企業があなたのデータのプライバシーやセキュリティなど気にかけていない、といのが実情だろう。彼らが気にかけているのは、データが盗まれたということを顧客に説明しなければならない、ということだ。
企業が私のプライバシーを尊重すると言うとき、それが何を意味するのか私は正確に理解できない。もしプライバシーを尊重するというのが事実であるなら、あなたに関するデータを広告会社に売るGoogleやFacebookのようなデータに飢えた企業は存在しないはずだ。
私は、このお決まりのフレーズがどれくらい頻繁に使われているか気になった。で、データ流出やセキュリティの不備でカリフォルニア州の法律に基づいて州法務長官に提出された通知届をかき集め、つなぎ合わせ、そしてマシーンで読み取れるテキストに変換した。
全部で285のデータ流失の通知届の約3分の1が、このお決まりフレーズを含んでいた。
このフレーズは、企業があなたのデータを気にかけている、ということを示すものではない。次に何をすべきか理解していないことを示している。
ユーザーのことを気にかけていないという典型例がある。先週、我々はOkCupidユーザーが、彼らのアカウントがハックされたと苦情を申し立てたというニュースを報道した。おそらくアカウントは、ハッカーがユーザーネームやパスワードのリストを入手し、力ずくでのっとるという、疑問を持たれないようなやり方でハックされたのだろう。他の企業は、そのような攻撃から学習し、二段階認証を導入するなどアカウントのセキュリティを向上させるのに時間を費やしてきた。
だがOkCupidの対応は歪んだもので、自らを弁護し、否定するというものだった。ネガティブな話を処理する企業に見られがちな態度だ。それはこのようなものだった。
・歪み:「全てのウェブサイトは常にアカウントのっとりの試みにさらされている」とOkCupidは語った。
・弁護:「語ることはない」と後に他のメディアに語った。
・否定:この件について今後どのような対応をとるのか尋ねられ、「これ以上のコメントはない」と語った。
OkCupidがこの件を重く受け止めているという言葉や、どのような対策をとるのかについて聞ければ良かったのだが。
どの産業も長らくセキュリティを無視してきた。今日のほとんどのデータ流出が、何年間も、時に何十年もお粗末なセキュリティを展開してきて、そのツケが溜まって返ってきた結果だ。今日では、銀行だろうが、おもちゃメーカーだろうが、あるいはたった一つのアプリのデベロッパーだろうが、どの企業もセキュリティ企業でなければならない。
企業は小さなことから始められる。セキュリティに欠陥があるとき、どのようにコンタクトをとるかを人々に知らせる。バグ報告を推奨するためにインセンティブを展開する。正直な研究者に告訴しないと約束して安全を保障する。スタートアップの創業者はまた、最初からセキュリティ担当役員を役員メンバーに加えることができる。そうすることで、問題を起こしていない世界で最もリッチな企業の95%よりもうまくやれるはずだ。
しかし、そうした状況にはなっていない。その代わり、企業はただ罰金を払っているだけだ。
Targetは4100万ものクレジットカードを危機にさらしたデータ流出で罰金1850万ドルを払った。それに比べ、同社の通年の売上は720億ドルだ。Anthemは保険をかけている7900万人のデータを危機にさらし、罰金1億1500万ドルを払った。その年の同社の売上は790億ドルだった。それから、Equifaxを覚えているだろうか。2017年最大のデータ流出は大きな話題となったが、何も措置は取られなかった。
姿勢を変えるのを促すようなインセンティブがないため、企業は今後も意味のないおなじみの言葉を繰り返すのだろう。しかし、企業は何かをすべきなのだ。
(原文へ 翻訳:Mizoguchi)