株式会社もしもしホットライン
情報漏えいを未然に防ぐため
LeakProof(※)を導入。 業務の要である「個人情報」、「機密情報」を守り、 さらなる安心・安全向上を実現。
コールセンター業務大手の株式会社もしもしホットラインは、その業務内容ゆえに多くの個人情報や企業の内部情報といったデータを保持している。そもそも、コールセンターとは何か。依頼元の企業からお客さまの「個人情報」や「内部資料」を預かり、依頼元に代わってセールスコールをかけるテレマーケティングや、製品・サービスに興味を持たれたお客さまからの電話、メールを受け、回答するといった内容が、コールセンターの主な業務である。
このように「預かった」情報の保護のために、同社では細かなルールを定めて運用し、高いセキュリティを維持してきた。さらに「情報の流出そのものを未然に防ぐ」ために、同社が講じた対策がLeakProofの採用だったのである。
(※現在は、Trend Micro Data Loss Preventionとして販売)
導入背景
「情報漏えいが発生した場合の被害は甚大。予防こそが対策の基本です」
もしもしホットラインでは、全国34拠点、約2万2,000人のスタッフを抱えている。約400社からテレマーケティングやユーザサポート業務などを請け負っている同社は、個人情報である、依頼元企業の顧客名簿を預かっているほか、依頼元の内部ネットワークへ直接アクセスし、機密情報にアクセスする場合もある。こうした業務内容から、これまでも情報漏えい対策には細心の注意を払ってきた。例えば「アクセスできる端末の限定」、「細かな運用ルールの規定と徹底」などだ。
「さまざまな依頼元企業の業務を引き受けていることに加え、急な作業など、同時に複数のプロジェクトが走ることもあり、統一的な運用が難しくなっていました」情報産業セクターIT・エンジニアリング事業部 後楽園センター センター長 西田裕恒氏はこれまでの課題をこう話す。
情報漏えい対策、近年では「利用者制限」より「機密データ」に着目したDLP(Data Loss Prevention)と呼ばれる対策が現れ、企業・団体において、機密とみなされる情報の漏えいのみを「事前に」防止することを可能にしている。もしもしホットラインでは、事前防止策として暗号化等を実施しているが、これらに加え、そもそもの情報漏えいのリスクを低減する「予防的」な対策を導入することが、今回の製品選定を行なう目的だった。
選定ポイント
「当社のニーズにマッチした機能を提供していたのは、LeakProofだけでした」
情報漏えいのための「DLP」それは大きく3つの特徴で説明できる。
- 1.「機密」とみなされるデータを管理、識別できること:
フィンガープリント - 2.情報の出入り口であるデバイスを管理できること:
デバイスコントロール - 3.「機密」とみなされたデータの格納場所を特定できること
LeakProofでのデータ管理の基本は「機密」データごとに「指紋」となるフィンガープリントを作成して各クライアントPCに配信。このフィンガープリントによって、ファイル名や内容の一部を変更しても、「指紋」で照合することで、保護対象のファイルであることを判別し、漏えいをブロック。このフィンガープリントの作成も、LeakProofで指定されたフォルダに、「機密」としたいファイルを格納するだけの簡単運用である。同社ではこれまで依頼元の企業ごとに、ファイル名やファイル形式の変更などを行い、ファイル名やファイル形式に従った漏えい対策ポリシーを運用していた。しかしLeakProofの機能を活用することで、これらの作業は不要となり、流出も自動的にブロックできる。「当初、自社で定めた運用ルールと、LeakProofの機能がマッチして、きちんと管理できるかという懸念がありました。ですが、こうした機能の詳細を事前に十分説明を受けたことで懸念は払拭されました」(西田氏)。同センターの勝間田さとみ氏は、「他社製品も比較検討したのですが、精度の高いフィンガープリント機能を持つ製品がほかに見つからず、LeakProofの採用を決定しました」と話す。さらにLeakProofであれば、リムーバブルメディアの使用制限や、「機密」と指定されたデータのコピーをブロックするといった設定により、USBメモリのデータコピーの際に、誤って目的外の別の「機密」データのコピーといった人的ミスも防止できる。
