導入事例 — 株式会社協和様

P-Pointerを使って「個人情報が存在しないはず」のパソコンを検査しました。まず現実を直視し、その上で正しく対処すべきと考えたからです

株式会社協和様

情報システムチーム

株式会社協和 金ヶ崎繁一 氏、上間秀美 氏にP-Pointer File Security(以下 P-Pointer)を導入した経緯とその効果について詳しく聞きました。

協和について

株式会社協和は、プラセンタを主力とした化粧品・美容健康食品のブランド『fracora』を展開する製造販売企業です。通信販売をメインにしており、プラセンタ商品売上げNo.1(※1)を5年連続で獲得しています。年商189億円、従業員97名。創業 昭和35年。

※1: H・Bフーズマーケティング便覧2014~2018 No.2 2012~2016年商品実績 (株)富士経済
※2:この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています

全社のパソコンとサーバを、P-Pointerを使って検査

協和では、P-Pointerをどう活用していますか。

弊社はお客様に商品を安心してご購入、ご利用いただけるよう、顧客個人情報の保護に力を注いでいます。その取り組みの一環として、2017年にP-Pointerを全社導入しました。個人情報検査の概要は次のとおりです。

クライアントパソコンのほか、ファイルサーバに対しても、年に3回、P-Pointerを使って個人情報の検査を行っています。

「防止と確認」の両方を重視

今回、P-Pointerを導入した経緯を教えてください。

2015年より「協和PMS(個人情報保護マネジメントシステム)構築・運用プロジェクト」に取り組んでいます。2017年度、2018年度は、「防止」と「確認および対処」を取り組みの主軸としました。

 

今回のプロジェクトでは、個人情報漏洩の「防止」と「確認と対処」の両方を重視しました。セキュリティのPDCAサイクルを適切に回すには、「防止、管理」だけでなく、「把握、確認、対応」が必須だからです。

この「確認」について経営層からは、「社員パソコンに個人情報ファイルが混入していないかどうか、フォルダを目視確認してでも徹底的に調査せよ」と求められました。

しかし手作業による確認作業は、手間と実効性の両面で非現実的です。やはりソフトウエアを使って確実かつ定期的に検査するほうが望ましい。そんな構想を念頭に調査していたとき、セキュリティ製品の展示会でP-Pointerを見つけました。さっそく詳しい説明を聞き、その後、評価版を使うなどしました。その結果、P-Pointerは、私たちが求める要件を非常によく満たしているソリューションだと分かったのです。

個人情報検出ソフトウエアに求めた要件

具体的にどんな要件を求めたのでしょうか。

今回、導入する個人情報検査ソフトウエアには次の5つの要件を求めました。


  • 【基礎性能、実績】
    - 「パソコン内の個人情報を確実に検出できること」


  • 【検査レベルの調整】
    - 「検査レベルの段階的引き上げ」


  • 【検査ポリシーの一元管理】
    - 「『え、これ個人情報だったの?』の追放」


  • 【簡単な操作、動作の高速性】
    - 「社員の仕事のじゃまにならないように」


  • 【検出後の対応の自由度】
    - 「対処の選択肢が豊富であること」


「あらゆる個人情報を検出したい」

要件1.「基礎性能、実績」とは。

個人情報検出ソフトウエアには「あらゆる個人情報」を確実に検出できることを求めました。あらゆる個人情報とは、具体的に住所、氏名、電話番号、メールアドレス、クレジットカード番号などです。この基礎性能を裏打ちする、「大手企業への十分な導入実績」も重視しました。

「検査レベルの段階的引き上げ」

要件2.「検査レベルの柔軟な設定」とは。

個人情報検査は、検査レベルを段階的に調整(引き上げ)して行うのが良いと考えました。弊社では次のような形で検査しています。


  • 【1回目】
    「個人情報を十数件以上保有する場合のみ検出」のような緩い基準で検査
  • 【2回目以降】
    「個人情報を1件~数件含んでいるだけでも検出」のような厳しい基準で検査。

つまり初回の検査で、大量の個人情報が入った「リスト、名簿」などを、まず一掃し、2回目の以降の検査で、それ以外のファイルを見つけていくわけです。こうしたメリハリある検査を実現するためにも、個人情報検出ソフトウエアには、「検査レベルを柔軟に調整できること」を求めました。

