1998年という非常に早い時期に個人情報の取り扱いを再検討する気運が高まった三井住友カード。各部にコンプライアンス委員を配置して厳しいチェック体制を築くなど、先進的な対策を次々と打ち出している。
金融業界初のプライバシーマーク取得 1999年にプロジェクトをスタート
VISAジャパングループの中核的役割を担う三井住友カードは、 2003年3月末時点でカード売上高3兆355億円、会員数1,212万名を達成。名実ともに国内有数のクレジットカード会社としての地位を確立している。
個人情報の保護に対する取り組みの重要性は、他社に抜きん出て、非常に早い時期から認識されていた。1998年には、各部署で取扱法について再検討する必要があるのではという声が高まり、1999年にはプロジェクトチームが発足。社員が閲覧する顧客情報をいかに最小限にとどめるかなどの試行錯誤をスタートさせた。こうした中、プライバシーマークの存在を知り、「社内の取り組みを客観的に評価するために、また、個人情報の保護を徹底させるための手段として」(信用企画部 昆 剛之介氏)、2000年より同マークの取得に向けた活動を開始。2001年4月にクレジットカード業界では最も早く認定を受けるに至った。
先例がほとんどない中、2000年6月にはプライバシーポリシーを策定。社内の周知を図るとともに、会員に対しても年に1回、利用明細を送付する時に宣言文を同封している。
ポイントは徹底したチェック体制 部ごとに専門委員を設置して研修を実施
個人情報の管理責任者は、企画部コンプライアンス統括室の室長が務めており、信用企画部がその補佐役として社内体制の整備に当たる。また、部ごとに配置されたコンプライアンス委員が、教育やチェック体制の強化を推進し、コンプライアンスの徹底を図っている。
それでは、社内教育と個人情報の取り扱いに対するチェック体制の概要を説明しよう。
教育には大きく2つの流れがある。ひとつは、年に1回、全社員に対して行われる1時間程度の研修である。すでに3回を実施、今年で4回目を迎えるこの研修では、年ごとに定めたテーマに沿って、個人情報保護の重要性や、情報が漏えいした場合の責任問題、業務上で実際に情報を取り扱う際の注意点などについての講議を行う。講師は顧問弁護士が務めることもあれば、外部から適任者を招くこともある。
2つ目は、各部で行われる月2回の研修である。同社では、コンプライアンスおよび個人情報に関する研修を、それぞれ月1回開催している。前者については、コンプライアンス委員が年頭に活動目標や教育目標を策定する。また後者については、企画部コンプライアンス統括室が年間カリキュラムを決定し、教材を作成した上で各部に研修の実施を促す。研修終了後には小テストが用意されており、各自が到達レベルを確認できるようになっている。また、研修に欠席した場合には、その後、自分がどのような学習をしたかを報告することが義務付けられており、定められたカリキュラムをひとりでも終えていないと、その部はその月の研修が終了したとは認められない。
2003年1月からは、それまで紙ベースだった社員の教育状況データをデータベース化。社員一人ひとりのIDにより、全社員の進捗状況を把握できる体制を築いた。さらに、コンプライアンス統括室でチェックリストを用意。「個人情報はカギがかけられるところに保管したか」などの質問項目を用意し、月に1度、各人がこれに記入してコンプライアンス委員へ報告する。監査部によるチェックも実施されているという。信用企画部のグループマネージャー 須沢洋氏は、「すでに個人情報の保護が必要不可欠であるとの認識は浸透した」と明言する。今後は、その理解をより深めるために、粘り強い啓蒙活動と実質的なチェック体制をさらに強化したい考えという。
コールセンターでIC認証 担当任務のフロア以外は入出禁止 派遣社員にも意識向上を求める
それでは、実際にデータを取り扱う際に留意されている点を挙げてみよう。
まず顧客データへのアクセス権について。顧客データは閉鎖されたシステムの中で管理されているが、部レベル、部内の班レベル、さらには役職レベルの3種類で、これへのアクセス権を細かく制限。ID、パスワードにより業務上必要な情報のみの閲覧しかできないようにしている。それ以外の情報は画面にポップアップされない仕組みだ。パスワードは6カ月に1度の変更が義務付けられている。
さらにインターネットメールでの情報の取り扱いが正しく行われているか、また、「誰が、どこに、どのようなファイルを送ったか」についても各部の担当者が毎週チェックする体制となっている。例えば重要文書などの添付ファイルを送信する際には、パスワードを入力しなければファイルを開けられないような措置を取ることが求められているが、こうしたルールが守られているかを確かめるのである。
eメール、そしてDMの管理はすべて自社内で実施。顧客データについてはすべて自社のコントロール下に置いている。
顧客情報を頻繁に扱うコールセンターにおける取り組みも進む。
同社では今年7月に、大阪市に900席規模のコールセンターを新設。個人情報の保護・管理の徹底を目指す「ベストコンプライアンス」をクオリティマネジメント目標のひとつに据えた。オペレータには派遣社員も含まれるが、全従業員にIC機能付きの社員証カードを配布。コールセンターが入居するビルへの入館チェックに加え、業務フロアへ入る際にもICカードを使ったチェックを実施している。業務フロアへは入館チェックが済んでいないと入室できない上、自分の担当業務フロア以外へは入室できないようにした。また、オペレータがCTIシステムを利用する際には、ICカードとパスワードによる本人認証を行い、本人以外はCTIシステムを利用できない。データ保存や紙媒体への出力も制限し、情報が外部へ持ち出されるリスクを排除している。
また、加盟店支援のために提供しているDM発送サービスにおいては、①一定の選定基準を設ける、②対象顧客の抽出・発送はすべて同社で行う、などの措置を講じている。DM発送においては属性だけでなく、利用額や百貨店利用もしくは通販利用があるかどうかなど、きめ細かなデータ分析により対象顧客を抽出。確実な効果へとつなげている。
個人情報保護への取り組みの中核的な役割を担う、企画部 コンプライアンス統括室の山井英也氏は、「情報の保護に合格点はない。 PDCA(Plan-Do-Check-Act)のサイクルを繰り返すことによって、常に先駆者の地位であり続けることができるよう努力したい」と抱負を語り、さらなるレベルアップを目指すことを宣言している。
