Airpods

規制の到来:スタートアップはデータ、セキュリティ、プライバシーについてどう考えるべきか

規制の到来:スタートアップはデータ、セキュリティ、プライバシーについてどう考えるべきか
ビッグストックフォト

1990 年代半ばのインターネットの初期の頃から、テクノロジー業界とその支持者は政府の規制に対して積極的に戦ってきました。

インターネット自体が政府のプログラムである国防高等研究計画局(DARPA)の直接の産物であることを考えると、皮肉なことだ。

しかし、私たちはテクノロジー規制の新たな時代に入りつつあります。外国政府によるソーシャルメディア操作に関するニュース、データ収集への懸念、そして日常生活におけるテクノロジーの重要性と影響力の増大を考えると、これは驚くべきことではありません。

驚くべきことに、今回、テクノロジー業界とその支持者たちが規制への反対姿勢を和らげています。マイクロソフト社長のブラッド・スミス氏は、著書『ツールと武器』の中で、規制の必要性について率直に語っています。ビル・ゲイツ氏も同書の序文で規制の必要性について言及しています。また最近では、シスコのCEOチャック・ロビンス氏も、テクノロジー業界は規制されるべきだと述べています。

政策立案者は規制を求めており、テクノロジー業界自体も規制に対してオープンな姿勢を示しています。

関連:カリフォルニア州消費者プライバシー法(CCPA)に備えるためのスタートアップ向けガイド

この合意は良いものですが、合意はそれ以上のものではありません。今年のGeekwireサミットのパネリストたちが指摘したように、業界をどのように規制すべきかという問題だけでなく、それがどのように実現可能かという問題も存在します。「テクノロジーとイノベーションをいかに止めるかという問題であってはならないと思います」と、米国下院議員プラミラ・ジャヤパル氏はイベント中に述べました。

規制はすぐには導入されないものの、確実に導入されつつあります。そして、規制は、それに伴う経費や事業への悪影響が大きいため、スタートアップ企業にとって特に大きな負担となる可能性があります。

規制について予測を立てることは常にリスクを伴います。しかし、セキュリティとプライバシーは、普遍的な懸念事項に関わり、規制当局にとって容易に勝利を収められる分野であるため、規制の対象となる可能性が最も高いと考えられます。

私は、セキュリティとプライバシーの 4 つの領域が、規制の初期段階の候補になる可能性が高いと考えています。

特にスタートアップ企業にとって、これらは今日から対策を講じることで、事業の成長に伴って大きなメリットをもたらす分野です。そして、事前に準備しておくことで、後々慌てずに済むかもしれません。より安全かつ確実に方向転換するために、早めに車輪を回し始めるのだと捉えてみてください。

以下では、これら 4 つの領域について概説し、なぜこれらが早期規制の対象となる可能性が高いのか、そしてすべての企業、特にスタートアップ企業が今すぐ実践することがなぜ理にかなっているのかを説明します。

  1. システムおよびデバイスのセキュリティ更新の要件
  2. インターネット機器のアクセス「検査」基準
  3. 情報へのアクセスと情報の削除の権利を規定するプライバシー規制
  4. データ侵害通知規制

1. システムおよびデバイスのセキュリティ更新の要件

業界は文字通り数十年前から定期的なアップデートの重要性を認識してきました。2000年代のワーム発生以来、最大の課題はユーザーにアップデートを適用してもらうことだと認識しています。

残念ながら、モバイル デバイスやモノのインターネット (IoT) への急速な移行の中で、それらの教訓は忘れ去られたり、無視されたりしました。

Miraiボットネットを見れば、モバイルデバイスやIoTデバイスがアップデートされない場合に何が起こるかがよく分かります。特に多くのIoTデバイスはアップデートが不可能です。アップデートについて全く考慮されずに開発・リリースされているからです。

だからこそ、セキュリティ更新の要件は当然規制の対象となる。セキュリティ強化が悪いことだと考える人はいないし、これは問題領域として実証されている。

この分野における要件はおそらく非常にシンプルです。ソフトウェアとデバイスをアップデートできることです。アプリストアでアプリをリリースしている企業であれば、ほぼ間違いなく既にアップデートを実施しているでしょう。デバイスを製造している企業にとっては、これは難しい場合があります(そのため、アップデートを実施していない企業もあります)。しかし、アップデートは顧客のセキュリティ向上に役立つだけでなく、顧客に継続的な価値を提供し、顧客との継続的な関係を維持する理由にもなります。

さらに、継続的な連絡は将来の売上増加にもつながります。IoTデバイスは日用品となる場合があり、顧客は日用品のメーカーを忘れがちです。アップデートの仕組みがあれば、顧客と継続的な関係を築く理由が生まれ、こうした問題に対処するのに役立ちます。

2. アクセスのためのインターネット機器「検査」基準

このアイデアは原理的には単純明快です。政府は高速道路上の車両の健全性を規制する権限を確立しており、これを情報スーパーハイウェイ上のデバイスにまで拡大することは容易に想像できます。