「『え、これ個人情報だったの?』を追放したい」

要件3.「検査ポリシーの一元管理」とは。

社員は「自分のパソコンには個人情報などないはず」と思っている人が大半です。それでも今回の検査では個人情報ファイルが検出されました。「まさか、これが個人情報だとは思っていなかった」という感想もありました。

このように人間の判断基準はまちまちであり、個人まかせでは「ヌケ、モレ」が必ず生じます。これを防ぐためにも、個人情報検査の基準はシステムを使って全社統一、一元管理することが必要です。

「社員の仕事のじゃまにならないように」

要件4. 「簡単な操作、動作の高速性」とは。

社員の業務時間は「顧客への貢献」のために使われるのが望ましいといえます。その原則が阻害されないよう、新たに導入するシステムには「操作が簡単で動作が高速なこと」を求めました。特に今回は従業員各人のセキュリティ意識を向上させるために、P-Pointer操作ボタンは「従業員が自分で押す」ことにしています。それを考えても、導入するシステムは必ず使いやすいものである必要がありました。

「対処の選択肢が豊富なことが重要」

要件5.「検出後の対応の自由度が高いこと」

今回の検査では、検出された個人情報ファイルの処理は、「社員各自で行う」ことにしました。原則は「削除」ですが、どうしても必要なファイルについては、「情報システム部門と対処方法を協議」も可能です(※)。

とはいえ、この方針は今後、変わる可能性があります。将来は「検出した個人情報ファイルはファイルサーバにいったん強制移動」という方針にするかもしれません。P-Pointerは、ファイル検出後の対応について「何もしない」「移動」「削除」、「スクリプト起動」など様々な対応が可能です。こうした対応の自由度の高さは重要です。

※ この運用方針をとった場合、「パソコンに個人情報が残り続ける」ことを意味します。しかしその「残ったファイル」はその後の定期検査で必ず検出されます。したがって、「うやむやのうちに、パソコン内に個人情報が残り続ける…」という事態は生じません。

 


以上、5つの要件をもとに各製品を比較し、最終的に最も要件をよく満たしたP-Pointerを採用しました。2017年8月のことです。

P-Pointer導入をどのように進めたか

P-Pointerの導入および最初の検査はどのように進めたのでしょうか。

まず社内向けに説明会を行いました。このとき「P-Pointerのインストールと検査は『社員各自』で行う」という方針も伝えました。こうした方針を伝えるのは、若干の勇気を要します。

しかしこのときはその場でP-Pointerのインターフェース画面を社員に見せて「字が大きい、表示が分かりやすい」「操作は簡単、押すだけ」というメリットをアピールしたこともあり、社員の反応は良好でした。字が大きいというのは案外、有効です。

最初は「一般執務エリア」の社員 数十名を対象にテスト検査を行いました。11月に「検査を行ってください」と社員に告知、依頼し、2ヶ月後には全社員が検査を終えました。検査の進捗状況、つまり「全体のうち何人が検査を終えたか」は、P-Pointerの管理画面を使って一元把握しました。

検査の結果、「当初、予想していたより多くの」個人情報ファイルが検出されました。やはり個人情報は、「いくら気をつけても、結局はどこかに紛れ込むものだ」と改めて実感しました。

このあと全体会議の場で社員全員に、今回の第一次検査の結果を報告します。その際は、P-Pointerから出力したレポートも活用します。

先行ユーザーからのアドバイス

 現在、P-Pointerの導入を検討している企業に向けて「先行ユーザーとしてのアドバイス」などあればお聞かせください。

今回の検査では、社員のひとりから「どうしても検査結果をゼロにしたかったんです。ひたすらパソコンから個人情報ファイルを削除しました。最後に『検出ゼロ』の表示が出たときは気分が良かったです」とコメントがありました。

セキュリティ施策は、社員の業務が増えるため敬遠されがちです。しかし個人情報検査には、実はパソコンから個人情報を一掃したときの「きれいサッパリ感」「安心感」があります。社内浸透の際は、この感覚を社員に体感してもらうのがよいと考えます。

今後の期待

アララ、P-Pointerへの今後の期待をお聞かせください。

協和では今後とも引き続き、お客様に喜ばれる商品をお届けしていきます。また安心してお買い上げいただけるよう、個人情報の保管についても万全を期する所存です。アララにはそうしたセキュリティ向上の取り組みを、優れた技術、製品、サポートを通じて後方支援いただくことを希望します。今後ともよろしくお願いします。

※ ホームページ

こちらの導入事例を含め、ダウンロードいただける資料を用意しております。

ページの先頭へ