導入事例 — アステラス製薬株式会社様

持ち出しPCの紛失・盗難等のリスク払拭

アステラス製薬株式会社様

総務部

アステラス製薬株式会社 総務部 課長 山方氏に、個人情報探査サービス(富士通エフサス社が提供する、P-Pointerを利用した個人情報探査サービス、以下P-Pointer)について、詳しくお聞きしました。

※個人情報探査サービスとは
富士通エフサス社がP-Pointerを利用して行うサービス。PC内に存在する個人情報を含むと推定されるデータを洗い出し、分析レポートにて報告するもの。

アステラス製薬の概要

アステラス製薬について教えてください。

アステラス製薬は、2005年4月1日に山之内製薬と藤沢薬品の合併により発足しました。
医療用の医薬品を中心に製造販売と輸出入を行っており、日本発の研究開発型グローバル
製薬企業と自負しています。
従業員数は約1万7000名、国内外に85社のグループ会社があります。また、2013年3月より
本社を移転します。

2006年よりP-Pointerを利用、以降7年間 毎年1回実施

アステラス製薬では、P-Pointerをどの様に活用していますか。

アステラス製薬では2006年より、P-Pointerを利用した個人情報探査サービスを導入し、以降毎年1回実施しています。最近では2012年12月に実施しました。 初回はPCを社外に持ち出す機会が多い営業系社員を中心に選出した250名を対象に実施、2回目以降は1500名を対象に実施しています。前々回からは、営業系社員だけでなく、内勤社員の比率を高めるなど、毎年実施内容を工夫しています。

MRなど営業系社員が主に個人情報を取り扱う

アステラス製薬の個人情報対策の取り組みについて教えてください。

アステラス製薬が発足した2005年4月1日は、奇しくも個人情報の保護に関する法律(個人情報保護法)が完全施行された日でもありますが、発足前の法制化以前から個人情報保護については、トップも含め高い意識を持って取り組んでいます。具体的には、保護法をベースに、それをひも解く内容のマニュアルやレギュレーション関係を整備してきています。

個人情報の取り扱いですが、PCへの保存は一切NGの企業もあると聞いていますが、弊社も個人情報(顧客やビジネスパートナーの名簿、リストなど)の保存はNGです。それ以外の情報に関しては、業務上で何らかの必要性が生じた際のPCへの一次保存までは禁じていません。ただし、その場合でも使用後にサーバ移管或いは削除・破棄するまでが業務と考えています。

 

アステラス製薬で個人情報を取り扱う方は、どんな職種・部門の方になりますか。

個人情報を取り扱うのは、主にはMRなど営業系社員が中心になります。内容は、医療関係者や取引先(医薬品卸売会社社員など)に関連した個人情報です。また、一般の方から医薬品についてのご相談をお受けする部門もありますので、そこで得る情報は個人情報として適切に取り扱っています。 研究開発や製造部門は、営業部門に比して個人情報を取り扱う機会は少ないです。

PCに関する情報のセキュリティリスクからP-Pointerを採用

 P-Pointerを採用された背景について教えてください。

PCのセキュリティをテーマに、当時の部長と担当者が組んで、PCに関する情報のセキュリティリスクについてまとめていました。その際に、個人情報が保管された状態でPCそのものを紛失したり盗難にあうリスク、それが原因で個人情報が流出してしまうリスクへの懸念が浮き彫りにされ、対策ツールを探していました。

そんなときに富士通エフサスよりP-Pointerを利用した個人情報探査サービスをご提案いただき、採用を決めました。

 

P-Pointerを採用された理由を教えてください。

採用の理由としては、下記の要件をすべてクリアしていたことが上げられます。

  1. 個人情報を含むと推定する機能、辞書・データベースが優れており、調査に関する細かい要件設定ができること。
  2. PC利用者に影響が出ないよう、短時間で調査できること。
  3. PCそのものは利用者が各職場で使用しているので、リモート調査が出来ること。

調査2週間前に全社員にメールで通知

具体的な実施手順についてお教えください。

調査の2週間前に全社員を対象に、調査の実施をメールで通知します。 内容は、

  • P-Pointerによる調査を実施すること
  • 実施期間
  • 対象となるドライブ(具体的には、Cドライブ・デスクトップ・ゴミ箱)
  • 対象となるファイル(具体的には、MicrosoftR OfficeR:WordR、ExcelR、PowerPointR、PDF、メールソフト、名刺管理ソフト、圧縮ファイル等)

