損害保険ジャパンは、今年4月に始まったばかりの「情報セキュリティ監査制度」をすでに導入。自社の体制を客観的に評価することによって、弱点をあぶり出し、さらなる体制の強化につなげている。
情報が漏えいすれば信用とともに莫大な利益を失う
2002年7月1日、旧安田火災と旧日産火災が合併して生まれ変わった損害保険ジャパン(以下、損保ジャパン)は、「情報セキュリティ監査制度」に準拠した監査を実施し、情報セキュリティ対策のより一層の充実を図ろうとしている。同監査制度は今年4月にスタートしたばかりだが、同社においては早くも6月下旬に監査を開始。すでにリポートが作成されている。制度の立ち上げからこれだけ短期間のうちに導入に至った背景、そして同社で現在実施されている個人情報保護への取り組みを紹介しよう。
まず個人情報の管理体制を今一度見直すきっかけとなったのは、さまざまな業種で続発している個人情報の漏えい事件と言える。近年、インターネットの急速な普及と相まって、かつてないほど“プライバシー”の問題がクローズアップされている。個人情報が流出すれば企業の社会的信用が傷つくのは当然だ。それだけでも利益に与えるインパクトは大きいのだが、何百件という情報流出が訴訟に発展すれば瞬時のうちに莫大な経済的損失をも被ることになる。
このような認識から同社は 経済産業省において本年4月1日から運用が始まった、「情報セキュリティ監査制度」 に注目。これはISOの基準に基づいた制度であり、経済産業省に登録された情報セキュリティ監査企業によって自社のシステムの不備を洗い出してもらうことで、より盤石なセキュリティ管理システムを構築することを決めたのである。
外部の目でしっかりチェック 「情報セキュリティ監査制度」の導入
同社の顧客は約1,400万名。その顧客情報の内容は、保険会社という性格上、非常にセンシティブなものである。従って、セキュリティ管理に関しては以前から力を入れてきたが、主に紙が中心の事務系の管理と、システム系の管理は別々に行われていた。そこでまず組織を変更し、今年の4月、「事務企画部」と「IT企画部」を統合して「事務・IT企画部」が発足したのを機に、これまでばらばらに管理されてきた紙媒体およびデータを一括管理する方向で、体制の整備を進めている。事務・IT企画部 リスク管理グループのリーダーである飯田憲氏は次のように語る。
「当社の場合、かなり早くから各部署で個人情報の管理を実施してきたが、やはり全社的に一貫性のある管理体制を構築することが必要。そこでまず、外部の目できちんと社内を見直し、今後具体的に何をしなければならないかを明確にすべきと考えた。それが『情報セキュリティ監査制度』を導入するひとつのキッカケだった」
6月末から外部監査機関による監査を受け入れ、現在、草案の段階だが、報告書が上がってきているという。対象分野は、情報セキュリティ管理の組織体制、個人情報保護の管理体制、情報システムや紙の情報を含む社内の情報資産に対するセキュリティマネジメントなどだが、これらの管理はこれまでどのように実施されてきたのだろうか。
書面とデータ 管理体制の一元化が大きな課題
まず組織体制だが、 以前から内部に監査機能を備え、業務監査部という部署が監査を行ってきた。文字通り各部署の業務を監査するわけだが、その中には当然セキュリティに関することが重要項目のひとつとして入っている。また、全国20カ所に業務管理室があり、営業店でルール通りに業務が遂行されているかどうかをチェックしている。例えば個人情報が記載された紙類は毎日、終業時にすべてシュレッダーにかけて管理職が確認する、というルールがある。「組織体制に不備はなく、業務は確実に遂行されている。管理体制は十分と自負していた」(飯田氏)が、外部監査の結果、「管理において、違反をしていないかといったことをチェックするだけでなく、積極的に推進し、社内的にも情報セキュリティのことをもっとアピールすべき」との指摘を受けたとのこと。
例えば、同社は環境ISOを取得していて、各支社・営業所には「損保ジャパン環境方針」のポスターが貼られている。そして、環境を守るためには何をしなければならないかということを各支社・営業所で話し合って決め、目標を立てて実行している。監査の結果を受けて、「情報セキュリティに関してもそこまでやっているのか、ということを考えさせられた」と、飯田氏は言う。セキュリティという意識が社内全体に浸透してこそ、問題の発生を未然に防ぐことができるのだ。個人情報保護の管理体制に関しては、データへのアクセス権を細かく制限、職位によって閲覧できる情報を限定すると同時に、管理職の承認がなければ顧客データの抽出ができないという規定を設けている。担当者が必要な情報を得るには、まず欲しいデータをオンラインでオーダーし、顧客データを一括して管理するセンターが必要な情報だけを送る仕組みになっている。
また、書面の管理はコンピュータの導入以前からやっていたことであり、体制は整っていたのだが、システム系の管理とはまったく別々に行われているところに問題があった。そこでこれを統合するために、先述した「事務・IT企画部 リスク管理グループ」を立ち上げたのだが、今後はさらに進んで、情報資産の保護という目的の下に、管理体制も完全に一元化することが課題となっている。
セキュリティ管理体制整備は先行投資で進行
最も重要なのは、情報の漏えいが起こらない管理体制、組織体制作りと言える。しかし、人間が介在するだけに、100%問題が起こらない体制を築くことは困難である。従って、万一情報漏れが起きた時にいかに早く発見するか、そして影響が広がるのをいかに抑えるかといった方策は立てておかなければならない。その意味で、一層厳格な危機管理マニュアルの策定も課題のひとつとなっている。
顧客情報、個人情報を徹底的に管理することは企業の使命であり、盛衰に大きくかかわる要素である。「セキュリティというものは今日、明日の利益に直接結び付くものではない。しかし、これは確実な先行投資だと信じている」と飯田氏は強調していた。
