顧客データを保護する方法—そしてあなたの会社

公開: 2020-12-22

digital_integrity_matters

私たちのほとんどは、銀行の警備員が強盗の最中にぼんやりと待機しているコマーシャルを見たことがあるでしょう。彼は監視のためだけにいて、予防するためではないと説明しています。 これは、企業が一度に1つずつではなく、デジタルの整合性について全体的に考えることがいかに重要であるかを示す良い例です。

あなたのオンラインプレゼンスはあなたの会社が世界に示す顔です。 それはあなたのアイデンティティです。 そして、それは他のビジネス戦略と同じくらいあなたの信頼性と誠実さについて顧客に伝えます。 顧客は、あなたのコンテンツとその背後にあるものを信頼できること、つまり、それが何を意味するのか、一貫しているのか、正確であるのか、そしてあなたがそれを支持しているのかを知りたがっています。 そして、彼らはあなたがあなたと共有する情報をどのように保護するのか知りたがっています。

あなたのオンラインプレゼンスは、他のビジネス戦略と同じくらいあなたの信頼性について顧客に伝えます、と@kpodnarは言います。 クリックしてツイート

デジタルポリシーの開発は、時間とお金を費やすもののリストの一番上にないかもしれませんが、ポリシーを持たないことの結果が怖いので、それは本当にそうあるべきです。

厳選された関連コンテンツ:アイデンティティの問題:コンテンツストラテジストが信頼と忠誠心を構築する方法

デジタルの整合性が重要なのはなぜですか?

データ漏えいから始めましょう。それが最も多くの見出しを捉える問題だからです。 法医学や罰金から訴訟や時間のロスまで、違反に関連する費用はすぐに蓄積されます。 そして、それはほんの始まりに過ぎません。

たとえば、分散型サービス拒否(DDoS)攻撃は、しばらくの間ビジネスを行うことを妨げる可能性があります。 また、攻撃によってサイトの読み込み時間が遅くなると、顧客はあなたと取引をしない可能性があります。 調査によると、すべての顧客のほぼ半数が、ページが読み込まれるまで3秒以上待たないでしょう。 彼らは競合他社にクリックします–そして多くは戻ってきません。

次に、一般的な自信の欠如があります。 あなたがあなた自身のデジタルセキュリティの世話をしていないとき、顧客はどのように彼らのビジネスであなたを信頼することになっていますか?

あなたが彼らの個人データを守ることができないならば、あなたの加入者はどのように彼らのビジネスであなたを信頼することができますか? @kpodnarクリックしてツイート

オンラインでの整合性は、オーディエンスの個人情報を保護するだけではありません(ただし、それも重要です)。 それには、日常のビジネスプロセスに組み込まれた多面的で包括的なデジタルポリシーが必要です。

それが何を意味するのか見てみましょう。

厳選された関連コンテンツ:不信の民主化は私たちの最大の機会です

全体的なデジタルポリシーのコンポーネント

データ収集

ブランドはゆっくりと、しかし確実に、データに関してはより多くの考え方を採用しています。 データポイントが多ければ多いほど良いでしょう? 実店舗でも、名前、住所、電話番号、メールアドレス、さらには誕生日を尋ねられずに購入するのは困難です。 そして、確かに、あなたのビジネスは、市場細分化と分析の観点から、その情報で多くのことを行うことができます。

しかし…あなたがあなたの聴衆からより多くのデータを収集するほど、あなたが違反に苦しむならばあなたと彼らはより多くを失うことになります。 ビジネス用語で言えば、リスクと利益の分析を行う必要があります。 収集しているすべてのデータを本当に使用していて、投資収益率がリスクに見合うものである場合は、問題ありません。 しかし、できるという理由だけでデータを収集している場合、リスクはすぐにメリットを上回ります。 ビジネスにとって重要な場合にのみデータを収集します。

@kpodnarによると、データはビジネスにとって重要な場合にのみ収集してください。 クリックしてツイート

尋ねる質問:

  • お客様からどのような情報を収集しますか? どこに保管しますか? どうすれば保護できますか?
  • 誰がデータ(マーケティング、製品開発など)を必要としていますか? 彼らはそれで何をしますか? 社内の他の人が同じ情報を使用して利益を増やし、リスクを価値のあるものにすることはできますか?
  • お客様から実際に収集する必要のある情報と、それが必要な理由を教えてください。
  • 各データポイントはどのようにビジネスモデルを強化またはサポートしますか?

