PR

 オーエムシー(OMC)カードは、クレジットカード会員の情報が外部に流出した可能性がある際に、流出元が社内システムかどうかを迅速に判断できる仕組みを開発した。具体的には、顧客データの一部に、同社にしかわからない特殊な情報を埋め込んだ。この仕組みにより、漏洩の抑止と漏洩時の迅速な対処を実現する。

 「提携先などに顧客情報を渡すことは、業務上、日常茶飯事。外に出したデータはコントロールできないため、どうしても情報漏洩のリスクを伴う」。情報システム部長の中山和雄氏は、情報漏洩のリスクをこう説明する。同社では、提携カードを発行する企業に対して、月に1回程度の頻度でデータを受け渡している。また、カード発送用のラベル印刷などの目的で、印刷会社をはじめ、さまざまな業務委託先に顧客データを渡す。しかも、「カードの顧客情報は各社とも内容はほぼ同じ。本当に当社からの情報漏洩か判定が難しい」。

 そこで、提携先などに渡すデータを顧客データベースから抜き出してリストを作成する際に特殊な情報を埋め込むシステムを開発した。具体的には、提携先に渡すリストを識別できる情報を設定し、これをリスト作成時に顧客データに自動的に埋め込む。1回に受け渡すリストには数千件の顧客情報が含まれているが、そのうちの一部にだけ識別情報を追加する。「識別情報は、顧客データから簡単には検出・削除できないようにした。このため、顧客情報を持ち出され加工されても、流出元が社内かどうか判定できなくなる可能性は低い」(中山氏)。

 識別情報は、ダイレクトメール(DM)などのあて名部分に印刷されるため、例えば顧客Aから「不審なDMが来た」と連絡を受けた場合、まずあて名ラベルに識別情報が記載されていないかを確認する。識別情報を確認できれば、元が同社所有のデータであると判定できる。DMに識別情報が印字されていない場合は、顧客Aに送ったキャンペーン情報などを確認し、その顧客の情報が含まれているリストを洗い出す。これらのリストのうち、識別情報を埋め込んである顧客Bに連絡をとり、同様に不審なDMが送られていないかを確認。不審なDMが届いていれば、流出元が同社のデータだと判断できる。

 OMCカードはこのほか、委託先に対して日本クレジット産業協会の「個人情報取扱主任者認定制度」の資格取得を求めるなど、個人情報保護の対策強化に力を入れている。

河井 保博=日経コンピュータ