Home > 特集企画 > 【主要通販各社に聞く】顧客情報の管理体制の現状、漏えい防ぐ各社の取り組みは

【主要通販各社に聞く】顧客情報の管理体制の現状、漏えい防ぐ各社の取り組みは

1-1.jpg
連日、様々なメディアで報道され、世の中に大きなインパクトを与えた通信教育大手のベネッセコーポレーションの個人情報の漏えい事件。顧客情報を大量に保有してビジネスを行う通販実施企業にとっても、決して他人事ではなく、仮に同じ轍を踏むことになればベネッセと同様、顧客からの信用を毀損し、業績面でも大きな打撃を受けることは避けられない。顧客情報の漏えいは企業の存続すら危ぶまれる経営リスクと言える。では通販企業各社の顧客の個人情報の管理体制とは現状、どうなっているのだろうか。有力通販実施企業を中心に匿名で緊急アンケートを行い、外部の業務委託先を含めた通販各社の顧客情報の管理体制の状況を見ていく。
本紙では主要通販実施企業に匿名を条件に顧客情報の管理体制に関するアンケート調査を行い、約30社から回答を得た。質問は大きく「社内における個人情報の管理体制」と「外部の業務委託先における個人情報の管理体制」について。

1-2.jpg
 社内における個人情報の管理体制についてでは、内部からの不正な情報の持ち出しを防ぐための1つのポイントとなる個人情報のデータベース(DB)にアクセスする際の条件、監視体制などについて聞いた。

 「DBにアクセスできる部署や役職は?」については「エンジニア部門、運営部門、管理部門、カスタマー部門と多岐に渡るが、権限を細分化して個別の業務担当毎に切り分けて必要最低限を付与しており、権限管理はエンジニア部門長、管理担当責任者が管理」「業務上アクセスする必要がある部門・従業員にのみ権限を付与。たとえ高位役職者であっても業務上必要ない従業員には権限を設定していない」「大量データのアクセス権限保有は情報システム部門、マーケティング部門など。役職・クラスの仕分けはないが、5年以上勤務者で管理職レベル者。機微情報としてはクレジット部、人事部」などほぼすべての企業で顧客の個人情報に触れることができる従業員を制限していた。

 次に「顧客の個人情報DBへのアクセス権限者にどのような制限を設けているか」を聞いたところ、「執務エリアへの入室にはセキュリティカードのほか、静脈認証による制限を設け、物理的なデータベースはクラウド及びセンター管理となっている。アクセス環境はパスワード管理の他複数の制限を設定、社外からのアクセスにも制限を設けている」「個人情報にアクセスできる端末は設置場所を固定し、監視カメラによる監視・記録。データの作成・修正・削除はIDによる作業者の記録を残す」「入退室記録、電子カードキー施錠、2人以上で入室、監視カメラ。ログ記録、月1認証」など各社、様々な制限をかけて個人情報のアクセス時に制限をかけているようだ。

 さらに「DBにアクセスする条件を設けているか」との問いには「特別な条件はない」とする回答も目立ったが「特定の端末からしかアクセスできないようになっている」「踏み台サーバを設け、そのサーバを経由しないとデータベースにアクセスできないようにしている。また、利用可能なIDを制限している」。

 また、「DBへの異常なアクセスが発生した際、それを感知する仕組みを導入しているか」との問いには「異常な処理があると、アラートが上がる仕組みを導入」「DBへのアクセスは権限を付与された人のみに限られており、権限外の人がアクセスすることはできない。また、アクセスについては監視を行い、特定の人が必要以上にアクセスを行っている場合は本人へ確認を行うルールになっている」など二重三重の監視体制を敷いているところもあった。

 なお、個人情報を扱う部署においてログ管理ソフトの導入の有無については、回答に応じた企業のおよそ半数の企業が導入。また専用ソフトが導入していなくともアクセスログ、ログイン情報を管理・確認できる体制を整えて、定期的にログをチェックしていると回答した企業は7割程度となっている。

1-3.jpg
外部委託先のチェックは?

 社内の個人情報の管理は万全でも外部の業務委託先では安全は担保できるのか。今回のベネッセの情報漏えいも外部の業務委託先で発生した。一定の管理体制が担保される自社とは異なり、やはり委託先の外部では管理体制が甘くなる可能性もある。とは言え、一定規模の企業の場合、業務量が多く、自社ですべての業務を行うことは現実的ではない。実際にアンケートでも「個人情報を取り扱う業務について、外部委託しているか」と尋ねたところ、「データベースの管理」「主に倉庫の出荷業務」などほぼ9割の企業で何らかの業務を外部委託しているとの回答があった。

 では、外部委託先で安全を担保するにはどうすればよいのだろうか。外部委託先の選定やセキュリティ体制のチェックがポイントになりそうだ。そこで「委託先選定時にセキュリティ面を考慮しているか」を尋ねたところ、「情報セキュリティマネジメントシステムの認証やプライバシーマークの取得など形式的要件はもちろん、過去の取引実績などセキュリティや個人情報管理における信頼性を確認」「チェック項目を設け、プライバシーマークの取得有無の確認や守秘義務契約等の契約を取り交わしている」「直接会社に訪問しセキュリティに対する対策を確認。また、プライバシーマーク取得や個人情報保護方針なども確認」「取引開始に先立ち、個人情報の管理状況について審査をするとともにNDA、JISQ15001の要求内容を満たす個人情報保護に関する契約書を締結」とセキュリティ面で委託先選定時に特定の基準を設けているとほとんどが回答した。