データストレージ

大量のデータを収集することの自然な結果は、そのデータを保存する必要があるということです。 そして、保存されたデータは責任です。 あなたは本当に何年も接続していない人々からの電子メールアドレスと購入履歴を保持する必要がありますか? 顧客データの収集は、「まあ、いつか役に立つかもしれない」という状況ではありません。 最も安全な救済策は、ビジネスにとって重要なデータのみを保存することです。

このように考えると役立つ場合があります。違反があり、個人データが盗まれた顧客と直接会っている場合を想像してみてください。 その顧客を目で見て、各データポイントの必要性を説明するのはどの程度快適ですか。

尋ねる質問:

  • どのようなデータを保存しますか? 各データポイントにビジネス上の正当性はありますか?
  • データはどこに保存しますか? 誰がそれにアクセスできますか? どのようなセキュリティ対策が講じられていますか?
  • データを保持することのリスクは何ですか? データには、個人を特定できる十分なポイントが含まれていますか? もしそうなら、私たちはお客様に対してどのような義務を負っていますか?
  • 複数のデータポイントを保存する必要がある場合、それらをどのくらいの期間保持する必要がありますか? (たとえば、試用期間の終了後、顧客の電子メールアドレスやその他の情報を保持する必要がありますか?)それを実現するためにどのようなプロセスを使用できますか? データは一定時間後に自動的に削除されるべきですか、それとも人間によるレビュープロセスが必要ですか?
  • 機密データを保存するサーバーは、安全性の低いネットワーク上のサーバーとは別になっていますか? または、誰かが安全性の低いデバイスにハッキングして機密データにアクセスする可能性はありますか?

規制要件

世界経済で事業を行う上で最も困難な課題の1つは、適用される規則や規制を整理することです。 たとえば、米国には、顧客情報の収集、使用、および保管を規制する法律があります。 多くの州にも独自の規制があり、その一部は連邦法よりも厳格です。 そして、あなたのビジネスが国境を越えると、それはさらに複雑になります。

これがどれほど複雑なプロセスになる可能性があるかについての見通しを得るために、地理的な場所に本質的に依存しないクラウドベースのサービスについて考えてみてください。 それは法的にどういう意味ですか? そのクラウドサービスに保持されるデータに関する規制は、会社の本社、物理的な場所、顧客の居住地、またはすべてのデータを含むサーバーの保存場所に基づいて適用されますか? または上記のすべて?

これは、弁護士からであれ、デジタルポリシーの専門家からであれ、専門家の指導を受けることが重要な分野の1つです。 動く部品が多すぎて、自分でそれほど多くのリスクを負うことはできません。

尋ねる質問:

次のような、思いつく限り多くの関連する事実や質問を書き留めて、専門家との最初の会議の準備をします。

  • どの規制に準拠する必要があるかをどのように判断しますか? たとえば、特定の国にオフィスもサーバーもないが、そこに住んでいるユーザーがいる場合はどうなるでしょうか。 ある国に共有サーバーがあり、その国で他のビジネスを行っていない場合はどうなりますか?
  • これらの規制はどのくらいの頻度で変更されますか。また、これらの変更に対応し、デジタルポリシーに組み込むための最良の方法は何ですか。
  • 特定の管轄区域での最初の違反に対する罰則は何ですか?
  • どの国のデータプライバシー法にも違反していないことをどのように確認できますか?
  • 他の企業が特定したいくつかのベストプラクティスは何ですか?

インシデントの監視と対応

優れたデジタルポリシーを持っていても、必ずしも違反の発生を防ぐことはできませんが、損害を軽減するのに大いに役立ちます。 違反の発見から顧客(および関連する法務機関)への状況の伝達まで、すべてを含む危機対応計画を立てることが重要です。 ポリシーでは、対応計画の各ステップの責任者を特定し、各人が同じ仕事を続け、何をすべきかを知っていることを確認するために頻繁な再評価を含める必要があります。

危機対応計画では、データ侵害が発生した場合に視聴者に通知する方法について詳しく説明しています、と@kpodnarはアドバイスしています。 クリックしてツイート

尋ねる質問:

  • どうすれば違反に気付くことができますか? 異常な活動が検出されたときにすぐに通知するシステムがありますか、それとも危機モードにあるときにのみ検出しますか?
  • 攻撃が検出されたら、それを阻止するにはどうすればよいですか? 攻撃を軽減する責任がある人々は、適切なスキル、トレーニング、およびツールを持っていますか?
  • 社内の誰に、どのような順序で通知する必要がありますか? 夜間に攻撃が検出された場合、朝まで待つことができますか、それともすぐに警告する必要がある人がいますか?
  • 攻撃が深刻で作業が停止する場合、バックアップ計画を立てていますか? 誰もがそれが何であるか、そしてそれを起動する方法を知っていますか?
  • どのような規制が適用されますか? どの当局に通知する必要があり、それを行うのは誰の仕事ですか?
  • メディアと話すのは誰の責任ですか?
  • 顧客に代わってどのような行動を取る必要がありますか(データが危険にさらされている可能性があることを顧客に通知するなど)?

