卸会社には、個人情報などほとんど蓄積されないようなイメージがある。しかし A 県を拠点とする医薬品の卸会社「すずしろ薬品 (仮名)」には、実は、相当にシビアな情報が蓄積されるのだという。薬品卸という業態のセキュリティ上の課題、そして P-Pointer の具体的活用手順などにつき、情報システム部の斎藤貴之氏に詳しく聞いた。
- まず「すずしろ薬品」の業態についてお聞かせください
弊社は、A 県を業務エリアとする医薬品卸の会社です。メイン業務は、製薬メーカーから薬を仕入れ、それを A 県内の病院に販売する卸売り業務です。その他、サブ業務としてコンピュータや医療器具の販売も行っています。
- その業態において蓄積される個人情報はどのようなものでしょうか
一般のイメージでは、薬の問屋に個人情報などたまらないと思われるかも知れませんが、そうでもありません。ざっと以下のような情報が日々、蓄積されます。
いずれも非常にセンシティブな情報です。病院の先生方の名簿などは、個人情報を悪用したいと思う側の立場に立てば、「高額所得者名簿」とも解釈できます。また、人工肛門などを弊社から購入したお客様の情報も、病歴が究極のプライバシーであることを鑑みて、これを厳重に保管しなければなりません。
- 「各病院への医薬品の出荷情報」についてはどのように重要なのでしょうか
病院への医薬品の出荷情報は、直接の個人情報ではありませんが、やはり扱いには気をつけねばなりません。例えば、ある重病にしか使われない薬がある病院に出荷されていたとすれば、その情報を元に様々な推測が成り立ちます。病歴に関する情報は、やはり襟を正して扱わねばなりません。
- もし、そうした情報が漏洩したとすれば…
そのような事態はあまり想像したくありませんが、もしそうした事故が発生したとすれば、弊社は、さまざまな形で、社会的制裁を受けるでしょう。最悪の場合、弊社の取引額の相当のシェアを占めている、市立病院など公立病院につき、入札停止などの制裁措置が下ることもありえます。
- 「すずしろ薬品」で、セキュリティ対策を施行しようとした場合の、課題、困難はどのようなものになるでしょうか
ざっと以下の 2 つが挙げられると思います。
- 「すずしろ薬品」が個人情報対策に本格的に取り組むようになったきっかけは何でしょうか。
本格的な取り組みが始まったのは、やはり個人情報保護法の施行をにらんでということになります。まず社内で検討会を立ち上げ、経済産業省のガイドラインをダウンロードして読み合わせてみたり、薬品の卸連の方針を調査したりしました。
- 次に行ったこと、あるいは決めたことは何でしょうか。
この後の施策として、プライバシー・マークの取得などポリシー系、資格系の活動を行うか、それとも情報システムの導入などの SI 系の活動を行うが、2 つの分かれ道がありました。弊社としてはいろいろ考えた末、SI 系の活動に力を入れることにしました。支店が多く人も散らばっている弊社の業態の場合、やはり決めごと、決まりごとの強化よりも、「システム」を構築したほうが、実際の効果が高いと思われたのです。
- どのようなシステムを構想したのでしょうか。
本社に中央個人情報サーバを立てて、いわゆる個人情報、重要情報は、すべてそこに集中保存し、支店のノート PC には保管させないような仕組みにすることにしました。その他、以下のような仕組みを情報システムにより実現しようと考えました。
このような仕組みを、SI 会社に求めたところ、一番の「PC 1 台 1 台の個人情報が管理、把握、確認できる状態を作る」ためのソリューションとして提案されてきたのが、P-Pointer のスポットサービスです。このサービスは、個人情報サーバの構築において積極活用しました。
- どのように活用したのでしょうか
具体的には以下のとおりです。
こうした手順により、中央サーバへの個人情報の移行を行いました。
- このプロジェクトの効果は何になるでしょうか
以下の通り、2 つの面で効果が上がったといえます。
- 1 つ目の効果、「個人情報管理のための「しくみ」が確立した」というのは具体的には?
「個人情報は、中央サーバに集める。ノート PC には残さない」というしくみができたという効果です。精神論ではなく「しくみ」ができたことが大きな前進です。
- 2 つ目の効果、「社員の意識付けの効果があった」というのは具体的には?
社員の情報取り扱いに対する意識レベルが向上したこと。これは地味なようでとても大きな効果です。個人情報の重要さを社員に解らせるには、「訓辞」や「レクチャー」では、効果がありません。やはり、人間は自ら手を動かさないと、意識が変わりません。今回、P-Pointer のようなツールを使って、社員が自分で「手を動かして」、個人情報を中央サーバに移し替えたこと。この「行動」により、社員の情報取り扱いに対する意識、自覚は、大きく高まりました。
- 今回は、P-Pointer のスポットサービス (P-Pointer を短期間だけ使うサービス) をご利用いただき、ワンショットの棚卸を行っていただきました。御社の業態において、この情報棚卸は、一度で充分だと思いますか。それとも、今後も継続していく必要はあると思いますか
私は継続していくべきだと思います。それは、本当のことを言えば、今回の 1 回で情報を整理して、これでもう大丈夫だ、万全だと思いたいですよ。しかし、個人情報というのは、1 回整理したとしても、その後も、各 PC の中で増えたり減ったりするわけで、それを考えると、やはり定期的に棚卸を行い、状況を把握しておかないと、思わぬところで漏れが発生します。また 1 回きりの検査では、社員への意識付けの点で、どうしても弱い。現在の社内には、今回 1 回の検査で個人情報の問題はすべて解決したと思い込んでいるような向きもありますが、のど元過ぎれば何とやらで、この雰囲気も怖い。
現在、P-Pointer のライセンス版については、これを購入の上、個人情報を定期的に棚卸していくことを積極検討中です。
- 今後の KLabに期待することをお知らせください
現状の KLabは、個人情報の棚卸ツールの開発販売の会社ということですが、今後は、リスク対策についての総合システム会社として発展してくださることを期待いたします。今後も優れた技術とサービスを継続提供していただき、弊社のセキュリティへの取り組みをご支援ください。
今日は貴重なお話を有り難うございました。