調査期間は約1週間ですので、その間にPCを社内ネットワークに接続した際に、リモートで調査が実施されます。また、数は少ないのですが、営業系社員で出張などが続き、期間内に社内ネットワークに接続していない社員には直接連絡を取ることもあります。

この調査自体が、社内イベントの1つのように社員からは認識されていますので、特に抵抗感はありませんね。

 

最初から調査そのものに抵抗感を示す社員の方はいなかったのですか。

最初の頃は多少の抵抗感を覚える社員がおり、問い合せもありました。プライバシーに関連する個人情報、つまり人事考課などを見られるのではないか、といった懸念です。 これは利用者に負担をかけないことの裏返しで、どこまで見られるか心配だったのでしょう。

私たちの説明不足もあったと思いますが、目的は個々人のファイルの中身を見ることではなく、個人情報が含まれているファイルの有無を確認することにあります。先のように案内メールで、対象となるドライブやファイルの種類もお伝えしていますので、現在では、そういった問い合せはありません。

 

対象となる社員の方はどうやって選ぶのでしょうか。

あくまでもランダムにピックアップしています。対象の方には告知していませんから、社員は誰が調査対象となったのかは、わかりません。 第1回はMRを中心にPCを外部に持ち出すことがある営業系社員250名が対象でした。 2回目以降は1500名の社員を対象に行っていますが、対象社員の選び方がランダムであることは変わりません。

対象については、毎回見直しを行っています。前々回からは内勤の方も対象に加え、約4割程度を内勤社員としました。また、今まで一度も調査対象とならなかった方、逆に前回も調査対象となった方、というように、初めて調査に参加する社員の状況の把握、前回調査との経年比較の分析も出来るようさまざまな工夫をしています。

情報管理の意識を持てば、業務効率が上がる

活用後の効果について教えてください。

まず弊社では抜き打ちでは調査を行いません。2週間前に告知をして、社員に改めて情報管理の意識を持ってもらった上で実施しています。ですので、情報管理のあり方について、ルールに則って行えば、業務効率が上がるということを実感してもらえているのではないかと思います。
逆に面倒くさいから、という理由で情報管理をないがしろにしていると、間違った資料を使用するなどのトラブルが起きるかもしれません。情報管理をきちんと行えば防げるトラブルもあるということを認識していただきたいですね。

また、職場全体で、情報管理の意識を共有していただく、考えてもらう機会にもなっていると思います。例えば、弊社ではファイルサーバーというツールは各部署に提供していますが、使い方は各部署に一任しています。中にはうまく共有されていないケースもあり、使い方を見直す機会にもなっていると思います。

 

具体的な部分ですが、実際に多くの個人情報をPCに保存していた社員にはどの様に対処しているのですか。

今回の調査から、事前に「一定数以上の個人情報を持っていた方には改善をお願いします」と告知の際に明示しました。

実際に持っていた社員に対しては、上司とともに約1時間の面談を実施するとともに、改善計画書を提出してもらっています。以前も著しく多い方には同様の対応を行っていましたが、中にはなぜ調査で自分がピックアップされたのか、わからない方もいらっしゃいます。結果を提示すると驚かれる方も大勢いました。数値の把握は目安であり、きちんと情報管理を意識して欲しいというメッセージなのです。

さらに適正レベルを高めていきたい

今後の展望についてお教えください。

「社員のための調査、であることが社員に伝わっています」

回を重ねる毎に弊社が設定する適性レベルをクリアする社員が増え、現在は60%を超えています。この数値は既に上限ではないかという意見もありますが、さらに高まるように、努力をしていきたいと考えています。

私たちは会社の情報は最大限活用して欲しい。逆に不要な情報については捨てていただきたい。情報は資産ですから、いらないものは不良資産なんです。使い終わったら捨てるところまでが仕事。そうした意識に徐々に変わってきていると実感しています。

 

astellas_pic_01

 

調査の運営も含め、スムーズに実施されていると思いますが、ポイントはどこにあるとお考えですか。

決してペナルティを与えることを意図してではなく、社員の皆さんを守るために調査を実施していることを伝えています。 「社員の皆さんを守るため」ということを社員が理解してくれていることがポイントだと思います。

 

P-Pointerについての期待、リクエストがありましたらお願いします。

今後も P-Pointerを利用した個人情報探査サービスは毎年実施していく予定ですので、新しい角度での分析のアドバイスなど、宜しくお願いします。

 

本日はお忙しい中、貴重なお話をありがとうございました。

取材日時 2013/2
アステラス製薬株式会社
掲載の会社名、サービス名は各社の商標、商標登録です。

ページの先頭へ