導入の背景 | 個人情報セキュリティ体制の強化の一環として目視監査の不備(弱点)を補いたいと考えていました |
---|---|
導入の決め手 | 「費用」、「検索速度」、「検索対象ファイルの豊富さ」で比較した際、P-Pointerが最も優れていた |
導入後の効果 | 目に見えないパソコンの内部もチェックできるようになった |
※本取材は2008年3月に行ったため、旧社名での記載となっております。ご了承ください。
株式会社 近畿日本ツーリスト東京事務センター(以下 KNT東京事務センター)は、近畿日本ツーリスト・グループ各社をサポートするための会社です。現在の社員数は約200人です。
近畿日本ツーリスト・グループ各社の事務作業のうち、KNT東京事務センターが行っているのは「海外旅行の渡航手続き」、「イベント、コンベン ションのサポート」、「近畿日本ツーリスト・クレジットカードの申込事務」、「旅行積み立ての管理」、「既存顧客へのダイレクトメール発送」、「ホリデイ ツアーの日程表発送」、「旅行の企画データの設定」、「経理審査・精算」、「給与厚生」などです。
近畿日本ツーリストのような旅行会社は、もともと個人情報が集まりやすい業種です。KNT東京事務センターは、その旅行会社をサポートする会社です。日々の業務においては、大量の個人情報を目にします。
具体的にはお客様の、氏名、住所、連絡先、電話番号などの情報を取り扱います。場合によっては、パスポート番号や銀行口座などのクリティカルな情報を扱うこともあります。
このような事業環境にあるKNT東京事務センターが、個人情報セキュリティを強化しなければならないのは、当然のことです。
KNT東京事務センターは、P-Pointer(※)により、社員のパソコン内部に個人情報を含むファイルが存在していないかどうかを調査しています。調査は2ヶ月に一回、定期的に実行しています。
※ 「P-Pointerは2006年6月に200ライセンスを購入しました」
KNT東京事務センターは、2005年に個人情報保護法が施行されることを契機に、前年の2004年から個人情報セキュリティ体制の整備を開始しました。P-Pointerによる個人情報洗い出しは、その体制強化の一環として行っています。
個人情報保護体制の強化のために、最初に行ったことは、「個人情報を保護するための、PDCAサイクル(※)のあるべき姿を明確にすること」でした。コンサルタントなどの指導を受けながら、あるべきPDCAサイクルの姿を、次のような形にまとめました。
以上の行動指針を、KNT東京事務センターとしての、PDCAサイクルを実現するための行動として、継続して行うことに決めました(※)。P- Pointerは、上記の行動リストのうち、5番目の行動「個人情報保護監査の実施」における不備(弱点)を補うために導入しました。
※「その他、近畿日本ツーリストおよびKNT東京事務センターが、個人情報保護のために行っている取り組み」の例を、以下に示します。
まず第一に、お客様が実店舗で旅行のお申し込みをなさったデータは、すべてシステムで自動的に処理されます。人手は介在しません(KNT東京事務センターも介在しません)
また、近畿日本ツーリストのある支店が、既存顧客にダイレクトメール(DM)を出したいと考えた場合も、その支店が直接顧客データを抽出することはできません。必ずKNT東京事務センターなど事務センターに委託しなければなりません。
そうしたDMの発送数が10万件を超えるような場合は、KNT東京事務センターは、別のDM発送業者に発送業務を再委託します。その場合でも、発送先データをCD(DVD)などデータの形で発送業者に渡すことはしません。KNT東京事務センターで宛名ラベルを全部印刷 し、そのラベルの束を発送業者に渡します。
KNT東京事務センターでは大量データを外に持ち出すことができるUSBメモリーの使用をシステム的に制限しています。
近畿日本ツーリストの顧客データベースには、約300万人分のお客様情報(個人情報)が蓄えられています。その顧客データベースへのアクセスには厳重な制限がかけられていて、KNT東京事務センターからであっても、二人しかアクセスできません」
P-Pointerを導入することにより補いたかった弱点は、「目視監査により目に見える不手際はチェックし、是正できる。しかしパソコンの内部は目に見えないので目視監査ではチェックできない」というものでした。
順々にご説明いたします。KNT東京事務センターでは、個人情報保護の管理意識を高めるために、一カ月に一度、個人情報保護体制の監査を、いわゆる「抜き打ち検査」の形で行っています。
その抜き打ち検査の際には、「個人情報を保管するキャビネットにカギがかかっているかどうか」、「ICカードがパソコンに差しっぱなしになっていないかどうか」、「机の上に、個人情報を記載した書類が出しっぱなしになっていないかどうか」などをチェックします。
