導入事例 — すずしろ薬品 (仮名)様

法令遵守のため全PCの個人情報を管理・把握

すずしろ薬品 (仮名)様

情報システム部

卸会社には、個人情報などほとんど蓄積されないようなイメージがある。しかし A 県を拠点とする医薬品の卸会社「すずしろ薬品(仮名)」には、実は、相当にシビアな情報が蓄積されるのだという。薬品卸という業態のセキュリティ上の課題、そして P-Pointer の具体的活用手順などにつき、情報システム部の斎藤氏に詳しく聞いた。

※本取材は2005年12月に行ったため、旧社名での記載となっております。ご了承ください。

薬品卸は、意外に個人情報センシティブな業態

suzushiro_pic_01

 

まず「すずしろ薬品」の業態についてお聞かせください。

弊社は、A県を業務エリアとする医薬品卸の会社です。メイン業務は、製薬メーカーから薬を仕入れ、それを A 県内の病院に販売する卸売り業務です。その他、サブ業務としてコンピュータや医療器具の販売も行っています。

 

その業態において蓄積される個人情報はどのようなものでしょうか。

一般のイメージでは、薬の問屋に個人情報などたまらないと思われるかも知れませんが、そうでもありません。ざっと以下のような情報が日々、蓄積されます。

  • 取引先の病院の先生方の氏名などの個人情報
  • 人工肛門や介護用品などを弊社から直接購入なさる方の個人情報
  • 各病院への医薬品の出荷情報

いずれも非常にセンシティブな情報です。病院の先生方の名簿などは、個人情報を悪用したいと思う側の立場に立てば、「高額所得者名簿」とも解釈できます。また、人工肛門などを弊社から購入したお客様の情報も、病歴が究極のプライバシーであることを鑑みて、これを厳重に保管しなければなりません。

 

「各病院への医薬品の出荷情報」についてはどのように重要なのでしょうか。

病院への医薬品の出荷情報は、直接の個人情報ではありませんが、やはり扱いには気をつけねばなりません。例えば、ある重病にしか使われない薬がある病院に 出荷されていたとすれば、その情報を元に様々な推測が成り立ちます。病歴に関する情報は、やはり襟を正して扱わねばなりません。

 

もし、そうした情報が漏洩したとすれば…

そのような事態はあまり想像したくありませんが、もしそうした事故が発生したとすれば、弊社は、さまざまな形で、社会的制裁を受けるでしょう。最悪の場 合、弊社の取引額の相当のシェアを占めている、市立病院など公立病院につき、入札停止などの制裁措置が下ることもありえます。

薬品卸という業態において、何がセキュリティ上の課題になるか

「すずしろ薬品」で、セキュリティ対策を施行しようとした場合の、課題、困難はどのようなものになるでしょうか

ざっと以下の 2 つが挙げられると思います。

  1. 支店が多い
    弊社の場合、広い A 県の津々浦々に、支店があります。単純な話、情報管理を行う上で目が届きにくい状況です。
  2. ノート PC の社員間での引き継ぎが頻繁
    弊社では、営業担当のノート PC は、個人ではなく、支店に属します。ということは、転勤の際にも「自分のノート PC」を持って行くことはできず、その PC は支店に置いて行くことになります。その PC は後任者が引き継ぎ使用し、自分は転勤先で新たな PC を使うことになります。この体制の場合、ノート PC の中の個人情報の管理責任が明確にならない、ついうやむやになりがちであるというデメリットがあります。

個人情報管理を行うにあたり、まず何から手をつけましたか。

「すずしろ薬品」が個人情報対策に本格的に取り組むようになったきっかけは何でしょうか。

本格的な取り組みが始まったのは、やはり個人情報保護法の施行をにらんでということになります。まず社内で検討会を立ち上げ、経済産業省のガイドラインをダウンロードして読み合わせてみたり、薬品の卸連の方針を調査したりしました。

 

次に行ったこと、あるいは決めたことは何でしょうか。

この後の施策として、プライバシー・マークの取得などポリシー系、資格系の活動を行うか、それとも情報システムの導入などの SI 系の活動を行うが、2 つの分かれ道がありました。弊社としてはいろいろ考えた末、SI系の活動に力を入れることにしました。支店が多く人も散らばっている弊社の業態の場合、やはり決めごと、決まりごとの強化よりも、「システム」を構築した ほうが、実際の効果が高いと思われたのです。

