Last Updated on 2025-05-18 15:55 by admin
データプライバシーサービス企業Incogniが2025年5月初旬に発表した「ダウ30社取締役プライバシー露出調査」によると、米国大手上場企業の取締役の78%がインターネット上の人物検索サイト(PSS)で簡単に見つけられる状態にあることが明らかになった。
この調査では、ダウ30社の取締役を対象に分析が行われ、4分の1の取締役が20以上の人物検索サイトに、17%が25以上のサイトに情報が掲載されていることが判明した。
業種別では、生活必需品セクター(84%)、工業セクター(81%)、テクノロジーセクター(77%)の取締役が最も高い露出率を示している。これらの3セクターは従業員データ漏洩事件を複数回経験した業種でもあり、従業員データ漏洩と取締役の情報露出に相関関係がある可能性が示唆されている。
州別では、フロリダ州(87%)とイリノイ州(85%)が最も取締役の情報露出率が高く、厳格なプライバシー法を持つカリフォルニア州でも76%の取締役情報が露出している。
また、男性取締役(76%)は女性取締役(68%)よりもわずかに高い露出率を示している。企業の収益規模と露出率には相関関係がなく、年間収益が500億ドル以上の大企業も100億ドル未満の企業も同様に70%以上の露出率となっている。
この調査は、2024年12月4日にニューヨークのマンハッタンで起きたUnitedHealthcareのCEO、Brian Thompson氏(50歳)の銃撃死亡事件を受けて実施された。Thompson氏はミッドタウンのヒルトンホテル前で銃撃され、マウントサイナイウェスト病院で死亡が確認された。犯人は26歳のLuigi Nicholas Mangione容疑者で、2024年12月9日にペンシルバニア州アルトゥーナのマクドナルドで逮捕された。この事件は、オンラインでの個人情報露出がストーキングや暴力行為につながる現実的なリスクを浮き彫りにした。
References:
近八成董事高管个人隐私在网络裸奔
【編集部解説】
Incogniが発表した調査結果は、企業の最高幹部たちのプライバシーが驚くほど脆弱な状態にあることを明らかにしています。この調査は、2024年12月に起きたUnitedHealthcareのCEO、Brian Thompson氏の悲劇的な銃撃事件を受けて実施されたものです。
調査によると、米国ダウ30社の取締役の約78%の個人情報が人物検索サイト(PSS)で簡単に見つけられる状態にあります。これは単なる統計上の問題ではなく、現実世界における深刻なリスクを示しています。
特に注目すべきは、情報が1つや2つのサイトだけでなく、多くの取締役が20以上のサイトに情報が掲載されているという事実です。これは情報の「拡散」が進んでいることを意味し、一度漏れた情報を完全に削除することがほぼ不可能な状況を示しています。
業種別の分析も興味深い結果を示しています。生活必需品、工業、テクノロジーセクターの取締役が最も高い露出率を示していますが、これらのセクターは従業員データ漏洩事件を複数回経験した業種でもあります。この相関関係は、企業の全体的なデータガバナンスの質が、経営幹部のプライバシー保護にも影響することを示唆しています。
また、企業の収益規模と露出率に相関関係がないという点も注目に値します。これは「資金力」だけではプライバシー問題を解決できないことを示しています。むしろ、組織的なプライバシー保護の文化と具体的な対策が必要なのでしょう。
人物検索サイトが公開している情報の範囲も懸念すべき点です。自宅住所や親族情報など、極めてセンシティブな個人情報が容易に入手できる状況は、サイバーセキュリティの観点からも大きなリスクとなります。
この問題の背景には、デジタル時代特有の「プライバシーパラドックス」があります。企業幹部は公人としての側面を持ちながらも、個人としてのプライバシー権も有しています。しかし、現行の法規制はこのバランスを適切に保護できていません。
CCPA(カリフォルニア消費者プライバシー法)やGDPR(EU一般データ保護規則)などの規制は主に消費者データに焦点を当てており、「公人」である企業幹部のプライバシー保護には十分な対応ができていません。また、米国ではデータブローカーの登録・規制が州ごとに異なり、連邦レベルでの統一的な監督が欠如しています。
この状況に対応するため、企業はより包括的なアプローチが必要です。単に技術的な対策だけでなく、「プライバシーDevSecOps」という考え方-プライバシー保護を開発、セキュリティ、運用のすべての段階に組み込む方法-が重要になってきています。
具体的には、データブローカーからの情報削除サービスの活用、取締役のデジタルプロファイル管理の強化、内部プロセスへのプライバシー保護の組み込みなどが挙げられます。また、企業のリスク評価マトリックスに幹部情報の露出度を組み込むことも効果的でしょう。
長期的には、SEC(米国証券取引委員会)の開示ガイドラインに「幹部のプライバシーとセキュリティガバナンス」条項を追加するなど、規制面での改善も必要です。
この問題は単に個人のプライバシーだけでなく、企業のセキュリティと持続可能性にも直結します。Thompson氏の事件が示すように、オンラインでの情報露出は現実世界での深刻な結果につながる可能性があります。
私たちinnovaTopiaは、テクノロジーの進化がもたらす新たな課題に対して、企業がどのように対応すべきかを常に考えています。プライバシーとセキュリティのバランスは、デジタル時代の企業にとって最も重要な課題の一つであり、今後も注目していく必要があるでしょう。
【用語解説】
データブローカー:
様々な情報源から個人データを収集・分析し、それを企業などに販売するビジネスを行う業者のこと。スーパーのポイントカード情報や、オンラインショッピングの履歴、SNSでの活動などあらゆる個人情報を集め、それを分析して販売している。
OSINT(オープンソースインテリジェンス):
非合法な方法に依らずに入手できる公開情報を分析し、有用な知見を得る活動。例えば、SNSの投稿や企業のプレスリリース、公開されている写真などから情報を収集・分析すること。
DevSecOps:
「開発(Development)」「セキュリティ(Security)」「運用(Operations)」を統合する考え方。従来のDevOpsにセキュリティ要素を組み込んだもので、開発の初期段階からセキュリティを考慮する「シフトレフト」の思想を持つ。
Regulation S-K:
米国証券取引委員会(SEC)が定める開示規則で、上場企業が提出する年次報告書などに記載すべき内容を規定している。企業概要、訴訟案件、リスク要因などの開示項目が含まれる。
【参考リンク】
Incogni(外部)
データブローカーからの個人情報削除を代行するサービス。200以上のデータブローカーに対して自動的に削除依頼を行う。
【参考動画】
【編集部後記】
皆さんは自分の個人情報がどこまでネット上で見られているか把握していますか? 企業の幹部だけでなく、私たち一般人の情報も知らないうちに多くのデータブローカーに収集されています。一度自分の名前で検索してみると、驚くほど多くの個人情報が見つかるかもしれません。最近のVanishIDの調査では、一般の人々も平均して40以上のデータ漏洩に巻き込まれているというデータもあります。プライバシー保護は他人事ではなく、今や誰もが考えるべき課題です。皆さんはどのようなプライバシー対策を実践していますか? また、企業に対してどのような情報管理を期待しますか? ぜひSNSでご意見をお聞かせください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
