オーストラリアのNPOを取り巻くデータ保護の環境変化：FIA DATA WEEK 2024 SESSION 2より

2024年5月6～10日に開催された、オーストラリアのファンドレイジング協会Fundraising Institute Australia（FIA）主催オンラインイベントFIA Data Week 2024に参加しました。

本記事では、同イベントのセッション2「Preparing fundraisers for the changes ahead」にて、オーストラリアにおけるデータ保護やプライバシー保護に関する国内の変化にもとづいて、ファンドレイザーや非営利団体が準備することを議論するパネルセッションが行われました。

パネリストは、Data Design Consulting社のCEO Richard Harris氏とMarketsoft社のStrategic Solutions DirectorのMichael Mocatta氏。ファシリテーターは、Marketsoft社のCEO Joel Nicholson氏でした。

最初の導入として、下記のスライドが表示されて、4つの問いが投げかけられました。意訳ですが、日本語訳も下記に用意しています。

（スライド資料より）

1. あなたの組織がプライバシー法に遵守していることにどれだけ自信がありますか？
2. 違反が発生した場合の罰金や寄付者の損失のコストを数値化したことがありますか？
3. 2024年8月に予定されている新しいプライバシーに関する法律に対して十分に準備ができていますか？
4. 現在、組織内でのヒューマンエラーがどのくらいの頻度で特定され、正確に報告されていますか？

スライドの4つの問いをChat-GPTと筆者で意訳

世界経済フォーラムによると、世界中で起きているデータ漏洩の原因の約95％はヒューマンエラー（人為的なミス）だとされています。これは、適切なプライバシーポリシーや対応マニュアル等が欠如していたり、存在していても実際には遵守されていないことも多く、登壇者たちはそのような非営利団体の実例を多く見てきたと語ります。それと同時に、そういった仕組みやBCP（Business Continuity Planning、事業継続計画と呼ばれるもの）があるかどうかを確認することが最初の一歩として大事であるとも仰っていました。

一方で、日本でも、2024年6月にKADOKAWAがサイバー攻撃を受けて多くのサービスに影響が出たように、第三者からのサイバー攻撃による事例もオーストラリアでは増えているようです。

背景①：オーストラリア全体における情報漏洩の概況

オーストラリア政府のOffice of the Australian Information Commissioner（オーストラリア情報局）では、Notifiable data breaches reportという報告された情報漏洩の事案をもとに、国内全体における状況をまとめたレポートを出しています。

Notifiable Data Breaches Report: January to June 2023

参考までに、下記はそのレポートで掲載されている2023年7月～12月にオーストラリアの全産業で起きた情報漏洩の状況のインフォグラフィックです。レポートによると、2023年7月～12月で情報漏洩の件数は増加傾向でした。

2023年7月～12月のオーストラリアにおける情報漏洩の月毎の発生件数（Office of the Australian Information CommissionerのNotifiable data breaches report July to December 2023より）

特に情報漏洩の報告が多かったセクターは、医療サービス分野が突出して多かったそうです。5番目に、オーストラリア政府（Australian Government）がランクインしていることが個人的に面白かったです。（笑）

2023年7月～12月のオーストラリアにおける情報漏洩が起きたセクターTOP5（Office of the Australian Information CommissionerのNotifiable data breaches report July to December 2023より）

また、下記は情報漏洩の原因を大別したインフォグラフィックです。サイバー攻撃が最も多い一方で、ヒューマンエラーも次いで非常に多い原因となっています。

2023年7月～12月のオーストラリアにおける情報漏洩の原因内訳（Office of the Australian Information CommissionerのNotifiable data breaches report July to December 2023より）

オーストラリアの非営利団体における情報漏洩の事例①：第三者による不正アクセス

糖尿病を患う人達を支援する西オーストラリア州の非営利団体Diabetes WAは2023年にサイバー攻撃を受けた。同団体の遠隔医療サービスを利用する人達の一部の連絡先情報に「第三者」からの不正アクセスがあったと公表。

メディケア番号（オーストラリアにおける健康保健の個人番号）が侵害された可能性があるため、同団体は影響を受けた可能性のある個人に対し、MyGov経由またはServices Australiaに電話して、新しいメディケア番号を取得するように勧める対応を行ったとのこと。

Diabetes WA reveals data breach

オーストラリアの非営利団体における情報漏洩の事例②：非営利団体専門のテレマーケティング会社へのサイバー攻撃

オーストラリア・クイーンズランド州にオフィスを置いていたPareto Phoneは、国内の非営利団体のために寄付者とのコミュニケーションや寄付募集のテレマーケティングの代行会社であった。

2023年8月、LockBitというランサムウェアグループによるサイバー攻撃で、多くのクライアントの寄付者情報や機密情報が盗まれ、ダークウェブ上に公開された。被害例として、アムネスティ・インターナショナル・オーストラリアの寄付者情報1500人分、プラン・インターナショナル・オーストラリアの寄付者情報8000人分、WWF オーストラリアの寄付者2万500人分、その他10団体以上の機密情報などが被害にあったと公表している。

2024年7月現在、同社は閉業している。

More charity donor leak details emerge as watchdog poised to launch…

オーストラリアの非営利団体における情報漏洩の事例③ヒューマンエラーが原因で、55万人以上の献血者の個人情報を公開してしまったオーストラリアの赤十字

2016年、Red Cross Australia（オーストラリアの赤十字）は、2010年から2016年までの献血者の献血適格性質問の回答情報（名前、住所、生年月日、性的活動、薬物使用、体重、医療状態などを含む）を誤ってウェブサイト上で公開してしまったことを報告。