これは、システムやデバイスに関わる重大なインシデントがインターネット全体に脅威をもたらすたびに、ほぼ必ずと言っていいほど問題になります。Confickerに感染したパッチ未適用のシステムであれ、MiraiのようなIoTボットネットを形成するデバイスであれ、他者の「衛生管理」の悪さが、時には重大な影響を及ぼす可能性があるのです。

また、インターネットアクセスの性質を考えると、これは比較的簡単に実装できるでしょう。誰もインターネットに「直接」接続するのではなく、上流のプロバイダーに接続するプロバイダーに接続します。

この可能性を事前に検討している企業にとって、取るべきステップは比較的シンプルで、最初のポイントと密接に関連しています。つまり、アプリやデバイスをアップデートするための手段を提供し、顧客がアップデートされたことを簡単に確認できるようにすることです。ここでも、これは企業と顧客との関係をより継続的なものにするチャンスです。これは時間の経過とともに信頼を築き、信頼はブランドロイヤルティを育みます。

3. 情報へのアクセスと情報を削除する権利を規定するプライバシー規制

この規制アプローチは、欧州では一般データ保護規則(GDPR)によって既に施行されており、カリフォルニア州では来月、カリフォルニア州消費者プライバシー法(CCPA)によって施行される予定です。これらの規制だけをみても、このアプローチがより広範囲に導入されることはほぼ確実です。

あなたの会社がヨーロッパやカリフォルニアと取引している(またはそこに顧客がいる)場合、すでにこの規制の対象になっているか、まもなく対象になります。

この種の規制がまだあなたに影響を与えていないとしても、これが急速にやってくることは明らかです。

CCPAに関する記事で述べたように、この種の規制への準備は企業にとって実際に利益をもたらす可能性があります。ブラッド・スミス氏は、GDPRへの準備がマイクロソフトのビジネスに役立ったと述べており、その教訓は広く当てはまると述べています。

簡単に言えば、データを収集して閉じ込める時代は終わりました。そして、このような規制に備えることで、顧客が長年求め、今後ますます期待されるもの、つまり、自分のデータを確認し削除する機能を提供できるようになります。このことだけでも、この規制の進展に早期に対応することで、スタートアップ企業や企業は、優れた積極的な顧客サービス体制を築くことができるでしょう。

4. データ侵害通知規制

これは、GDPRとCCPAの両方で既に見られる規制です。前述の通り、この規制はほぼ確実に適用できると言えるでしょう。大規模な公開データ侵害への対応が遅れると、怒りの連鎖が定期的に発生するため、データアクセスよりも規制として魅力的に映ります。

データ管理者であるすべての企業は、万が一の事態が発生した場合に備え、対応できる態勢を整えておくべきです。しかし、現実には、そうした対応をとっている企業はごくわずかです。データ侵害は実際には2つの事象、つまり侵害そのものと、侵害への対応から成り立っています。侵害において、最初の事象はほとんどの場合既に発生しているため、企業が制御することはできません。企業にとって「成否を分ける」のは、まさにこの対応なのです。

スタートアップにとって、リスクはこれ以上ないほど大きい。データ漏洩と対応の失敗は、文字通り企業を破滅に追い込む可能性がある。

現在の規制から、迅速な通知が必要であることが示唆されており、これはほぼ確実に変更されないでしょう。つまり、将来の規制を見据えて、同じことを予想し、それに応じて準備する必要があるということです。

現在および将来の規制の方向性とは別に、全体的な状況が最終的にどう展開するかについては、対応のスピード、特にコミュニケーションに関するスピードが最も重要な要素であると断言できます。

データ侵害対応計画がまだない場合は、今すぐ構築を開始してください。特に、必要な時に構築できないという状況ではなおさらです。

結論

規制に関する最近の議論が、業界自体から敵意ではなくむしろ受け入れられていることは、今日のテクノロジーの世界について多くのことを物語っています。これは、ゲーム・オブ・スローンズの冬と同じくらい確実に、規制が到来することを意味します。

特にスタートアップ企業にとって、規制に敵対するという昔ながらの道を辿るのは容易です。しかし今回は、それは通用しません。すでにそれが始まっているのです。

規制の必然性を受け入れ、よりスマートで合理的な規制に向けて取り組むことで、スタートアップ企業とテクノロジー業界はより良い結果を生むパートナーとなることができます。

セキュリティとプライバシーは、適切かつ賢明な規制がまず導入される可能性があり、実際に導入される可能性が高い分野です。そして、適切な規制が必要となる最も明白な分野は、企業が今日から準備を整え、それによって規制の賢明な形成に貢献できる分野です。最も重要なのは、私が概説したこれらの分野はすべて、今日のスタートアップにとって明確なメリットをもたらす分野であるということです。

スタートアップ企業は、規制を障害とみなすのではなく、それを全員を統制する基準とみなし、それを競合他社に差をつけて優位に立つための手段として活用することができます。

関連:技術専門家は人工知能を規制すべき時が来たと同意している ― それがそんなに単純なことであればいいのだが