データを最優先事項とすることで、組織とゲスト体験の核心に誠実さ、透明性、信頼を据えることになる。新たな旅行時代におけるホスピタリティ業界向けのデータプライバシーと情報セキュリティに関する簡易ガイドを以下に示す。.
2022年は旅行とホスピタリティ業界にとって希望と期待に満ちた年と見なされていた。そしてその予測は的中した。当社のデータに基づけば 最新の調査, 旅行は回復傾向にある。最新のデータによれば、一部の国ではパンデミック前の数値に近づくか、あるいはそれを上回る可能性すらある。.
旅行者が増えるにつれ、見逃せないことがある。データプライバシーと情報セキュリティだ。何が変わったのか?この新たな旅行時代において、データを安全に保つ上でホテリエが直面する主な課題は何か?
データプライバシーと情報セキュリティが、ゲスト体験を左右する
ゲスト体験の構築は、優れた顧客サービスや美しい立地、快適な設備だけにとどまらない。データプライバシーと情報セキュリティは、信頼に基づくゲスト関係の基盤の一つだ。想像してみてほしい。何千もの顧客データが流出するデータ侵害を経験する場面を。クレジットカード情報、電話番号、メールアドレス…個人データを共有する際、ゲストは組織への信頼の証を預けている。こうした事態が起これば、その信頼は一瞬で失われる。.
世界的に、ホスピタリティ産業は 三番目 サイバー攻撃の最も標的とされる分野だ。.
データ漏洩のリスクは業界にとって非常に高い。特にホスピタリティ業界は 標的とされる度合いが三番目に高い分野 サイバー攻撃に対して脆弱である。ホテル、宿泊施設、観光地は、顧客、従業員、取引先の個人情報や機密情報、特定可能な情報を大量に収集・処理・保管している。これには電話番号、メールアドレス、カード情報、住所などが含まれる。このデータは顧客個人識別情報(CPII)と呼ばれるものに直結し、データ侵害事例441件中340件で最も頻繁に流出する記録タイプの一つである。, IBMによれば. 各記録の損傷は組織にとって莫大なコストを伴う。情報漏洩が発生した場合、1件あたりのコストは最大で $180.
小売業とホスピタリティの組織の3分の1がデータ侵害を経験している。.
ソース: セキュリティトゥデイ・ドットコム
データ漏洩の管理には莫大な代償が伴う―― 平均コスト 違反1件あたりの賠償額は、なんと416万ドルにまで跳ね上がる可能性がある。こうしたコストに加え、情報漏洩のリスクも年々高まっている。.
データポリシーを現在のスタッフ不足と整合させること
データプライバシーと情報セキュリティの方針を日常的に確実に実施することは、世界的に人手不足が過去最高水準に達しているこの時期には特に困難かもしれない。.
77 %
組織の多くは 有資格者の不足 サイバーセキュリティ管理における最大の課題だ。.
上記の統計が示す通り、有資格者の不足により、企業がデータを安全に保つのは大きな課題だ。では、従業員が2、3週間で辞めてしまう状況で、情報セキュリティ対策はどう始めればいいのか? プロセスを開始するのに役立つアイデアをいくつか挙げる:
内部監査または外部監査を実施し、現状を明確に把握する。.
現状評価から始めるのは必須だ。監査を内部リソースが行うか外部リソースが行うかにかかわらず、プロセス全体を通じて公平性と客観性を確保することが重要である。この監査が現在の問題点を修正し、枠組みを改善するのに役立つことを確認する必要がある。データ処理・保管システムと、スタッフがこれらやその他のデジタルシステムをどう利用しているかを検証せよ。データプライバシーと情報セキュリティを改善することで何を達成したいのか、特にその方法を考えよ。.
サイバーリスクを特定するのに役立つもう一つの監査ツールは、 ペネトレーションテスト. ペネトレーションテストとは、ハッカーが行うような一連の模擬攻撃であり、メール、ウェブサーバー、インターネットルーター、ファイアウォールなどに関連するセキュリティ上の脆弱性を特定するのに役立つ。これらは通常、情報分析チームによって年次で実施される。.
