データプライバシーとセキュリティのベストプラクティス: アンケートデータを保護する方法

今日の世界において、データプライバシーとセキュリティは極めて重要です。大規模なデータ漏洩事件が毎日のようにニュースの見出しとなり、顧客データがリスクにさらされる状況では、企業が後始末のための経済的打撃や評判の悪化により多大な被害を受けます。

組織の誰もが、データセキュリティを確保するための用心を怠らないことを最優先事項とする必要があります。アンケートデータを含めた顧客・企業データがサイバー攻撃の対象とならないようにできる限りの対策を取ること、同時に、侵害が起きた場合に損害を最小限に抑えるための迅速な対応計画を立てることが不可欠です。

あらゆる種類のデータが侵害の対象となるため、顧客からの信頼を維持するには、アンケートデータを確実に保護すること、そして収集したデータが正確で攻撃や漏洩に対して脆弱でないことを保証する必要があります。

ハッカーとの戦いに終わりはありません。セキュリティの専門家の間でよく言われるのは、ハッカーは1度成功すればよいがデータセキュリティの担当者は毎日成功しなければならない、ということです。

セキュリティというのは、実験したり、リスクを取ったりすべき分野ではありません。データセキュリティには確立されたベストプラクティスがあり、それが、既存のリスクを避けるだけでなく新たなリスクを予測するためにも常に更新・改善され続けています。アンケートに関しては、回答者のプライバシーとセキュリティを確保し、HIPAA・GDPR・CCPAといった規制に準拠する必要があります。

また、データプライバシーの確保が、ハッカーを寄せ付けない対策だけに留まらないことを忘れないようにしましょう。データプライバシーに真剣に取り組む会社ほど、顧客からの信頼が高まります。その信頼が、アンケートの実施時に高い回答率と確かなインサイトにつながり、結果として信頼性の高い実用的なデータを入手できるようになります。

深く掘り下げる: SurveyMonkeyのデータ収集とプライバシーのベストプラクティスをぜひご覧ください。

確立されたプライバシー慣行に従えば、データの安全性を確保し、回答者の懸念を払拭することができます。それは、会社と回答者の保護だけでなく、アンケートの回答率の向上にもつながります。

アンケートの導入部や招待メールの中で、プライバシー慣行について説明しましょう。プライバシーに関するお知らせに直接、ハイパーリンクを追加してもよいでしょう。スキップロジックを使って、プライバシーに関するお知らせや、プライバシー慣行に同意しない回答者を対象外にすることもできます。

データプライバシー慣行には、次の項目を含めます。

たとえば、SurveyMonkeyのプライバシーに関するお知らせでは、お客様のデータの処理方法が説明されています。この文章は、包括的で透明性の高い、ベストプラクティスに沿ったものにするために専門家と相談した上で作成されました。SurveyMonkeyのプライバシー慣行をレビューしたComputerworldは、SurveyMonkeyがプライバシー慣行を「オンラインでの明確な情報開示と取り組み」に体系化させ、「フォーチュン500社が取っている」のと同じセキュリティ措置を取っているとして「お墨付き」を与えています。

SurveyMonkeyによるお客様のデータの扱いについて詳細をご覧ください。

同意フォームを含める: 同意フォームとは、イベントまたはアクティビティの条件を理解したこと、その実施に同意することを相手当事者に書面で伝えるものです。同意フォームをアンケートに含めることで、回答者からの情報がどのように利用されるかを回答者に対して明確にし、会社を保護することができます。

不要になったデータを消去する: 古くなったデータをずっと保管していると、忘れていたデータが侵害されてしまうリスクが高まります。データの保管期間や消去方法などを決める明確なガイドラインを作るようにしましょう。

深く掘り下げる: SurveyMonkeyのアンケート作成者のためのプライバシーでセキュリティ対策を強化しましょう。

顧客や患者の健康に関する情報は、機密情報であり、その機密を守るために制定された法律がHIPAAです。

1996年の米国における医療保険の相互運用性と説明責任に関する法令（HIPAA）は、デリケートな患者の医療情報が患者の同意なしに開示されるのを防ぐための連邦法です。

