導入事例 — 楽天生命保険株式会社様

属人的な管理からの脱却

楽天生命保険株式会社様

IT運用部/IT企画部

楽天生命保険(旧:アイリオ生命保険)は、情報セキュリティにおいては、個人情報を「適正に利用・管理しているつもり」になっていることが一番危険だと考え、属人的な管理ではなく、P-Pointerで管理(検出)する手法を採択した。
P-Pointer選定の経緯や運用方法について、アイリオ生命保険 IT運用部 大岩氏 徳田氏、 IT企画部 斉藤氏に詳しく聞いた。

※本取材は2010年11月に行ったため、旧社名での記載となっております。ご了承ください。

アイリオ生命保険の概要

アイリオ生命保険について教えてください。

楽天生命保険はアイリオ生命保険として、2008年に営業を開始した生命保険会社です。 シンプルでわかりやすい、お客様に本当に必要な保障を、できるだけ安価で提供できるよう日々チャレンジしています。

P-Pointerをどのように利用しているのか

アイリオ生命保険ではP-Pointerをどう活用していますか。

アイリオ生命保険では、P-Pointerを使って、「クライアントPCに個人情報データが保存されていないかどうか」を調べています。検査対象PCは、東京本社および、全国にあるサテライトのクライアントPC、約350台です。

クライアントPCの個人情報データチェックは、これまでは従業員による手作業チェック(および報告)という形で行っていましたが、お預かりしているお客様の個人情報の取扱いに関して、より厳格な運用を確立するべく、今回、P-Pointer導入に至りました。

rakuten_pic_02

 

アイリオ生命保険がクライアントPCに保持している「個人情報」とは、どのようなものですか。

一般社員のクライアントPCには、「送付状作成時の差し込み印刷に利用するお客様情報」「電話連絡のためのお客様情報」「取引先の情報」などが保持される可能性があります。

P-Pointerを導入した背景

個人情報検索ツールの導入を決めた経緯を教えてください。

アイリオ生命保険では、個人情報の取り扱いにはこれまでも万全の注意を払ってまいりました。しかし、情報セキュリティにおいては、「適正に利用・管理しているつもり」になっていることが、一番危険だと考え、属人的な管理ではなく、ツールによる管理(検出)を行うべきだと考えました。アイリオ生命保険のご契約者が今後、増えていけば、扱う個人情報の量もそれに比例して増大します。ツールによる管理を行うのはよい機会だと考えました。

個人情報検出ツールを検討した5つの要件

個人情報検出ツールの候補製品を比較検討する際、何を要件にしましたか。

個人情報検出ツールを選定した際の要件は、5点ありました。

  1. 各クライアントPCの利用者が自分で検出作業を実行できること(利用者の意識向上)
    システム管理者やプログラムが、いつの間にか検出作業を行ってしまうツールでは、個人情報を適切に管理しようという意識が薄れてしまう場合もあります。そのため、各クライアントPCの利用者が自分で実行できるツールであることが第一の要件と考えました。
  2. 検出作業の結果がその場でクライアントPCに表示されること
    検出作業を行ったあと、すぐに、わかりやすく結果が表示されるということも重要だと考えました。そうすれば、すぐにその場で、必要のないデータやファイルを整理できるからです。
  3. 処理スピードが速いこと
    検出作業に時間がかかり過ぎるようでは、業務に支障が出てしまいますし、検出作業自体が面倒になってしまいます。チェックするディスク容量やファイルの数によって変わると思いますが、できれば数分以内に作業が終了するものを導入したいと考えました。
  4. 検出できるファイルの種類が多いこと
    特別なデータやファイルは取り扱っていませんが、Microsoft WordやMicrosoft ExcelをはじめテキストファイルやPDFファイルの検索はもちろん、パスワード付きのファイルをリストアップしてくれる製品がいいと考えていました。
  5. ライセンス体系やコスト感が合っていること
    個人情報検出ツールは、関連するすべてのクライアントPCに導入しなければ意味がないので、ライセンス体系や導入コストなどが当社の条件、予算枠の中であてはまる製品を選択しました。

