情報セキュリティ

顧客情報を安全に管理するために。気をつけるポイントやおすすめツールを紹介!


shutterstock_8684872

情報管理の中でも、特に気をつけなければいけない顧客情報

最近も、2017年4月25日に大手チケット販売会社がクレジットカードの番号など、およそ15万件の顧客情報を流出させるなどして大きな問題になっていました。実際に起きてからでは遅い、顧客情報の漏洩。

顧客情報を適切に管理をするために気をつけるべきことを、事例を参考にしながら紹介していきます。

※「まもりの種」は保護(まもる)くんの日本パープルが運営しております。

顧客情報を流出させてしまった、A社の再発防止策に学ぶ

shutterstock_359459864

実際に顧客情報を流出させてしまったA社の例を挙げて考えてみましょう。

A社は顧客情報データベースの管理を外部企業に委託していましたが、委託先で働く派遣社員によって不正に顧客データが持ち出されてしまいました。

この事件によって、データを持ち出した派遣社員は逮捕。しかし、およそ3500万件分にものぼるA社の顧客データが流出し大きな問題になりました。A社は事件を受け、再発防止策を以下のように定めたのだそうです。

①電子機器や記録媒体の持込みについては、私物のPCを含むすべての電子機器や記録媒体の持ち込みを禁止し、金属探知機で検査するとともに、監視カメラも導入する。
②データの書き出しについては、最新のスマートフォンを含むすべての外部メディアでできないようにする。
③顧客情報データ取り扱い時のアラートについては、アラート機能を設置する。
④アクセスログ(接続履歴)については、定期チェックを行い監視を強化する。
⑤データベースの保守・運用については、外部に業務委託することをやめ、新たに設立する子会社のみで行う。
⑥情報セキュリティーの社内体制については、第三者機関がデータ管理などを定期的に監査し、情報管理を含む内部統制・監査の責任者である執行役員クラスを外部から招く。
出典「企業情報管理実務マニュアル」長内健、片山英二、服部誠、安倍嘉一著

上に書かれた再発防止策を見ると、情報漏えいを防ぐためにはセキュリティ体制をより強固にすることが重要であることが見てとれるでしょうか。

情報漏洩の原因の多くはヒューマンエラーによるものなのは事実ですが、対策を立てるためには従業員の教育以上に、人がミスをしても情報漏洩が起こらない環境づくりをすることが大切なのです。

対策1:システム監視の強化

shutterstock_600324077

前の章で、情報漏洩を防ぐための環境づくりをしていくことが大切だと言いました。ここからは、顧客情報を流出させないために企業がとるべき有効な対策を紹介します。

1つ目の対策は「システム監視の強化」。誰かが不法にシステムに侵入したときにすぐ分かるよう、監視を強化するようにしましょう。

ログを記録しておくことによって、不正アクセスがあっても「どの端末からどのデータにアクセスしているか」一目瞭然。監査体制を強化することによって、情報に不正アクセスすることの重大さを社員に認識させることもできるでしょう。

対策2:情報の暗号化

shutterstock_455231542

2つ目の対策は「情報の暗号化」です。

暗号化とは、データをそのままの状態から他人に見られても内容が分からない状態にすることを指します。データをもとに戻すためには、暗号化の際に使った“暗号鍵”を使わなければならないので、この鍵さえ外部に漏れなければデータが読み取られる心配はないのです。

暗号化についてもっと知りたいという方は、こちらの記事を参考にしてみてはいかがでしょうか。

対策3:情報漏洩防止ツールの導入

shutterstock_515725240

最後に紹介する対策は「情報漏洩防止ツールの導入」です。セキュリティが強固で有用なツールを3つ紹介するので、興味があるものがあれば導入を検討してみてください。

①ファイルの失効で、外部に閲覧されるのを防ぐ!「秘文 Data Protection」

shutterstock_538204816

最初に紹介するのは、「秘文 Data Protection」(株式会社日立ソリューションズ)

このツールの特徴は、何と言っても「失効」機能がついていること。作成者の意思によってファイルを閲覧できなくすることができるのです。

つまり、たとえ情報が外部に漏れてしまっても作成者の権限で手元を離れたデータの閲覧権限をなくせば、もう誰もそのデータを見ることはできません。漏洩の2次拡大を防ぐのにうってつけのツールと言えるでしょう。

②現状把握→分析→対策の流れを作ってサポートしてくれる!「LanScope Cat」

shutterstock_447027070

続いて紹介するのは、「LanScope Cat」(エムオーテックス株式会社)

富士キメラ総研による「2016 ネットワークセキュリティビジネス調査総覧」の「IT資産/PC構成管理ツール」分野において、12年連続トップシェアを獲得(2015年度)したツールです。

このツールを使えば、社内すべてのパソコンを把握(現状把握)→ログを分析してリスクを把握(分析)→セキュリティ対策の実行(対策)の流れを作って、組織的なセキュリティ運用をしてくれます。

非常に高いシェアを誇るツールなので、安心して導入することができるでしょう。

③あらゆるセキュリティ対策をトータルサポート!「InfoBarrier」

shutterstock_540149260

最後に紹介するのは、「InfoBarrier」(株式会社富士通アドバンストエンジニアリング )

社員のモラル向上に頼るのではなく、PCや外部媒体の利用を統制・管理することで機密情報の流出を阻止すると明言しているサービスです。

ネットワーク利用のリスク対策、誤操作・不正操作のリスク対策、データ持ち出しのリスク対策、端末運用のリスク対策など、あらゆる面からリスク対策をしてくれるので、トータル的に情報セキュリティ対策をしたいと考えている企業の方は、検討してみてもいいかもしれません。

起こってからでは遅い顧客情報の流出。企業は早急な対策を

shutterstock_553135891

顧客情報は、自社の情報以上に管理に気をつけなければならないもの。

顧客からの信頼を1度失ってしまうと、回復するまでに多大な月日がかかってしまいます。テレビや新聞のニュースで出るような大事件を起こす前に、今一度社内のセキュリティ体制を見直してみてはいかがでしょうか。