新しい調査によると、データ侵害について企業が消費者に送信する通知は明確さを欠き、データが危険にさらされているかどうかについて顧客に混乱を加える可能性があります。

セキュリティ侵害に直面したときに消費者が行動を起こさないことが多いという以前の研究に基づいて、研究者は、通信が何らかの不作為の原因であるかどうかを確認するために企業に送信したデータ侵害通知を分析しました。

彼らは、読みやすさの測定基準に基づいて、97サンプリング通知の161パーセントが読むのが難しいか、かなり読むのが難しいこと、そしてコミュニケーションの受信者が危険にさらされて行動を起こすべきかどうかについて混乱を招いたかもしれないことを見つけました。

「ほとんどの企業にとって、これらの通知はデータ侵害通知法を遵守するための要件としてのみ見なされています…」

ミシガン大学の博士課程の学生であるYixin Zouは、次のように述べています。

「起こったことや消費者が自分自身を保護するために何をすべきかなどの重要な情報が、消費者にとって理解可能で実用的な方法でこれらの通知に伝達されることを保証することが重要です。」

Privacy Rights Clearinghouseの統計を引用して、2017には消費者名、連絡先情報の口座番号、クレジットカードの詳細、社会保障番号、買い物と購買の記録、ソーシャルメディアを含む853 10億件の記録を侵害した2.05データ侵害がある投稿とメッセージ、そして健康記録。

これを受けて、米国を含むほとんどの国でデータ侵害通知法が採用されました。 米国では、各州に独自のデータ侵害法があります。つまり、企業が消費者に通知しなければならない時期、違反後すぐに通知を送信しなければならない時期、および通知の内容は州によって異なります。

「データ侵害通知をより使いやすくするために企業が投資する動機はほとんどありません。」

これにより、企業は70の通知で「影響を受ける可能性があります」や「影響を受ける可能性が高い」などのフレーズを使用して「現時点ではエクスポージャーの証拠はありません」 40パーセントの割合でデータが悪用されています。

それはまた、違反の原因、発生日、および暴露時間の長さに対処する際の一貫性の欠如を可能にする、と研究者らは述べている。

「データ漏洩の通知をより使いやすくするために企業が投資する動機はほとんどありません」と、School of Informationの助教授であるFlorian Schaubは述べています。

「ほとんどの企業にとって、これらの通知は、顧客を教育し保護するための方法ではなく、データ侵害通知法を遵守するための要件としてのみ見なされています。 会社の通知が実際に消費者にとって有益であることを保証するために、私たちはこれらのような消費者保護法を再考して作り直す必要があります」とSchaubは言います。

ほとんどの州法では、影響を受ける消費者に書面または電話で通知することを企業に義務付けています。 電子メール、Webサイトでの発表、州全体のメディアへの通知、またはその他の電子的方法が、通常は代替物です。 この調査は、メールで配信された分析済み通知の95パーセントと一致するパターンを示しています。 研究者たちは、郵送された手紙の速度が遅いと、消費者が違反について知らされていない時間を長くするかもしれないと言います。

研究者らは、スコットランドのグラスゴーで開催されたCHIのヒューマンファクター・コンピューティング会議での研究を共有しました。

情報源： ミシガン大学

関連書籍

at InnerSelfMarketとAmazon