運用状況
「LeakProof によって自動的に情報が守られ、管理者の安心感は高まりました」
LeakProofは、「機密」データを管理する、LeakProofアプライアンスおよび、各クライアントPC上のエージェントソフトが必要だ。導入時にはアプライアンスの設置・設定およびエージェントソフトのインストール作業が発生するが、「これらの作業で、問題は発生せず、導入は非常に楽でした」と勝間田氏は振り返る。
「コールセンターとして、まずは個人情報を確実に保護したいという考えによる、クイックスタートを目指しました。今後、セキュリティ運用については定期的に見直しを図り、そのプロセスの中でLeakProofの設定を固めていく方針です」(勝間田氏)
導入に当たり、運用ルールの見直しも行った。業務ごとに個人情報や機密情報をLeakProofの特定フォルダにまとめフィンガープリントを作成し、情報漏えいを防止するという手法を採った。「ファイル形式をルールに合わせるのではなく、ルールにもとづいてファイルをフォルダに保存するようにしたことで、LeakProofの設定と工数のバランスはむしろ良くなりました」(勝間田氏)
運用の初期段階である現在、問題は特に発生していない。一方、センター長である西田氏はすでに効果を実感している。「過去のルールでは、人的な監視に頼らざるを得ませんでしたが、LeakProofによって“ルールに沿わないデータはコピーできない”“ファイルをコピーする際はLeakProofの持つ「申請」機能を使うため、上長が確認できる”などができるようになりました。スタッフを100%監視することは不可能ですが、LeakProofによって情報は自動的に守られますので、マネジメント層の安心感は高まりました」と西田氏は語る。
将来展望
「徹底したリスクマネジメントが、情報漏えいの発生を予防する手段です」
勝間田氏は、「今後はアラート表示の機能などを有効活用し、スタッフのセキュリティ意識の向上などを狙いつつ、設定のさらなる最適化を行っていく予定です」と話す。もしもしホットライン社にとって今回の導入は、将来の全社的なDLP強化を意識した特別なものだった。数ある拠点のうち、まず後楽園センターへ導入した背景は、顧客企業が多彩で、急な業務も入るなど、全社のモデルケースとして適していたからである。同社では、後楽園センターでの運用結果の検証を行い、その成果を上層部に報告。今後の全社展開に向けた検討にもつなげていく考えだ。個人情報を取り扱うコールセンターという業態では、常に最新のリスクマネジメントが求められる。LeakProofはこうしたニーズに応えたといえるだろう。
西田氏は、トレンドマイクロに対して「運用していても気づかないようなリスク、気づいていても見過ごしてしまうようなリスクを解決してくれる製品を期待しています」と話し、今後の製品開発について期待を寄せてくれている。
BIZ FOCUS
個人情報取り扱い企業に求められるDLP
個人情報を扱う企業では、DLPは必須。アクセスコントロールやログ管理、暗号化といった対策もあるにはあるが、必要な情報を、より簡単に、あらゆる経路での漏えいを防ぐDLPの導入は、個人情報と機密情報を大量に保管するテレマーケティング企業にとっては避けて通れない検討課題だ。テレマーケティング企業からの情報漏えいは、被害者は個人だけでなく、依頼元の企業への損害にもつながる。もしもしホットラインは、DLPの必要性をいち早く認識し、業務への導入を進めた企業として特筆できる。「情報漏えいの被害額と、LeakProof導入コストを天秤にかければ、答えは明確です」と西田氏が語る通り、先手を読む“予防的”な対策だけが、情報漏えいを食い止める直接的手段なのである。
導入企業プロフィール
社 名:株式会社もしもしホットライン
設 立:1987年6月
所在地:東京都渋谷区代々木2-6-5
代 表:代表取締役社長 竹野 秀昭
社員数:正社員 788名
契約社員 21,562名
(09年3月現在、連結)
概 要:コールセンター構築・運営、バックオフィス、事務センター構築・運営、お客さまの声分析(VOC)、コールセンターデータの活用、リサーチ
印刷用資料
もしもしホットライン