外部リスク

最近のビジネスと同様に相互に関連しているため、リスクは自分の壁の中にのみ存在するわけではありません。 ネットワークにアクセスできるサードパーティは、侵害の原因となる可能性があります。 サプライチェーンを上下に考え、パートナーネットワーク全体で、すべての実用的な目的で実際に保護されないポリシーを意図せずに作成していないことを確認することが重要です。

尋ねる質問:

  • どの関係者が私たちのシステムにアクセスできますか(ベンダー、アウトソーシングパートナー、コンサルタント、アウトソーシングされたITサポート、SaaS製品など)? どのようなデジタルポリシーとセキュリティプロトコルがありますか?
  • 外部パートナーのポリシーは十分に進んでいますか? または、重要な質問に答えられないままになっていますか?
  • 会社はデジタルポリシーに従っていますか、それとも単にリップサービスを提供していますか?
  • 意図的かどうかにかかわらず、サードパーティプロバイダーを介して発生した違反の場合、誰が責任を負いますか? 誰の対応計画が優先されますか? 該当する場合、罰金と顧客補償の責任者は誰ですか?
  • データセキュリティの質問に対する回答は、契約書に明記されていますか?

政策立案

データの収集は最初のステップです。 次のステップは、バイインを取得してデジタルポリシーを作成し、それを実装する権限を取得することです。 通常、このプロセスは、すべての利益を代表できるように、部門の枠を超えたチームで最適に機能します。

尋ねる質問:

  • 私たちの利害関係者は誰ですか? このポリシーの影響を受けるのは誰ですか?
  • どのような利益相反を管理する必要がありますか(法務とマーケティングなど)?
  • 良いポリシーを作成するために知っておく必要のあるすべてのものがありますか? 含めるのを忘れた人はいますか?
  • 何がうまくいかない可能性があり、それを防ぐために何ができるでしょうか?

変更管理

変化を好む人はほとんどいませんし、ランダムで不必要に見える変化を好む人はさらに少なくなります。 その変更によってプロセスがより困難で時間がかかる場合、それはさらに真実です。 デジタルポリシーの「理由」を売り込むことは、抵抗を克服するための中心です。

尋ねる質問:

  • デジタルポリシーを持つことの重要性を明確かつ一貫して明確に表現できますか? (ヒント:従業員は、「弁護士がそう言ったため」を説得力のある理由として受け入れる可能性は低いです。)
  • これらの変更によって影響を受けるのは誰の仕事で、どのような方法ですか? 意図しない悪影響を相殺するために何ができるでしょうか。
  • 従業員はデジタルポリシーの欠点として何を見る可能性があり、その認識に対抗するためにどのようなメリットを伝えることができますか?

実装を計画する

これは、多くのデジタルポリシーが失敗する場所です。企業はフィニッシュラインの直前で停止します。 しかし、ポリシーが正しく実装されていない、または普遍的に無視されている場合は、ポリシーがない場合よりもリスクが高くなります。 これは、ポリシーが、会社がリスクを認識していたことを示す文書化された証拠を提供するためです。

企業がフィニッシュラインの前に停止すると、データセキュリティ計画が失敗します(正しい実装)。 @kpodnarクリックしてツイート

尋ねる質問:

  • ポリシーはどこにありますか? 従業員は、必要なときにどこにあるかをどのようにして知ることができますか? 彼らはすぐにアクセスできますか、それともファイルにアクセスするための承認を求める必要がありますか?
  • ポリシーは使いやすいですか? 従業員が適切なセクションに直接移動するために使用できる目次はありますか? 検索可能ですか?
  • ドキュメントに変更を加えることができるのは誰ですか?また、ドキュメントを変更する権限のない人は、技術的に変更できませんか?
  • ポリシーを使いやすくするにはどうすればよいですか? 従業員にチェックリストまたはウィザードを提供できますか? コンプライアンスの多くが舞台裏で行われるように、それをビジネスプロセスに組み込むことはできますか? 従業員がポリシーを遵守しやすく、違反しにくいようにするにはどうすればよいでしょうか。

ファローアップ

「デジタルポリシーを持っている」というのは、やることリストを一掃できるものではありません。 これは継続的なプロセスであり、人、プロセス、テクノロジーが変化するにつれて、何年にもわたって再検討する必要があります。

尋ねる質問:

  • デジタルポリシーが使用されていることをどのように確認できますか? コンプライアンスを追跡するにはどうすればよいですか?
  • ポリシーに違反している場合(意図的かどうかにかかわらず)、どのような是正措置を講じますか?
  • ポリシーが状況の変化や新たな脅威に対応できるようにするにはどうすればよいでしょうか。

結論

デジタル政策に苦しんでいる企業に一つの願いがあれば、それは状況を全体的に見ることでしょう。 子育てのように考えてください。私たちは子供たちに幼稚園の準備をさせず、よくやった仕事を祝福します。 子育ては進化するプロセスであり、栄養から運動、教育、性格、そして時には最終的にはベビーシッターの孫まで、あらゆるものが含まれます。 デジタルポリシーに対する情熱は子供と同じではないかもしれませんが、どちらも監督、ケア、育成が必要です。

マーケター向けの毎週のコンテンツ戦略の電子ニュースレターサインアップしてください。このニュースレターには、CMIのチーフコンテンツアドバイザーであるロバートローズからの独占的なストーリーと洞察が掲載されています。 私たちが出会う他の多くのマーケターと同じように、毎週土曜日に彼の考えを読むのを楽しみにしています。

pixabay.com経由のSkeezeによるカバー画像