1-4.jpg
 その上で「外部委託先へのセキュリティ面のチェックは?」については「ネットワーク・PCのウイルス・不正アクセス対策等の基本的なセキュリティ面の確認、事業所の視察、実作業者との面談などを行っている」「選定時に委託先内におけるセキュリティや個人情報管理の体制について報告・説明を求めるほか、選定後は、日々の業務において担当者による定期的な連絡・確認を継続的に行っている」「個人情報保護に関するチェック項目を設定し、業務開始前にチェックしている。同様の手続きを定期的に実施し、適切な運用が為されていることを確認している」などを行っているようだ。また、「顧客情報DBを外部の委託先に渡す際の安全管理体制は?」ついては「データをCD―Rで手渡し、使用後は回収して廃棄」「物流・コールセンター関連は専用回線を敷設。DM発送などで媒体等使用する場合、受け渡し書類に署名・捺印の上、受け渡している。使用後は回収し自社で処分」などの対応をとり、委託先でも情報漏えいリスクを軽減しているようだ。

 各社とも様々な対策を講じて個人情報の管理体制を整えているようだが、ベネッセの事件を考えるとこれで万全ということはなさそう。常に見直しを行っていくことが情報漏えいを防ぐ唯一の方法と言えそうだ。

1-5.jpg
ラック・西本取締役に聞く、通販企業は何を注意すべきか

ベネッセコーポレーションの事件を受けてクローズアップされたセキュリティー問題。個人情報を大量に扱う通販事業者は何を注意すべきなのか。ラックの西本逸郎取締役最高技術責任者に聞いた。
    ◇
 個人情報を大量に扱う通販事業者にとって、考えられるリスクとは。

 「リスト屋に顧客のデータが流れ、それを元に電話がかかってきたり、ダイレクトメールが来たりという場合、ほとんどは内部からの情報持ち出しだ。クレジットカード情報の流出はサイトのぜい弱性を突かれて外部から侵入されたのが原因であることが多い。最近では、他社から流出したIDとパスワードを組み合わせて不正ログインを試行する『リスト型攻撃』も流行している」

 「さらに、注意しなければいけないのは、オンラインバンクによる不正送金だ。社内でオンラインバンクを利用する端末がウイルスに感染すると、大きな被害にあってしまう。訪問者の多い情報サイトや通販サイトに、こうしたウイルスが仕込まれている可能性もあり、閲覧者が感染して不正送金被害にあう。中小通販企業の場合、大したセキュリティー対策をしていないのは攻撃者側も承知しているので、ターゲットとなっている可能性が高い。そのため、Webが改ざんされ踏み台になる脅威だけではなく、不正送金の脅威を考えると、スタッフの休憩時間におけるウェブ閲覧にも注意する必要がある」
 
 サイト運営や個人情報の管理を外部に委託している場合、何を注意するべきか。

 「何か起きた場合でも、自社の責任は免れないことを自覚すべきだ。委託先にコストダウンを要求すればモラルダウンを起こしやすい。事業者にとって、精度の高い顧客データの保有には大きな価値がある。それを経営者が認識しているか。価値を維持するためにはどうすればいいのかを考えなければならない」

 委託先はどんな基準で選ぶべきか。

 「社長を含めて信頼できるかということに尽きる。データの価値を分かっていないところには預けるべきではない。従業員満足度はどうなのか。業務行うのは正社員か、派遣やアルバイトなのか。定着率はどうなのか、などを知る必要もある」

 ログ管理ソフトを導入している場合、どの程度の頻度でチェックすべきか。

 「特別な権限を持つ人間の行動のチェックから始めるのが良い。例えば、大量のデータを『抜ける』権限など、データを読み取れる権限の人と、システム管理者の権限を持つ人の行動を徹底的にトレースするべきだろう」

 事故に備えて、どのようなリスク管理をすべきか。

 「個人情報を持つのはリスクが高いと考えるのであれば、楽天市場のような仮想モールでのみ商売を考えるべきだし、そうでないのなら会社の財産としての情報管理を徹底する覚悟が必要。データが持ちだされてライバル企業に漏れたら、だけではなく通販サイトの場合、価値の多くは個人情報になるはずである。それに備えて、マニュアル化しておくなどの対策が必要である。例えば、自社の顧客情報であることを証明するためのダミーデータや目印を入れておけば、裁判所を通じてリスト屋やライバル社から自社のデータを取り返すこと可能性が出てくる。つまり、顧客情報を秘密情報にまで昇華させなければ、本当の保護は出来ない。21世紀はデータの時代だが、データに対して『我が社はこう対応する』と腹を決めて臨むことが重要だ」


Trackbacks:0

TrackBack URL for this entry
http://www.tsuhanshinbun.com/mtos-admin/mt-tb.cgi/2632
Listed below are links to weblogs that reference
【主要通販各社に聞く】顧客情報の管理体制の現状、漏えい防ぐ各社の取り組みは from 通販新聞

Home > 特集企画 > 【主要通販各社に聞く】顧客情報の管理体制の現状、漏えい防ぐ各社の取り組みは

Amazon出品サービス
Search
Feeds

△ ページtopへ