シスコの最新レポートによると、顧客のプライバシーに対する懸念の高まりにより、現在、企業の3分の2が売上を落としており、これが販売プロセスの長期化につながっています。同様に、サイバーセキュリティの不適切な慣行は、データ侵害による被害の修復と収益の損失に、企業に数百万ドルから数億ドルの損害を与えています。
2018 年 - 強力なデータ保護の年?
シスコの2018年プライバシーベンチマーク成熟度(PDF)によると、プライバシーは企業の売上において急速に重要な要素になりつつあります。プライバシーポリシーはもはや、企業をトラブルから守るための単なる法律用語ではありません。なぜなら、ポリシーを誤れば、多くの企業が潜在顧客からの売上を失うリスクにさらされているからです。
シスコの調査対象となった企業の65%以上が、データプライバシーへの懸念が販売プロセスの遅延につながっていることを既に認めています。90%以上の企業が最大20週間の遅延を報告し、平均遅延は7.8週間でした。
かなりの数の企業が50週間から100週間の遅延を報告しています。これは、顧客が企業の既存のプライバシー重視の姿勢に満足していないという理由だけで、販売プロセスに少なくとも1~2年長くかかる可能性があることを意味します。
遅延は、顧客が通常よりも遅く商品を購入することを意味するだけではありません。顧客の中には、商品を全く購入しない、あるいは競合他社から購入する人もいます。したがって、不適切なプライバシーポリシーは、売上の損失だけでなく、競合他社の利益のために市場シェアを失うことにもつながりかねません。
調査によると、販売遅延が最も長かったのはラテンアメリカ(平均15.4週間)、メキシコ(13週間)、日本(12.1週間)でした。最も短かったのは中国(2.8週間)とロシア(3.3週間)でした。
業界別に見ると、サイバーセキュリティとプライバシーに関する懸念から、政府およびヘルスケア分野の販売に最も大きな遅延が見られました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
プライバシーに未熟な企業が最も危険にさらされている
このレポートでは、プライバシーをあまり重視していない企業が、こうした遅延の影響を最も受けていることも明らかになりました。シスコは、米国公認会計士協会(AICPA)とカナダ公認会計士協会(CICA)が定義する基準に基づき、企業のプライバシー成熟度をベンチマークしました。これらの基準は以下のように定義されています。
アドホック — プライバシー手順またはプロセスは、一般的に非公式、不完全、かつ一貫性のない方法で適用されています。反復可能 — プライバシー手順またはプロセスは存在しますが、完全に文書化されておらず、関連するすべての側面をカバーしていません。定義済み — プライバシー手順およびプロセスは完全に文書化され、実装されており、関連するすべての側面をカバーしています。管理済み — 実施されているプライバシー管理の有効性を評価するためのレビューが実施されています。最適化済み — 定期的なレビューとフィードバックにより、プライバシープロセスの最適化に向けた継続的な改善が図られています。
「定義された」プライバシー手順を持つ企業では、「アドホック」または非公式で不完全なプライバシー手順を持つ企業と比較して、販売プロセスが 70% 改善されました。
プライバシーが成熟した企業はより安全
プライバシー成熟度の高い企業は、販売プロセスが大幅に短縮されるだけでなく、データ漏洩に対する保護も強化されています。プライバシー成熟度の高い企業のうち、50万ドルを超える損失を被ったのはわずか39%でしたが、プライバシー成熟度の低い企業では74%でした。シスコによると、プライバシー成熟度の高い企業の損害額が低いのは、プライバシー成熟度の低い企業よりも収集するデータ量が少ないことも関係している可能性があるとのことです。
ハッカーが大規模組織への侵入をより巧妙化させている中、企業は顧客データを資産ではなく負債として扱うべきかもしれません。少なくとも、製品やサービスの機能に必要のないデータはそうすべきです。そうすれば、万が一データ侵害が発生した場合でも、少なくとも被害は最小限に抑えられ、企業の社会的イメージへの大きな打撃も軽減されるでしょう。
マールスク会長:企業はサイバーセキュリティについて無知であることをやめるべき
最近、大手海運会社マースクは、NotPetyaマルウェアによる壊滅的なサイバー攻撃を受けました。攻撃後、同社は実質的にインフラ全体を交換せざるを得なくなり、45,000台のPCと4,000台のサーバーを再インストールする必要がありました。会長のジム・ハーゲマン・スナベ氏によると、通常であれば6ヶ月かかるこの作業は、記録的な10日間で完了しました。大規模なインフラからNotPetyaを駆除するのに比較的短時間しかかからなかったにもかかわらず、この単一の攻撃で同社は2億5,000万ドルから3億ドルの損害を被り、その一部は当該期間の売上の20%の損失によるものでした。
ダボスで開催された世界経済フォーラムで、スナベ氏は、今回の事件はすべての企業にとって重大な「警鐘」となるべきだと述べた。なぜなら、次は自分たちかもしれないからだ。また、この事件を通して同社が得た3つの重要な教訓についても語った。
- サイバーセキュリティは企業の競争優位性となる必要があり、他社と同じような凡庸な対応ではもはや不十分だ。これは、より多くの企業が遅かれ早かれ学ぶべき教訓だと彼は主張した。
- 企業はサイバーセキュリティについて無知なままでいることをやめなければなりません。サイバーセキュリティを事後対応的ではなく、より積極的に取り組まなければ、多くの企業が将来、同様のデータ侵害を経験することになるでしょう。
- 私たちのあらゆる活動がデジタル化され、サイバー攻撃を受けるリスクが高まるにつれ、インターネットには根本的に新しい、より安全なインフラストラクチャが必要です。
今年は、サイバー セキュリティとデータのプライバシーと保護が、企業にデータを提供する顧客だけでなく、不十分なデータ保護手順によって売上が落ちたり大きな混乱に見舞われたりしたくない企業自身にとっても重要であるという警鐘が鳴らされる年になるかもしれません。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