原因は、献血者の情報を含むファイルが開発中のウェブサイト上にあり、Red Cross Australiaのウェブサイト開発および保守を委託している業者によってインターネット上で公開状態にされてしまっていたヒューマンエラーだったとされている。

また、公開情報の内容から情報を悪用されるリスクは低いという見解もRed Cross Australiaは出している。

Red Cross data leak: personal data of 550,000 blood donors made public

背景②：2024年8月頃に改正の動きがあるオーストラリアのデータ保護に関する法律

筆者もセッション内の議論で初めて知ったのですが、2024年8月頃にプライバシー保護に関する法案が議会に提出される動きがあることが共有されました。特に非営利団体に影響を与えるとされる変更点は、規模を問わず全ての非営利団体に対して例外なく適用されることであると述べられていました。それに加えて、子どものデータ収集と使用に関する規制がさらに厳しくなる可能性も言及されていました。

また、AIの進歩によって、AIの活用に関することも法案に盛り込まれるかもしれないことにも触れられていました。ファンドレイジングへのAI活用について、過去に記事にしてあり、関連する話にも触れてあるので、あわせてご一読ください。

オーストラリアに先んじて、EU（欧州連合）ではGeneral Data Protection Regulation: GDPR（一般データ保護規則）が2018年5月から施行され、アメリカ・カリフォルニア州では2020年に消費者の個人情報保護を強化するCalifornia Consumer Privacy Act: CPRA（カリフォルニア・プライバシー権利法）が施行され、その後に通称「Delete Act（削除法）」と呼ばれる消費者が情報保持者に個人情報を削除するリクエストができて、情報保持者側はリクエストに応じることが義務付けられた法律が施行されています。

オーストラリア政府もそれらを追う形で、プライバシー保護や個人情報の取り扱いに関する規制をつくり、政府のシステムを通じてしか個人情報の交換を行えない仕組みを目指しているという見立てが共有されました。

現在は、個人情報保護に関して、中小規模の法人への負担が免除されているそうですが、これが撤廃されることが見込まれるため、多くの中小企業や限られた予算で運営されている非営利団体には、何かしら対処する方法を検討する必要があることが言及されました。法律が施行されると、優れた説明責任を示し、強固なデータ保護の仕組みを導入・確立していることが求められ、いくつかの組織はデータプライバシーの担当者を採用して、これを証明し、積極的に対応していることを示す必要があるそうです。

課題は、NPOの経営層の理解と関心の不足

組織がプライバシーポリシーや管理業務の仕組み・プロセスを改善しようとする中で、経営層は何が必要かを判断するためには、問題の理解と解決策についての知識が必要になると指摘されました。

罰金や社会的な評判などのインセンティブはある一方で、管理のメリットにも考慮する必要があります。例として、必要以上にデータを保管しないようにする方法を見つけることが挙げられました。必要最小限のデータを保存することに方針に切り替えれば、データストレージのコストを削減するという副次的効果もあると言います。

経営者やマネージャーも一緒に参加し研修やトレーニングを受けることも重要であり、多くの組織が一人のプライバシーオフィサーやコンプライアンス担当者に全てを任せることが多いものの、実際には全てのチームとスタッフがこの解決策の一部であるべきだと語られました。つまり、組織の全員が関わる必要があるということですね。

重要なのは、データ保護に大規模な投資をすることではない

パネルセッションでは、最良の戦略はデータ保護の仕組みやテクノロジーへの大規模な投資ではなく、個人データを使用し取り扱うスタッフ達に、潜在的なリスクを認識させることだと言われました。

サイバーセキュリティ強化はたしかに重要であるものの、効果的なセキュリティポリシーや管理手順を整え、それを理解し実行できるスタッフを持つこと、そしてこれを重視する経営層やマネジメント層が必要だと指摘します。つまり、個人情報やデータの取り扱いについて一定のリテラシーを備えた組織づくりや組織文化ができていないことが、最大のリスクであるということと私は解釈しました。

また、定期的な監査を実施することで、現在どこにギャップがあり、法規制に対してどの部分が準拠していないかを把握し、それに対処するための戦略的な計画を立てることも重要であると述べられていました。

個人的に印象的だったのは、情報漏洩はヒューマンエラーによって引き起こされることも多く、テクノロジーの導入やルールを設けることが全ての問題を解決すると信じるべきではないとのパネリストのコメントでした。

雑感

パネルセッションでの一連の話を聞いた感想として、ファンドレイジングを組織文化として浸透させていくことが大事と言われていることと同様、個人情報の取り扱い方やプライバシーポリシー遵守も組織文化に浸透させていくことが必要不可欠になる時代に、オーストラリアでは入りつつあることを感じました。

---

なお、FIA DATA WEEK 2024で他に参加したセッションの記事も公開してあるので、ご関心のある方は、ご一読ください。

最後に

記事をお読みいただき、ありがとうございました。
私は、海外のソーシャルセクターに関する有意義な事例や知見を日本のみなさんにシェアしていけるように日々活動しています。

インターネット検索等だけで得られる情報には情報の質と量に課題があり、ファンドレイザーをはじめ海外のソーシャルセクターの人達とつながるためにカンファレンス（約15～25万円の参加費）をはじめとする有料イベントに直接参加したり、なるべく正確かつ信頼性のある情報源から情報を得られるように有料のレポートや書籍を購入しながら知見を集めています。

「海外（のソーシャルセクター）」という切り口から日本のソーシャルセクターに引き続き貢献できればと思っていますので、よろしければ、下記の「チップを送る」ボタンでサポートいただけると幸いです。
一人ひとりからサポートいただけることで、様々な情報にアクセスして、様々な機会に参加して、有意義な発信を続けたいと思っています！

どうぞよろしくお願いいたします！