導入の背景 | 個人情報ファイルの保管ルールを策定しても、ルールの順守状況を確認できない |
---|---|
導入の決め手 | なるべく社員、そして管理者の作業負荷が軽いツールを探していました |
導入後の効果 | ファイルサーバ内の個人情報ファイル数が3分の1に |
弊社のサービスは、現在、約3,000社を超える企業様に導入いただいています。氏名などの基本情報だけでなく、パスポートや航空券、ビザの情報など様々な種類の個人情報をお預かりしているため、弊社では原則として個人情報ファイルは社員の個人PCでの保管は禁止、保管が必要なものはパスワード設定の上ファイルサーバに保管というルールを定めています。そのルールが果たしてきちんと守られているか、内部監査等でチェックをおこなっていましたが、目視による確認には限界があり、不正アクセスやサイバー攻撃などをはじめとする個人情報漏えい事故への対策を更に強化し厳格に運用するためにはどうするべきかが課題となっていました。
また、弊社の株主で世界最大手のビジネストラベルマネジメント企業であるCWT社からも、GDPR(EU一般データ保護規則)やPCIDSS(カード情報セキュリティの国際統一基準)といったグローバルセキュリティ基準に適応するよう、個人情報管理体制の強化が求められていました。
そこで、セキュリティ対策の第一歩として社員の個人PCやファイルサーバ内にどれくらいの個人情報ファイルがあるのかを数値で把握することができるツールの導入を検討し始めました。
弊社では月に一度「セキュリティDay」というものを設定し、Windowsアップデートや個人PC内のファイル削除作業など、セキュリティに関する取り組みを全社員が実施するように促しています。その取り組みの一環で3か月に一度、全社員が自らP-Pointerを使ってPCの中にある個人情報ファイルを検出する作業をおこなっています。P-Pointerでの検出作業実施後は、社員自ら検出された個人情報ファイルを削除し作業完了報告をチェックリストにて提出してもらうようにしています。通常業務と並行しての取り組みのため、なるべく社員や管理者の負荷が軽いツールということでP-Pointerを選びました。また、P-Pointerは管理者側でも各社員の個人PC内にある個人情報ファイルの所在を確認できる点も、導入の決め手の一つになりました。
導入当初は大量の個人情報ファイルが検出されてしまい、検出されたファイルの対処や社員へのP-Pointerの使用ルール定着に苦労しました。しかし、先述のセキュリティDayを通じて社員にセキュリティ対策の重要性が浸透したこともあってか、P-Pointer導入時の2018年9月と2022年11月の検出結果を比較すると、ファイルサーバ内の個人情報ファイル数がおよそ3分の1まで減少していました。
今では、3か月に一度のP-Pointerでの個人PC内の個人情報ファイルチェックも常態化しており、社員一人ひとりのセキュリティ意識も向上してきているように感じます。
「導入効果」箇所にて、導入当初よりファイルサーバ内の個人情報ファイル量が3分の1に減少したと述べましたが、ファイル数が0にはなっていないのが現状です。そのため、今後はP-Pointerでの検出実施回数を年に1回から2回に変更し、ファイルサーバ内にある個人情報ファイルをより少ない状態にして、個人情報漏えいなどのリスクを低減させていきたいと思っています。また、社員から誤検知(個人情報が掲載されていないファイルが、P-Pointer上にて個人情報ファイルとして検出されてしまう事象)が多いという声もあるため、管理者側で除外ファイルや除外辞書などの設定をおこない、より精度の高い検出結果になるように、工夫していきたいと思います。
\その他の企業セキュリティ向上施策を見る/
国内・海外出張の予約手配から出張後の経費精算に至る出張プロセス全体の一元管理、および最適化をサポートするビジネストラベルマネジメント事業と、経費精算・データ連携ソリューション等の提供している株式会社JTBビジネストラベルソリューションズ。多くのお客様企業の発展を支えています。
(※ この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています)
※株式会社JTBビジネストラベルソリューションズのホームページ
※ 取材日時 2023年8月
アララ株式会社は、皆様からお預かりした個人情報はお客様の大切な財産であることを尊重し、お客様との信頼関係を損なうことのないよう、「プライバシーポリシー」に従って適切な個人情報の保護に努めています。
© arara Inc.