ミッションクリティカルな金融業界に多くの顧客情報を持つソリューション・プロバイダ、ニイウス コーでは、個人情報の定期監査のイニシアティブを取っているのは「品質管理部」である。2002 年 12 月には、SE サービス活動において ISO9001/2000 を取得し、その後も継続承認を受けている同社では、個人情報の適切な管理は、SE 活動の品質を左右する要因の 1 つと考えている。システム管理部 増野信路氏 (写真) と、広報室 小林真知子氏に詳しく聞いた。
- まず、ニイウス コーの業態についてお話しいただけますでしょうか?
弊社は、金融系の企業をメイン顧客とするソリューションプロバイダです。金融系システム、すなわちお金を扱うシステムは極めてミッションクリティカルなものであり、ここで高品質の SE サービスを提供するには、高い技術のみならず、正確かつ秩序だった業務遂行、つまり業務がマネジメントされている状態が必要になります。こうした認識に立った弊社では、2002 年 12 月には、全システム部門の SE サービス活動において、品質マネジメントの国際標準規格である ISO9001/2000 を取得、その後も継続承認を受けています。また SE 業務の品質マネジメントには、SE が保有する個人情報のマネジメントも含まれます。ですから、P-Pointer による個人情報の監査は、結局、SE 業務の品質管理の一環と言えます。実際、弊社では、P-Pointer による定期監査は、「品質管理部」がイニシアティブを取って行っています。
- ニイウス コーでは、個人情報管理について、具体的にどのような取り組みをしているのでしょうか
弊社の個人情報管理の取り組みは、2004 年 7 月に、セキュリティ委員会を設置したことから始まりました。これは翌年 2005 年 4 月 1 日の個人情報保護法の全面施行をにらんでのことです。具体的な活動内容については、委員会設立の 2 年前、2002 年に取得した ISO9001/2000 品質マネジメントの PDCA マネジメントシステムが適用可能であると考え、まず以下のような活動を実施いたしました
P-Pointer による個人情報の定期チェックは、上記のうちの「個人情報資産登録の実施」に含まれるものです。
- 個人情報監査ツールとして、P-Pointer を選択した理由は何だったのでしょうか?
製品としての質の高さが主な理由です。具体的には以下の 3 点になります。
(比較検討した他製品の中には、装備しているのは、解析 (検索) エンジンのみで、辞書はユーザが自分でカスタマイズしなければならないという製品もありました)
- 現在の運用体制は?
現在は、社内に 2 基あるファイルサーバの内容を定期監査しています。サーバ容量は、2 台あわせて数テラバイトの規模となり、収納されているファイルも数十万個に及びます。サーバ内は、部門ごと用途ごとに数十のフォルダに分かれています。各フォルダには管理者が割り当てられており、アクセス権も分別管理されています。P-Pointer による監査では、これら各フォルダの中に、どんな個人情報がどんなファイル形式でいくつ存在しているのかを調査しています。
- 監査結果はどのようにフィードバックしているのでしょうか?
ファイルサーバは、いわゆる「社員共用の情報共有スペース。汎用ファイル置き場」ですが、しかしどんなファイルでも無造作に置いてよいというわけではなく、特に個人情報を含むファイルについては、品質管理部への申請した物のみを置いてよいという運用になっています。P-Pointer が発見した個人情報入りファイルのうち、もし、未申請の物があった場合は、あらためて申請を行うよう、フォルダ管理者に促します。こうして、「会社として把握できていない個人情報ファイル」が、共有ファイルサーバに置かれることのないように図っています。
- 現在の P-Pointer の使用感はいかがでしょうか?
全体として非常に使いやすいシステムであり、まずは期待通りの働きです。細かい部分では、いろいろ改善要望もありますが、要望に対するレスポンスも素早く、バージョンアップ等で適宜改善していただいております。ちなみに、P-Pointer を選択した理由として、「日本のメーカーであるならば、外資系に比べて、レスポンスの速さ、柔軟性で優れているだろう」という推測があったのですが、その期待通りです。
- 次に行ったこと、あるいは決めたことは何でしょうか。
この後の施策として、プライバシー・マークの取得などポリシー系、資格系の活動を行うか、それとも情報システムの導入などの SI 系の活動を行うが、2 つの分かれ道がありました。弊社としてはいろいろ考えた末、SI 系の活動に力を入れることにしました。支店が多く人も散らばっている弊社の業態の場合、やはり決めごと、決まりごとの強化よりも、「システム」を構築したほうが、実際の効果が高いと思われたのです。
- 今後の P-Pointer への要望はございますか?
現在は、その時その時の個人情報の有無、すなわち「個人情報のストック」を監査するシステムですが、将来的には、「時系列の中での個人情報の増減」、すなわち「ある時期の中で、どんな個人情報がどこで、どのぐらい、増えたり減ったりしているのか」というフローの管理もできるようになってくれると有難いですね。弊社では、冒頭にも述べたとおり、コンプライアンス規程に基づいて個人情報を適切に取り扱うことが企業の重要な社会的責務と考えています。今後も社外の事件事故報道等からも教訓を得た上、脆弱箇所の特定とともに社内セキュリティインフラ強化を実施していき、お客様ごとのセキュリティ要求事項を遵守し、監査する体制を整備していく運びです。このような指針の中で、個人情報の現状把握を実現するシステムとしてのP-Pointer への期待も極めて大きいものがあります。今後も優れた技術とサービスを継続提供してください。宜しくお願いいたします。
承りました。今日は貴重なお話を有り難うございました。
