導入事例 — 横河レンタ・リース株式会社様

棚卸しこそ個人情報管理の不可欠な第一歩

横河レンタ・リース株式会社様

情報システム部

横河レンタ・リースでは、個人情報監査ツール P-Pointer を「個人情報棚卸ツール」と呼んでいる。そのほうが、社内に、作業の内容や重要性が伝わりやすいのだと言う。「個人情報は、法律を遵守した上で、お客様との関係作りのため大いに活用していきたい」と語る情報システム部 岡西晴彦氏は、「そのためには個人情報の定期的な棚卸が不可欠」と続ける。なぜ棚卸が重要なのか、詳しく聞いた。

※本取材は2005年7月に行ったため、旧社名での記載となっております。ご了承ください。

個人情報の監査のことを「個人情報の棚卸」と呼んでいる、その理由

横河レンタ・リースでは個人情報の管理について、どのような考えをお持ちですか?

個人情報は、企業としてのコンプライアンス遵守の観点からも、厳重・適切に管理しなければなりません。しかしながら、法律を守り、管理体制を整えた上でな ら、情報は大いに活用し、お客様との関係を深めていってよい、またそうするべきだと考えています。情報というのは活用しないと意味がありません。活用せ ず、ただ保管するだけなら、いっそのこと廃棄した方が保管コストがかかりません。

 

個人情報保護というと、とかく「萎縮する話」が多いのですが、「決まりを守った上で、大いに活用していく」というのは良く考えてみれば、正論ですね。

もちろん、この正論を実現するには、それにふさわしい管理体制を構築する必要があります。そうした体制を築くには、まず何から手をつけるべきか。色々考え方はあると思いますが、我々としては、まず情報の棚卸を行うことが第一歩だと考えています。

 

なぜそれが第一歩として重要なのでしょうか?

単純な話、個人情報を管理するとか漏洩を防ぐとか言っても、「どんな情報がどこに何個あるのか」を把握しないと手のつけようがありません。ですから、まず棚卸をしないと。

 

確かにそうですね。ところで御社では個人情報の「監査」ではなく「棚卸」という用語を使っているようですが、これはなぜでしょうか。

正式な用語は「監査」なのかもしれませんが、我々は母体が製造業ということもあって、社内では、もっぱら「棚卸」と呼んでいます。P-Pointer が行うのは、「色々な場所に散らばって存在していて、かつ日々の事業活動の中で、増えたり減ったりする個人情報。それを何がどこにいくつあるのかを定期的 に数えること」なので、これは「監査」というよりは「棚卸」と呼んだほうがしっくり来るような気がします。少なくとも我々にとっては、「棚卸」と呼ぶほう が、やることの内容や必要性が、腑に落ちます。

P-Pointer を選んだ理由は、『基礎技術』

P-Pointer を選択した最大の理由は何だったのでしょうか?

他の製品に比べて、P-Pointer の方が、基礎技術で優れていました。そこが最大の理由です。

 

基礎技術と言いますと?

個人情報の検索能力ですね。この種のツールの場合、どれだけ多くの情報を正確に引き抜いてくるかという検索能力が、棚卸の精度を決めます。インターフェースや管理画面などがいくら優れていても、肝心の検索能力が弱いのでは役に立ちません。

 

P-Pointer は具体的に、どのような点で優れていたのでしょうか?

具体的には、種々雑多な形式でファイルに記録されている個人情報の検索能力で相対的に優れていました。他の製品の場合、データベースのような形式が整った データからの情報引き抜きは、問題なかったのですが、Word や Excel に個人が自由記入したような、不規則なデータになると弱かったのです。

 

基礎技術以外の点、例えば導入実績などは選定時にご考慮なさいましたか?

あまり気にしませんでした。個人情報棚卸ツールという分野自体まだ歴史が浅いですし、正直な所、P-Pointer に限らず、どこの製品も実績はあまりないだろうと予想していたのです。しかしながら、技術以外の選定基準を強いて挙げるならば、P-Pointerが国産の製品であることは 1 つのポイントでした。

 

国産だとなぜ良いのでしょうか?

P-Pointer は、発売間もない製品なので、それが現状で完璧であるとは考えにくい。実際、基礎技術はともかく、その他の運用インターフェース面では、運用現場のニーズ にそぐわない仕様も見受けられます。そうした点は、KLabに改善要望事項として提出しており、それに対してはバージョンアップを通じてご対応いただいて います。ですが、こういう話が自然に成り立つのも、国内メーカーならではの話。あくまでも一般論ですが、外資のメーカーの場合、製品への改善要望はなかな か反映されにくい。日本支社のスタッフがいくら熱心であっても、海の向こうの開発元には、意図がなかなか伝わらないことが多々あります。そういう前提を考 えても、個人情報棚卸のような新しいジャンルのツールは、国内メーカーの方が良いですね。その方が共に製品を改善していけます。

社内全体の情報管理体制に、P-Pointer をどう位置づけるか

今後は P-Pointer をどう運用していく予定ですか?