何らかの形でヘルスケアに従事する人が、HIPAAに準拠しなかった場合、監査や罰金を科されたり、顧客・患者の信頼を失う可能性があります。結論: 保護対象医療情報（PHI）を扱う場合は、HIPAAに準拠する必要があります。

SurveyMonkeyは、ヘルスケア業界向けに、HIPAA準拠アカウントからヘルスケア アンケート テンプレートまで多数のオプションを用意しています。

GDPRは、欧州連合におけるデータ保護を規定した規則ですが、アイダホ州のボイシにいる場合でも無関係ではありません。なぜなら、欧州を拠点としていない組織でもGDPRに準拠する必要があるからです。

一般データ保護規制（GDPR）は、欧州連合（EU）および欧州経済地域（EEA）のデータ保護とプライバシーに関する規制ですが、EU・EEA域外での個人データの転送も対象としています。

GDPRの第一の目的は、個人に対して自分の個人データに対する制御権を与え、規制の統一を通じて国際的な企業のための規制環境を簡素化することです。EEA・EU域内に所在する個人の個人情報を処理する企業であれば、その所在地やデータ主体の市民権・居住地に関係なく、あらゆる企業に適用されます。

この規制は、カリフォルニア州消費者プライバシー法（CCPA）を含む、EU外の多数の法律のモデルとなりました。

カリフォルニア州消費者プライバシー法（CCPA）は、全世界の企業に対してカリフォルニア州居住者の個人情報のどのような処理を許可するかを規定したデータプライバシー法です。

2020年1月1日に発効したCCPAは、この種の法律としては米国で初めての法律です。

顧客やアンケート回答者の中にカリフォルニア州の居住者がいる場合は、この法律に従い、準拠するための措置を講じる必要があります。

CCPAは、年間5万人以上のカリフォルニア州居住者の個人情報を販売する営利企業、年間総収入が2500万ドルを超える営利企業、または年間収益の50パーセント以上をカリフォルニア州居住者の個人情報の販売から得ている営利企業に適用されます。

さらに、CCPAが適用されている他の企業と共通のブランディング（名前・サービスマーク・商標など）を使用している会社も、CCPAに準拠しなければなりません。

CCPAの下で、カリフォルニア州の居住者（「消費者」）は、自分のデータが第三者に販売されることを許諾しない権利、すでに収集されたデータの開示を要求する権利、収集されたデータの消去を要求する権利を与えられます。

深く掘り下げる: SurveyMonkeyのデータセキュリティとコンプライアンス

アンケートを実施する目的は、当然ながら、ターゲット層に関する有用なデータや情報を集めることです。しかし、その過程においては、データプライバシーやセキュリティに関する規制・ガイドラインに準拠して、回答者の個人情報のコンプライアンス違反や侵害を防ぐ必要があります。

データを収集する際は、セキュリティ問題に関連して注意すべき点がいくつかあります。個人を特定できる情報の量を最小限に抑えること、データの暗号化、匿名のアンケート、安全なアクセスなどです。

アンケートのために収集する、個人を特定できる情報は、できるだけ少なくしましょう。簡単に言えば、社会保障番号・電話番号・メールアドレス・住所といった回答者に関するデリケートな個人情報を開示してしまう可能性がある情報は収集しないようにします。

データが権限を持たない人の手に渡らないようにするには、データの暗号化が有効です。

暗号化とは、データを権限のないユーザーから隠し、アクセスできないようにするプロセスです。暗号化によって、デリケートな個人情報を保護し、クライアントアプリとサーバー間の通信のセキュリティを強化することができます。データが暗号化されていれば、権限を持たない人がアクセスに成功した場合でもデータの中身を読むことはできません。

データの暗号化とは、暗号化アルゴリズムを使って読み取り可能なプレーンテキストを、読み取り不能な暗号文に変換するプロセスを指します。暗号化されたデータは、対応する復号化キーを使わないと読み取り可能なプレーンテキストに戻せません。

