PR

顧客情報や顧客から借りた実データを守る――。大塚商会の100%子会社であるオーエスケイは,この難題に取り組み,個人情報保護体制を敷いた。業務用パッケージや受託システムの開発を手がける同社にとり,顧客の機密保護は重要な課題。2000年10月には,日本情報処理開発協会から個人情報保護の“証”である「プライバシーマーク」を取得。労力を費やしたのは,ルールの整備,社内規定の見直し,マニュアルの作成,社員に対する周知徹底など,実に泥臭い部分だった。

(実森 仁志=hjitsumo@nikkeibp.co.jp)

写真1●プライバシーマーク使用許諾証
付与認定されると,許諾証に記載されているプライバシーマークを利用できるようになる。
 業務上接する顧客の個人情報をどう守るか――。業務用パッケージや受託システムの設計・開発を手がけるオーエスケイ(OSK)は,この難題に直面していた。販売促進部ITコンサルタント課の係長である小林 健氏は,「コンサルタントの職務上,顧客の機密情報をどう扱うかは重要な課題。顧客から機密情報の扱いについて質問される機会も多い。自社の方針を社外に明示し,社内でも個人情報の取り扱い方を明確化する必要性を感じた」という。

 そこで同社は,顧客と自社の個人情報を保護する体制作りに乗り出した。2000年問題が一段落した2000年3月に検討を開始。折しも,米国では著名なWebサイトが次々に攻撃を受け,国内では官公庁のWebページが改ざんされるなど,インターネットやWebサイトの世間的な信頼を揺るがす出来事が相次いでいた。

 「今後は,従来の事業に加え,ASP事業や情報セキュリティ・コンサルティング事業,教育事業などを展開する。顧客の個人情報と接する機会が従来以上に増え,個人情報保護の重要性はますます高まる」(取締役社長,原田 要市氏)。従来の事業を成長させ,新事業を軌道に乗せるため,個人情報保護は避けられない課題だった。

個人情報保護の“証”を取得

 同社は,社内に個人情報保護規定を作り,個人情報を保護するための体制を整備。2000年10月4日には,通産省の外郭団体である日本情報処理開発協会(JIPDEC)から「プライバシーマーク(Pマーク)」を取得した。

 Pマーク制度は,まだ一般には耳慣れないが,JIPDECが98年に発足させた制度で,個人情報保護体制を定めたJIS Q 15001(日本工業規格「個人情報保護に関するコンプライアンス・プログラムの要求事項」)に準拠した事業者を認定する。簡単に言えば,個人情報を保護するために十分な管理体制を整備・維持している組織にPマークの利用を許可するもの(写真1)。

図1●OSKが採用した個人情報保護体制
個人情報保護規定上の役割と,機密管理規定や情報システム安全対策基準上の役割は,本来別個のものである。OSKでは,個人情報保護を機密管理や情報システム安全対策の一領域として捉え,運用が軌道にのるまでは双方の役割を同一人物が兼務するようになっている。また,個人情報の保護体制は組織横断的な「プロジェクト」であり,必ずしも人事組織上の上下関係にとらわれていない。たとえば,システム監査責任者やシステム監査担当者は,監査の中立性を厳守するため,個人情報を扱うことがほとんどない部署から選出されている。

 Pマークを取得するには,(1)情報システムのアクセス制御に代表されるセキュリティの維持,(2)個人情報を記録した紙やコンピュータなどの物理的な保護,(3)周知徹底するための社員教育,(4)これらを運用し監査する体制の整備(図1[拡大表示]),などが必要となる。「Pマークを取得する企業は,社内体制の整備に平均1年ほどの時間をかけている」(JIPDEC)。

守るべき情報の選定が第一歩

 3月にPマーク取得を目指して検討を始めたといっても,実際には,即座に運用体制の整備が始まったわけではなかった。「最初に考えなければならなかったのは,どの部署にある,どのような個人情報を保護するべきなのかを洗い出すこと」(販売促進部 取締役 兼 機密管理責任者 兼 個人情報保護管理者 佐藤 憲一氏)。さらに,対象となる個人情報を保護することによって,どのようなリスクと効果が生まれるのか,という点も重要だった。

 発案者の小林氏をはじめとするプロジェクト・メンバーは,約2カ月をかけ,保護すべき個人情報を洗い出した。分析の結果,それを6種類に分類した。(1)業務用パッケージを購入した顧客の個人情報,(2)委託システムの開発またはテストに際して顧客から貸与された個人情報,(3)Webサーバーやセミナーなどを通じて収集した個人情報,(4)コンサルティング業務によって知り得た個人情報,(5)ASP事業や教育事業などを通じて知り得た個人情報,(6)社員の個人情報,である。この時点でようやく,個人情報保護体制の整備が本格的に始まった。

物理的な管理体制を整備

 6項目のうちで特に重要性が高かったのは,すでに同社が過去の業務で蓄えてきた(1)と(2)の機密情報である。具体的に見てみよう。

図2●OSKにおける個人情報の流れ
現在のOSKで保護すべき個人情報は主に,(1)顧客となった,またはなり得る個人の情報,(2)法人が導入したOSK製のシステム内に含まれた個人の情報,(3)社員の個人情報,の3つである。上の図は,このうち(1)における個人情報の流れを示したもの。(2)や(3)の個人情報,さらには今後の事業で取得する可能性のある個人情報もあるため,実業務の流れはもう少し複雑である。

 まず,(1)の業務用パッケージを購入した顧客の個人情報。従来の体制にはいくつかの問題点があった。ユーザー登録はがきなどの管理が完全ではなく,業務用パッケージの種類やバージョンごとに別々のデータベースで顧客情報を管理していたのである(図2[拡大表示])。