外部の専門家と協力して、データプライバシーと情報セキュリティの方針を作成し、管理し、実施する。.
外部専門家は、データプライバシーや情報セキュリティシステムの設計、導入、評価において豊富な体験をもたらす。データの安全確保に関する自社の弱点と強みを特定することもできる。しかし、一人の専門家が全てを解決するわけではない。理想的には、この専門家が自社内の担当者と直接連携すべきだ。少なくとも一人の内部担当者が常に対応することで、導入した変更が定着する可能性が高まる。 さらに、外部から得られる知識は全て、内部の資産へと転換できるのだ。.
自社の慣行が国際基準と規制に準拠していることを確認せよ。.
データプライバシーと情報セキュリティに関して重要な国際規格がいくつか存在する。残念なことに、地域ごとに異なる規格が適用される場合がある。世界中に複数の施設/ホテルを管理している場合、各地域の要件に基づいて規格を適応させる必要がある。以下に主要な規格と規制を挙げる:
GDPR – 一般データ保護規則
一般データ保護規則 GDPRは欧州のデータプライバシーとセキュリティに関する法律だ。2018年に施行され、データ保護の観点から世界でも最も厳格かつ詳細な規制の一つである。EU域内で事業を行い、EU市民からのデータを扱う全ての組織に適用される。 GDPRに準拠していない場合、罰金のリスクがあり、その金額は非常に高額だ。この法律は理解が容易ではなく、特に実施プロセスは簡単ではない。弁護士やデータ保護責任者(DPO)と協力して対応することを推奨する。.
PCI DSS – ペイメントカード業界データセキュリティ基準
PCI カードデータや支払いに関連するあらゆる侵害を防ぐことを目的とした基準である。まず、利用可能な自己評価アンケートを記入することから始められる。 ここ, 現在の状況を評価する。次のステップは、PMSやホテルの決済処理解決策がPCI DSS準拠かつ認証済みであることを確認することだ。それらは準拠証明書を提供し、それを証明すべきである。.
ISO 27001 情報セキュリティマネジメント
ISO 27001規格 組織が情報セキュリティシステムを設計、実施、評価することをサポートすることを目的としている。これは強制的な規格ではない。顧客や供給業者に対してベスト・プラクティスを実施していることを証明するために、認証取得を選択する組織も存在する。認証を取得するかどうかに関わらず、ISO 27001は情報セキュリティのための標準化された枠組みを構築するのに役立つ一連の措置を提供している。.
従業員にデータプライバシーと情報セキュリティの基本を教育せよ。.
データプライバシーと情報セキュリティは、業務用のメールアドレスを持つチームメンバー全員、オフィスのWiFiやケーブルインターネットを利用する全員に関わる問題だ。 厨房スタッフから受付係まで、全員が一定の研修を受けるべきだ。内容は、フィッシングメールの見分け方、業務中にアクセス可能なウェブサイト、オフィスPCに接続できる外部デバイスの種類などである。もちろん、各従業員が様々なシステムにアクセスできる権限に応じて、研修内容は異なる。.
データプライバシーと情報セキュリティのベスト・プラクティスについて、管理職、非公式な従業員リーダー、そして高い関与度を持つ従業員を訓練する。.
ベスト・プラクティスが確実に守られるようにするため、非公式な従業員リーダーや高い関与度を持つスタッフを特定し、情報セキュリティの推進役として活用する。これにより、他の従業員の模範となる存在となる。.
データの保護策をこれから始めるにせよ、既に実施しているにせよ、そのプロセスは困難を伴うかもしれない。あらゆる規制を理解し、効果的な対策を実施する最善の方法を模索し、全従業員が一定の訓練を受けることを保証する必要があるからだ。諦めるな!データを最優先事項とすることで、組織とゲスト体験の核心に誠実さ、透明性、信頼を据えることになるのだ。.
