楽天生命保険株式会社様

※本取材は2010年11月に行ったため、旧社名での記載となっております。ご了承ください。

アイリオ生命保険では、個人情報の取り扱いにはこれまでも万全の注意を払ってまいりました。しかし、情報セキュリティにおいては、「適正に利用・管理しているつもり」になっていることが、一番危険だと考え、属人的な管理ではなく、ツールによる管理（検出）を行うべきだと考えました。アイリオ生命保険のご契約者が今後、増えていけば、扱う個人情報の量もそれに比例して増大します。ツールによる管理を行うのはよい機会だと考えました。

個人情報検出ツールを選定した際の要件は、5点ありました。

1. 各クライアントPCの利用者が自分で検出作業を実行できること（利用者の意識向上）
   システム管理者やプログラムが、いつの間にか検出作業を行ってしまうツールでは、個人情報を適切に管理しようという意識が薄れてしまう場合もあります。そのため、各クライアントPCの利用者が自分で実行できるツールであることが第一の要件と考えました。
    
2. 検出作業の結果がその場でクライアントPCに表示されること
   検出作業を行ったあと、すぐに、わかりやすく結果が表示されるということも重要だと考えました。そうすれば、すぐにその場で、必要のないデータやファイルを整理できるからです。
    
3. 処理スピードが速いこと
   検出作業に時間がかかり過ぎるようでは、業務に支障が出てしまいますし、検出作業自体が面倒になってしまいます。チェックするディスク容量やファイルの数によって変わると思いますが、できれば数分以内に作業が終了するものを導入したいと考えました。
    
4. 検出できるファイルの種類が多いこと
   特別なデータやファイルは取り扱っていませんが、Microsoft WordやMicrosoft ExcelをはじめテキストファイルやPDFファイルの検索はもちろん、パスワード付きのファイルをリストアップしてくれる製品がいいと考えていました。
    
5. ライセンス体系やコスト感が合っていること
   個人情報検出ツールは、関連するすべてのクライアントPCに導入しなければ意味がないので、ライセンス体系や導入コストなどが当社の条件、予算枠の中であてはまる製品を選択しました。
    

P-Pointerは、各クライアントPCで実行され、その場ですぐに結果を確認できます。また、検出できるファイルの種類も豊富で、結果データも一元管理できるので、当社の求めた要件をクリアしていました。

また体験版を利用してみて、処理スピードや実際の使い勝手を確認できたことから、とても使いやすく、利用者が戸惑うようなことはないだろうと考えました。実際、金融機関など個人情報保護の重要度が高い企業での導入実績も豊富だということで、信頼性が高く、安心して導入できると判断しました。

また当社の顧客管理、運用業務においてサポートいただいているアグレックス社からP-Pointerを紹介いただいたことも、一つの選定材料となりました。

アグレックス社とKLab社が個人情報漏洩対策ソリューションで協業関係を築いていることも本タイミングで知りました。

導入にあたり、以下のような準備をしました。

役割分担
【IT運用部】実施責任部門…2名
【IT企画部】ツール管理（条件設定など）…1名／データ集計…1名

検索対象領域やファイルの種類、個人情報を特定するための辞書の選定を行いましたが、初回でしたので、基本的にはKLab社の推奨値で実施しました。
 

所属長に対して、P-Pointerを実行し、検出された個人情報ファイルの削除と移動を行ってもらうよう、導入目的とともに説明を行い、その後、メールと社内の掲示板で告知しました。

なぜこんなことをやらなければならないのか、というような否定的な反応は1つもありませんでした。逆に検出される件数などを従業員同士で確認しながら、か なり真剣に実施した部署などもありました。それだけ使いやすく、結果がすぐ出ることで、個人情報に対する興味喚起ができた結果ではないかと考えています。

一方、こんなファイルは検出の対象となるのか、パスワード付きのZIPファイルが数多く検出されたけれど、どうすればいいのかといった問い合わせはありました。しかし、このような反応は予想していた範囲内だったので、問題なく対応することができました。

部門長会議で、未実施者がいる部室の所属長に実行のお願いをしました。

まだP-Pointerを使った全社的な検出作業は1回しか行っていないので、時系列での比較などはできないのですが、どういった情報が結果データとして取得できるのかは分かりましたので、これから分析していきたいと考えています。

個人情報の検出はこれからも継続していく作業と考えていますが、検出作業を行うことで個人情報を含めたデータやファイルを整理するいいきっかけとなることは間違いないと思います。

また当然、これまで気がつかなかった個人情報ファイルがクライアントPCの中にあることに気がついた従業員もいると思います。

アイリオ生命保険では、P-Pointerを使って、「クライアントPCに個人情報データが保存されていないかどうか」を調べています。検査対象PCは、東京本社および、全国にあるサテライトのクライアントPC、約350台です。

クライアントPCの個人情報データチェックは、これまでは従業員による手作業チェック（および報告）という形で行っていましたが、お預かりしているお客様の個人情報の取扱いに関して、より厳格な運用を確立するべく、今回、P-Pointer導入に至りました。
 

一般社員のクライアントPCには、「送付状作成時の差し込み印刷に利用するお客様情報」「電話連絡のためのお客様情報」「取引先の情報」などが保持される可能性があります。

P-Pointerの機能や性能に関してはとても満足していますが、結果データを利用し、過去の検出結果と比較するなどさらに細かい分析をし、効果測定ができる機能があればよいと思います。
またKLabは、いろいろとユニークなツールを提供しているので、P-Pointer以外の提案や新しいツールの提供を期待しています。

お忙しいところ、貴重なお話をありがとうございました。