 登録はがきの管理については,ワークフローを見直した。この問題は,システム化で解決するというより,むしろ物理的な管理や社員の意識改善が重要だからである。具体的には,誰がいつ何枚のはがきを受け取ったのか,その情報を誰がいつデータベースに入力したのか,そのはがきを誰がいつ倉庫に移動したのかを,台帳に記録するようにした。登録はがきを机の上に放置することもなくした。すぐに情報を入力できない場合は,カギのかかる机の引き出しに収める。これにより,「登録はがきを紛失したり,情報を間違えたりする事故がなくなった」(販売促進部 販促課 SEマネージャー 兼 社員教育責任者 兼 顧客窓口責任者,笹原 直樹氏)。

 複数のデータベースが存在する問題は,顧客データベースを1つにまとめ,従来のデータベースを破棄することで対処した。実は,データベースの一元化は,2000年問題に関するサポート情報を提供するために,99年に実施済みだった。それに加えて,「業務に関係ない社員がシステムを利用できないようにアクセス制御を施し,利用者のユーザー名やIPアドレス,利用した時間帯を容易に確認できるようにシステムを変更した」(笹原氏)。

 もちろん,物理的なセキュリティにも配慮した。従来,データベース・サーバーは業務用PCと同じようにオフィス・スペースに置かれており,誰でもアクセスできた。個人情報保護の観点からは避けたい環境である。そこで,データベース・サーバーをカギのかかる管理室に移動し,併せて入退室管理を実施するようにした。

 さらに言えば,データを消失してしまう危険に対する対策も施した。データベースをバックアップしたときにログにエラーが記録されていないかどうかを調べ,その完全性を検証するようにしたのである。バックアップ処理は,ネットワークのトラフィックが増大したなどの理由でエラーが生じ,不完全なまま終わることがある。従来は,この問題に気付かないまま見過ごしてきた。完全性を検証するようになってから判明した事実である。

写真2●機密情報を廃棄するためのゴミ箱
カギが付いており,簡単には開けられないようになっている。

預かったデータの扱い方も一新

 次に,(2)の委託システムの開発またはテストに際して顧客から貸与された個人情報の保護を見てみよう。

 受託システムの場合,顧客が業務で利用している実データを使って開発やデバッグを進める機会が多い。もちろん,これらは顧客の機密情報にほかならない。当然,顧客に対する守秘義務がある。ところが,従来は個々の担当者が個人のデスクトップPC上で管理するなど,管理体制はあやふやだった。第三者にデータを盗み見られたり,データを複製されたりといった危険性を打ち消せなかった。

 対策は,すべてのデータを共通のサーバーに置くことと,「いつ,誰が,どんな媒体で,どんなデータを受け取り,どう管理し,どう返却または破棄したか」を管理することだった。まず,Windows NTで構築されたファイル・サーバー上に,担当開発者とその上司だけが知る「隠し共有」を作成し,顧客の全データを保存する。隠し共有は共有フォルダの一種で,Windowsの[ネットワークコンピュータ]などを使っても表示されない。通常のアクセス権の設定に加えて隠し共有を利用することで,担当外の顧客のデータは存在することすらわからない。

 顧客の実データを光磁気ディスクや磁気テープなどの物理媒体で受け取った場合には,その媒体管理にも気を配る。顧客に返却する必要があるものはカギのかかるロッカーで管理する。OSKが破棄する場合はカギをかけた「機密箱」(写真2)に入れ,指定の業者に溶解処分を委託するという念の入れようである。単なる不燃ゴミや事業ゴミと区別し,2カ月に1回程度の頻度で業者が回収して溶解処分する。回収業者も溶解業者も,OSKが実地調査して信頼できる業者を選び,守秘契約を結んだ。

絶え間ない教育で意識を変える

 とはいえ,新しいルールを正しく運用するには,多くの困難がつきまとう。現にOSKでも,Pマーク取得に至る過程でさまざまな不満が噴出し,なかにはルールに違反する社員も現れた。解決策は,プロジェクト・メンバーが「悪者」となって「しつこく注意すること」しかない。「いわば,“しつけ”ですから」と佐藤氏は言う。プロジェクト・メンバーが中心となり,社員教育をくり返し,啓蒙を続けた。「闇雲にルールに従わせるのではなく,理由や重要性を理解させた。最初のうちは不満も出たが,1~2カ月もするうちに,新しいルールに慣れ,不満の声は自然と減った」(笹原氏)。

 Pマークは取得すればそれで終わりというものではない。「むしろ,難しいのは,作ったルールを維持することと,時代に即した形に見直していくこと」(佐藤氏)。Pマークに2年間の有効期限があるのも,体制を維持しながら状況の変化に対応しているかどうかを定期的に審査するためである。体制を維持するために,OSKはこれから先も定期的に社員教育を続ける。

 OSKでは今後,より確実に個人情報を保護するため,各フロアの入退室を電子的に管理するなど,セキュリティ・レベルを向上させる。また,自社でPマークを取得した経験を生かし,すでに実施中の「Pマーク取得支援サービス」にも力を入れる。「Pマークはすべての企業に必要となるものではない。だが,顧客の個人情報を蓄積するような事業を展開する企業や事業部は,取得を検討してみると良い。一般に個人情報保護やセキュリティ維持というと,とかく高価で大げさなソリューションを想像しがちだ。しかし,セキュリティ機構の充実したインテリジェント・ビルではなくとも,運用面を工夫すればPマークに相当するセキュリティ・レベルを保つことはできる。当社はその見本だ」(佐藤氏)。