 

rakuten_pic_03

P-Pointerの選定理由 - 処理スピードや実際の使い勝手

P-Pointerを選択した理由を教えてください。

P-Pointerは、各クライアントPCで実行され、その場ですぐに結果を確認できます。また、検出できるファイルの種類も豊富で、結果データも一元管理できるので、当社の求めた要件をクリアしていました。

また体験版を利用してみて、処理スピードや実際の使い勝手を確認できたことから、とても使いやすく、利用者が戸惑うようなことはないだろうと考えました。実際、金融機関など個人情報保護の重要度が高い企業での導入実績も豊富だということで、信頼性が高く、安心して導入できると判断しました。

また当社の顧客管理、運用業務においてサポートいただいているアグレックス社からP-Pointerを紹介いただいたことも、一つの選定材料となりました。

アグレックス社とKLab社が個人情報漏洩対策ソリューションで協業関係を築いていることも本タイミングで知りました。

P-Pointerによる個人情報検出の実施手順

個人情報の検出作業を実施するにあたり、準備したことなどはありましたか。

導入にあたり、以下のような役割を決めました。

【IT運用部】実施責任部門…2名
【IT企画部】ツール管理(条件設定など)…1名/データ集計…1名

 

 個人情報の検出作業を実施するにあたり、準備したことなどはありましたか。

検索対象領域やファイルの種類、個人情報を特定するための辞書の選定を行いましたが、初回でしたので、基本的にはKLab社の推奨値で実施しました。

 

rakuten_pic_01

 

社内にはどのように告知しましたか。

所属長に対して、P-Pointerを実行し、検出された個人情報ファイルの削除と移動を行ってもらうよう、導入目的とともに説明を行い、その後、メールと社内の掲示板で告知しました。

rakuten_pic_04

 

検出作業を実行してもらった後、何か反応はありましたでしょうか。

なぜこんなことをやらなければならないのか、というような否定的な反応は1つもありませんでした。逆に検出される件数などを従業員同士で確認しながら、か なり真剣に実施した部署などもありました。それだけ使いやすく、結果がすぐ出ることで、個人情報に対する興味喚起ができた結果ではないかと考えています。

一方、こんなファイルは検出の対象となるのか、パスワード付きのZIPファイルが数多く検出されたけれど、どうすればいいのかといった問い合わせはありました。しかし、このような反応は予想していた範囲内だったので、問題なく対応することができました。

 

未実施者への催促などは行いましたか。

部門長会議で、未実施者がいる部室の所属長に実行のお願いをしました。

 

結果データなどはどのように活用しているのでしょうか。

まだP-Pointerを使った全社的な検出作業は1回しか行っていないので、時系列での比較などはできないのですが、どういった情報が結果データとして取得できるのかは分かりましたので、これから分析していきたいと考えています。

P-Pointerの導入効果

P-Pointerで個人情報の検出を行った効果はどうでしょうか。

個人情報の検出はこれからも継続していく作業と考えていますが、検出作業を行うことで個人情報を含めたデータやファイルを整理するいいきっかけとなることは間違いないと思います。

また当然、これまで気がつかなかった個人情報ファイルがクライアントPCの中にあることに気がついた従業員もいると思います。

今後の要望と期待

今後の期待や要望などあれば、お聞かせください。

P-Pointerの機能や性能に関してはとても満足していますが、結果データを利用し、過去の検出結果と比較するなどさらに細かい分析をし、効果測定ができる機能があればよいと思います。
またKLabは、いろいろとユニークなツールを提供しているので、P-Pointer以外の提案や新しいツールの提供を期待しています。

 

お忙しいところ、貴重なお話をありがとうございました。

取材日時 2010/11
楽天生命保険株式会社
掲載の会社名、サービス名は各社の商標、商標登録です。

ページの先頭へ