 

どのようなシステムを構想したのでしょうか。

本社に中央個人情報サーバを立てて、いわゆる個人情報、重要情報は、すべてそこに集中保存し、支店のノート PC には保管させないような仕組みにすることにしました。その他、以下のような仕組みを情報システムにより実現しようと考えました。

  1. PC 1 台 1 台の個人情報が管理、把握、確認できる状態を作る。
  2. 全 PC の操作ログを記録できるようにする。
  3. 仮に PC が盗難されても、使えないような仕組みを作る。

このような仕組みを、SI 会社に求めたところ、一番の「PC 1 台 1 台の個人情報が管理、把握、確認できる状態を作る」ためのソリューションとして提案されてきたのが、P-Pointer のスポットサービスです。このサービスは、個人情報サーバの構築において積極活用しました。

P-Pointer を実際にどう使っているか

どのように活用したのでしょうか。

具体的には以下のとおりです。

  1. まず P-Pointer で、本店支店全 800 台の PC の個人情報の棚卸 (どんな個人情報がどこにいくつあるか) を調べる。
  2. そうやって自分の PC 内部の個人情報の状況を、Web レポートなどを通じて各社員に把握してもらう。
  3. 棚卸された個人情報を、中央の個人情報サーバに移動するよう、全社員に指示する。
  4. 2 週間ぐらいして、もう 1 度、全 800 台の個人情報の棚卸を行う。中央サーバへの情報の移行を未だ怠っている社員には、注意をする。

こうした手順により、中央サーバへの個人情報の移行を行いました。

 

このプロジェクトの効果は何になるでしょうか。

以下の通り、2 つの面で効果が上がったといえます。

  • 個人情報管理のための「しくみ」が確立した。
  • 社員の意識付けの効果があった。

 

1つ目の効果、「個人情報管理のための「しくみ」が確立した」というのは具体的には?

「個人情報は、中央サーバに集める。ノート PC には残さない」というしくみができたという効果です。精神論ではなく「しくみ」ができたことが大きな前進です。

 

2 つ目の効果、「社員の意識付けの効果があった」というのは具体的には?

社員の情報取り扱いに対する意識レベルが向上したこと。これは地味なようでとても大きな効果です。個人情報の重要さを社員に解らせるには、「訓辞」や「レ クチャー」では、効果がありません。やはり、人間は自ら手を動かさないと、意識が変わりません。今回、P-Pointer のようなツールを使って、社員が自分で「手を動かして」、個人情報を中央サーバに移し替えたこと。この「行動」により、社員の情報取り扱いに対する意識、 自覚は、大きく高まりました。

個人情報の棚卸は 1 回でよいか、それとも定期的にやるべきか。

今回は、P-Pointer のスポットサービス (P-Pointer を短期間だけ使うサービス) をご利用いただき、ワンショットの棚卸を行っていただきました。御社の業態において、この情報棚卸は、一度で充分だと思いますか。それとも、今後も継続していく必要はあると思いますか。

私は継続していくべきだと思います。それは、本当のことを言えば、今回の 1 回で情報を整理して、これでもう大丈夫だ、万全だと思いたいですよ。しかし、個人情報というのは、1 回整理したとしても、その後も、各 PC の中で増えたり減ったりするわけで、それを考えると、やはり定期的に棚卸を行い、状況を把握しておかないと、思わぬところで漏れが発生します。また 1 回きりの検査では、社員への意識付けの点で、どうしても弱い。現在の社内には、今回 1 回の検査で個人情報の問題はすべて解決したと思い込んでいるような向きもありますが、のど元過ぎれば何とやらで、この雰囲気も怖い。

現在、P-Pointer のライセンス版については、これを購入の上、個人情報を定期的に棚卸していくことを積極検討中です。

 

今後の KLabに期待することをお知らせください。

現状の KLabは、個人情報の棚卸ツールの開発販売の会社ということですが、今後は、リスク対策についての総合システム会社として発展してくださることを期待い たします。今後も優れた技術とサービスを継続提供していただき、弊社のセキュリティへの取り組みをご支援ください。

 

今日は貴重なお話を有り難うございました。

導入事例 – すずしろ薬品 (仮名) [PDF: 1,941 KB]

取材日時 2005/12

ページの先頭へ