しかし、こうした抜き打ち検査には、「カギ、ICカード、書類など外部的な(目視可能な)不手際は発見、指摘できる。しかしパソコン内部の不手際は、外からでは目視できないので、指摘できない」という弱点がありました。
この弱点を補うために、パソコン内部の個人情報を検索・発見できるソフトウエアを導入したいと考えました。
その後、雑誌やWeb検索などを通じて情報を集めました。最終的には3製品が候補に挙がりました。
製品を比較したときの基準は、「費用」、「検索速度」、「検索対象ファイルの豊富さ」の三点です。これらの基準で比較した結果、P-Pointerが相対的に最も優れていたので、導入を決定しました。2006年6月のことです。
2006年6月にP-Pointerを導入し、その後、社員にはまず、「(サーバ上の)P-Pointerを起動するためのショートカットを、自分のパソコンのデスクトップに置いてください」と指示しました。
P-Pointer導入に要した手間はこれだけです。P-Pointerでは、クライアントへのソフトウエアのインストールが発生しません。また、P- Pointerの操作画面は、間違えようがないほど単純・簡単だったので、講習会や操作説明会も不要でした。
その後は、2ヶ月に一度、P-Pointerにより、社員(※)が使っているパソコン内部の個人情報検査(情報洗い出し)を行っています。検査の手順は以下の通りです。
各社員は、あらかじめデスクトップの上に置いてあったP-Pointerのアイコンをクリックする。P-Pointerによる個人情報の検索(洗い出し)が開始される。
検索の結果は、P-Pointerの管理コンソールに集まってくる。集まってきた検索結果を基に、「明らかに個人情報が入っているファイル」および「個人情報が入っている可能性が高いファイル(=怪しいファイル)」の一覧表を作る。
次に、それらファイルの内容を目視確認し、個人情報入りのファイルかどうか(クロかシロか)を判定する。こうして「個人情報入りのファイルを自分のパソコンの中に保有していた社員」の一覧が明らかになる。
それら社員の所に出向き、「あなたのパソコンの中に個人情報入りファイルがあることが分かった」と伝えます。そして、それらのファイルを削除するか、あるいは全社共通サーバに移動するか(※)のどちらかを速やかに実行してもらいます。
2006年6月にP-Pointerを導入して以来、こうした個人情報定期検査を、すでに10回以上行っています。最近は、各社員のパソコンからは、個人情報入りのファイルはほぼ見つからなくなりました。繰り返しの検査を通じ、社員に「個人情報を慎重に扱わなければならない」という意識付けがなされたと考えます。
P-Pointerは「検索速度が確実に速くなってきていること」、「検索条件の設定機能が豊富であること」、「導入と操作が簡単なこと」の3点が良いと思います。
第一の良さ「検索速度が確実に速くなってきていること」について。P-Pointerは、導入時に相互比較した3製品の中では、最も検索が速い 製品でした。また、この2年間においても、検索速度は、バージョンアップの度ごとに着実に改善されています。どんどん速くなってきています。
第二の良さ「検索条件の設定機能が豊富であること」について。P-Pointerにおいては、検索機能により、「特定の拡張子のファイルは検査しない」、「システムファイルは検査しない」などの選り分け設定が可能です。選り分け設定画面の操作性が良い。簡単です。
第三の良さ「導入と操作が簡単なこと」について。先ほども述べたとおり、P-Pointerは、クライアントへのソフトウエアインストールが発生しません。また使い方も、間違えようがないほど簡単です。P-Pointerは、購入したその日から使えるソフトウエアです。良いと思います。
KNT東京情報センターでは、2年間にわたりP-Pointerを使って定期検査を実施しつづけてきたことで、「個人情報保護に対する社員の意識の向上」や、「パソコンに個人情報ファイルを置かないという決まりの徹底」などが実現できました。
KNT東京情報センターは、今後も個人情報保護を徹底するためのPDCAサイクル活動を、継続的に行う所存です。 KLabセキュリティには、今後も、製品開発と技術サポートの両面において、倍旧の支援をいただけるよう希望いたします。よろしくお願いいたします。
今日は貴重なお話を有り難うございました。
\その他の企業セキュリティ向上施策を見る/
※ 株式会社KNTビジネスクリエイト (旧:株式会社近畿日本ツーリスト東京事務センター)
※掲載の会社名、サービス名は各社の商標、商標登録です。
※取材日時 2008年3月
アララ株式会社は、皆様からお預かりした個人情報はお客様の大切な財産であることを尊重し、お客様との信頼関係を損なうことのないよう、「プライバシーポリシー」に従って適切な個人情報の保護に努めています。
© arara Inc.