回答を匿名にすれば、デリケートな個人情報を収集する必要がないため、データプライバシーの改善につながります。そうすることで、組織にとってのリスクが軽減されます。

匿名のアンケートには、高い回答率が期待でき、率直な回答が得られるという大きなメリットもあります。匿名性を保証することで、多くのアンケート参加者が持っている懸念を払拭できます。たとえば従業員を相手にアンケートを実施する場合、匿名にすれば、回答の内容によっては人事部から反応があるのではないかという懸念を払拭し、従業員に率直かつ詳細に答えてもらうことができます。

SurveyMonkeyの匿名回答コレクターを使用すると、回答者を特定できる情報を追跡してアンケート結果に保存するかどうかを選択できます。SurveyMonkeyは、回答者のIPアドレスをバックエンドログに記録し、13ヶ月後に消去します。

データセキュリティには、パスワードセキュリティからアンケートのデータ・結果へのアクセスの保護、古いデータの効果的な保管・破棄に至るまで、データ保護のさまざまな側面が含まれます。

ハッカーからの攻撃を防ぎたいなら、「password」というパスワードを使うべきでない、というのはもう常識になっていることでしょう。

しかし、2020年の最も一般的なパスワードでは、「password」が4位に入っています。1位は何だと思いますか。「123456」です。これは問題ですね。

パスワードセキュリティはアンケートデータを保護する上で非常に重要であるため、ユーザーに、一意で予測不能なパスワードの使用を推奨する必要があります。パスワード管理ツールを利用すれば、一意のパスワードを簡単に作成できるため、膨大な数のパスワードを記憶する必要がありません。二要素認証も、ハッカーを寄せ付けないためのセキュリティの強化に役立ちます。

SurveyMonkeyを使用するときは、パスワードが回答者の個人情報にアクセスする際の鍵となるため、慎重に決めることが大切です。次のような点を考慮しましょう。

使用しているデータストレージ システムが安全であることは不可欠です。ベストプラクティスは、安全なデータセンターまたは中央ファイルストレージを利用することで、物理ストレージの場所の可視性を確保しておくのも大切です。

SurveyMonkeyでは、回答者の情報はSOC 2認定を受けたデータセンターでセキュリティ・技術のベストプラクティスに従って安全に保管されます。収集したデータは、セキュアなHTTPS接続を通じて伝送され、ユーザーログインはTLSを介して保護されます。保存時のデータは、業界標準の暗号化アルゴリズムと強度を使って暗号化されます。

もちろん、同僚や主要なビジネスパートナーとアンケートデータを共有したい場面はたくさんあるでしょう。そのような場合でも、安全な共有方法を選ぶことで侵害を防ぎ、権限のないユーザーが回答者のデリケートなデータや個人情報を照会できないようにする必要があります。

アンケートデータを保護するには、アクセスの安全性を確保することが不可欠です。まず、ノートパソコンやモバイル機器、個人の端末などはサイロ化していて盗難や不正使用のリスクが高いため、データの保管には向きません。ログイン情報を共有してしまうと、回答者のアンケートデータが不正に使用されるおそれがあります。たとえば、アカウントを共有していた同僚が会社を辞めた場合、もう社員ではないのにアンケートの回答にアクセスできることになります。さらに、ログイン情報が他の人に譲渡されてしまえば、データを濫用される可能性がさらに高まります。生産的かつ安全な形で他の人とアンケートを共有し、回答を確認してもらうには、次の2つの方法をお試しください。

セキュア ソケット レイヤー（SSL）技術は、ネットワーク接続されたコンピュータの間で認証・暗号化されたリンクを確立し、セキュリティを強化するプロトコルです。

SSLをWebサーバーにインストールすると、パッドロック（南京錠）とHTTPSプロトコルが作動し、Webサーバーからブラウザーへの安全な接続が可能になります。SSLは、一般にクレジットカード取引やデータ転送、ログインなどの保護に使用されますが、最近では、多くのソーシャル メディア サイトで閲覧を安全にする目的で使われています。

安全第一です！

アンケートで最大の成果を上げると同時に、顧客の信頼やエンゲージメントを維持したいなら、プライバシーとセキュリティを最優先事項にする必要があります。SurveyMonkeyは、セキュリティとコンプライアンスに関する重要な情報を用意してデータセキュリティの改善をお手伝いしています。

SurveyMonkeyによるアンケートデータの保護とユーザーができる安全対策をご確認ください。