横河レンタリース全国約 20 拠点の約 600 台のクライアント・パソコンすべてに P-Pointer を導入していきます。個人情報の取り扱いについては、名刺の取り扱いも含めて、総合的な運用規準を設けておりますが、P-Pointer は、それら人的運用の補助ツールという位置づけです。

 

「補助ツールとしての活用」ということは、P-Pointer 導入で、全てがシステム化・自動化するわけではないということですね。

別に P-Pointer の性能が悪いから、全部システム化できないとか、そういう話ではありません。いかに高性能のツールがあろうとも、全てをシステム化するのは無理ですし、またそうするべきでもないと思います。

 

「そうするべきでない」と言いますと?

個人情報の管理というのは、社員ひとりひとりの緊張感や心構えなど人的要素が重要です。全部がシステム化・自動化されると、情報取り扱いに緊張感が欠けてくる、気が緩む可能性があります。

 

ですが、人的運用が最重要となると、P-Pointer のようなツールをわざわざ導入することもなく、すべて人的作業で管理するという選択肢もありうる気がするのですが…?

それもちょっと極論だと思います。各社員の心構えが重要なのは当然として、一方では、人間のやることなので、モレやミスが不可欠であることも勘案しなけれ ばなりません。特に棚卸のような正確性が求められる作業を、社員まかせにするのは危険です。どんなに真面目に PC 内を精査しても、どうしても探しモレが生じます。またある時点で完璧であったとしても、その後の業務の中で再び新たな個人情報が紛れ込んでくるでしょう。 それを考えても、「どんな個人情報がどこにどれだけあるか」という棚卸は P-Pointer のようなツールの助けを借りるのが妥当だと考えています。

 

今後、個人情報の棚卸は定期的に行っていく予定ですか?

棚卸である以上、定期的にやらなければなりません。何ヶ月かに一回の割合で、今後も継続していく運びです。現在、弊社では、プライバシーマークの取得に向 けて、準備中です。「P-Pointer を使った定期的な監査 (棚卸) の実施」も、弊社管理体制のアピール要素として活用していくことになるでしょう。

全国 600 台クライアントの情報棚卸のダンドリ

ここまでで理念的な運用方針が分かりましたので、続いて操作レベルの実運用方針について伺いたく思います。御社の場合、現在、全国に約 20 の支店が散在していますが、各支店の情報棚卸をどのように進める予定でしょうか?

ざっと以下の手順で進める予定です。

  1. 例えば A 支店で情報の棚卸をするとして、その場合、まず情報システム部門より、A 支店の社員にメールなどで、「棚卸を開始してください」という呼びかけをする。
  2. 呼びかけられた社員は、共有サーバ上の P-Pointer を起動して自分の PC の個人情報を棚卸する。
  3. 各社員は、自分の棚卸結果を、Web で閲覧し、整理する。(閲覧できるのは自分の PC の棚卸結果だけ)
  4. 本社の情報システム部員は、サーバに集まった各社員の棚卸結果を、レポート表示等を通じて、総合的に把握する。
  5. 棚卸を呼びかけても、やらない社員、忘れている社員がいることがありうる (それが誰なのかは、P-Pointer の管理画面で把握できる)。この場合は、個別で電話するなりメールするなりして棚卸を実行してもらうようにする。

上記の手順を、各支店ごとに行うわけです。

 

ここまでがクライアントの棚卸ですが、サーバ内の情報についてはどのように棚卸する予定でしょうか?

サーバというのは、言い換えれば、「情報システム部の目が届いているマシン」、「社員がモバイルで持ち歩いたりしないマシン」、「外で紛失したり盗難されたりしないマシン」ですので、クライアントとはまた違った指針、方式で、情報管理しています。

 

先ほどお伺いした運用は、各社員が P-Pointer を手作業で起動させるタイプの運用です。一方、P-Pointer の場合、中央の情報システム部から、全国クライアント PC の情報棚卸を自動的に強制実行することも可能です。そうした運用をなさるご予定は?

もちろん、情報システム部から一斉一括で棚卸した方が便利ですし、全国社員の負担も減るので、将来的には、そうしたいと思います。ただ現時点では、その一 斉棚卸が、ネットワークにどれほどの負荷を与えるか未知数なので、まずは様子見です。とはいえ、P-Pointer の仕様を考えれば、収集作業そのものはクライアント PC のリソースを使って行うのであろうから、ネットワーク負荷といっても、最後の結果データを中央サーバに送り込むだけの、いわば小サイズのファイルコピー程 度の負荷のはず。ですから、おそらくは大した負荷もないだろうと、楽観的に予想しています。

今後の P-Pointer への期待

今後、P-Pointer にどのような事を期待なさいますか?

まず P-Pointer の最も良い点である、情報検索能力の高さについては、今後とも、磨きをかけていってください。そこを見込んで導入したのですから、この点が他製品に劣って いくようだと困ります。一方、運用管理に関する仕様については、いくつか改善していただきたい点があります。これについては今後とも『前向きな提案』をさせていただきますので、国産メーカーとして、ぜひ前向きにお応えいただきたいと思います。今後も、P-Pointerには、弊社の個人情報管理の要である「定期的な棚卸」において大いに活躍していただかねばなりません。そのためにもぜひ技術やサービスを継続的に改善してください。期待しております。

 

承りました。今日は貴重なお話を有り難うございました。

導入事例 – 横河レンタ・リース株式会社 [PDF: 772 KB]

取材日時 2005/07
横河レンタ・リース株式会社

ページの先頭へ