8万件を超えるお客さまの顧客情報を扱う 保険代理店が重視するセキュリティ
常務取締役
前田 睦樹 氏
朋栄は、保険の代理店業務を行う企業です。1976年の設立以来、横浜銀行および神奈川銀行の法人・個人のお客さまに幅広く保険業務全般に関するサービスを提供しています。損害保険会社12社、生命保険会社16社の保険商品を扱っており、地元に根差した企業として、お客様のニーズに合わせた最適な保険商品を提案しています。
昨今はお客さまのニーズに応じたソリューションの提案も行っており、特にサイバー保険の提案においては、保険の販売に加え、お客さまのネットワーク診断から脆弱性特定、対策業者紹介を行うなど、先進的なアプローチを実施しています。
セキュリティ対策の方針について、常務取締役 前田睦樹氏は、「当社では、氏名・生年月日・住所・保険内容・口座情報など、8万件を超えるお客さまの顧客情報を管理しています。これらの情報を安全に取り扱うことは、企業の責務であり、お客さまとの信頼関係の根幹です」といいます。
侵入を“完全に防ぐ”よりも、“万が一”への備えを重視し「FinalCode」を採用
同社は、2023年にファイル暗号化・遠隔削除ソリューション「FinalCode」を全社で導入しました。「FinalCode」は、ファイルが作成された瞬間から自動で守り、万が一の際には後から消せるIRMソリューションです。高度な暗号化技術を採用しており、閲覧者や操作権限も制限でき、もしファイルが流出した場合でも権限のある人しか閲覧できないため情報漏えいを食い止めることができる製品です。
同社が新たなセキュリティ製品の導入を検討していた当初、どうしたら第三者による不正アクセスを完璧に防げるかといった入口対策を強固にする方法を検討していました。これらは、UTMで一定レベルの対策はできるものの、攻撃者の手法は巧妙化し、日に日に進化していることから、どこまで対策をしても外部からの侵入を完全に防ぐことは難しいという懸念がありました。さらに、強固な入口対策は多機能であることから、コスト面も予算を大幅に上回ってしまう課題がありました。
そこで前田氏は、「入口対策はもちろん重要なので可能な限り行います。しかし100%入口対策に頼りきるのではなく、万が一侵入されたときに、情報漏えいを食い止める手段が必要だと考えるようになりました。これであれば攻撃手法が巧妙化するなどの外的要因に左右されることなく、最大の効果が得られます」と述べます。
そのような中で「FinalCode」という、仮に情報を窃取されてもファイルを解読できない機能を持つ製品を知り、これならお客さまの情報を守りきることができるという理由で採用を決めました。提案された数多くのセキュリティ製品の中で、ファイル単位での暗号化・遠隔削除ができる「FinalCode」は、唯一有効な選択肢だったといいます。
前田氏は、「どのお客さまも、自分たちの情報が確実に守られるという前提のもと、私たちとお取引をしてくださいます。その『あたり前』に応えるのが私たちの務めであると考えています」と話します。
ユーザー負担ゼロ。意識させず利便性を損なわない透過暗号化
企画部 システム企画室 室長
池尻 誠 氏
「FinalCode」では、強度や用途の異なる3種類の暗号化がある中で、同社では通常のファイルと使い勝手が変わらない透過暗号化を利用しています。ファイルを作成した瞬間から自動で透過暗号化される仕様で、お客さまの情報を保管するファイルサーバーに格納した際も暗号化がかかる設定にしています。また特定のファイルだけでなく、会社で扱うファイル全てを暗号化することで、厳重なデータ管理を行っています。企画部 システム企画室 室長 池尻誠氏は、「暗号化というと、取り扱いが難しい、暗号化・復号化の処理が煩雑などのイメージがありますが、『FinalCode』の透過暗号化は、導入前後で利用者の操作に違いはなく、導入以前と操作感は変わりません。例えばExcelファイルを開けば、そのままExcelが起動し編集できます。暗号・復号処理を意識することなく、だれでも簡単に利用でき、利便性も高いです」と話します。
また社外にファイルを送信する場合、今まで通りメールにファイルを添付するだけで、同時期に導入したメールセキュリティ製品「m-FILTER」が暗号化ファイルに変換の上、メールの宛先に含めている人のみが閲覧できる安全な形で送信されます。
池尻氏は「知らない間に情報が安全に守られ、社内での利用も外部への共有も、暗号化されていることを忘れるほど自然に運用できています」といいます。
なぜ外部攻撃からお客さま情報を守ることができたのか
同社では2024年11月、ランサムウェアによるサイバー攻撃を受けた事実を確認し、侵入経路や被害状況及び影響範囲の究明を目的として調査を開始しました。その結果、データの棄損や喪失、データ閲覧、外部に持ち出された痕跡、ログを消去・改ざんした痕跡は確認されませんでした。
この事案について個人情報保護委員会に報告した結果、高度な暗号化による秘匿化がなされている場合、漏えいした情報を入手しても事実上復号することができないため、漏えい等報告を要しないとされており、同社が採用している暗号化は、その基準を満たすものと判断されました。
前田氏は「攻撃を完全に防ぐことはできませんでしたが、お客さまの大切な情報は守りぬくことができました」と述べます。
また、一般的にランサムウェア被害に遭うと、ファイルの復元や被害範囲の調査、セキュリティ対策の見直し、社内外への説明など様々な対応が発生します。さらに復旧が遅れるほど、業務への支障やコストも増大します。今回の事案では、サイバー保険に加入していたため、数千万単位に及んだ事案の調査費用やシステムおよび業務復旧費用はサイバー保険で支払いを受けることができたと話します。
定期的にセキュリティ対策の安全性を確認する仕組みづくり
同社では、ランサムウェア被害を受け、お客さまにご紹介している脆弱性診断サービスを自社でも活用し、定期的な調査を行いつつ、入口・出口・内部の対策を含めた多層的なセキュリティ強化を進める方針です。
池尻氏は、「サイバー攻撃を“想定外”とせず、事前に備えることが不可欠です。「FinalCode」のようなツールを活用した上で、事業継続体制の構築、社員の対応力の強化が今後の課題です」と話します。
また、現代社会において「サイバー保険」への加入は体制作りの観点で重要な要素になると考えられます。
同社は今後も、地域のお客さまとお取引先の安心・安全・健康を第一に考え「朋(とも)」に「栄(さか)」える保険代理店を目指し、ご要望にあった保険でお客さまの事業や暮らしを支えられるよう取り組んでいくとのことです。
- ※本導入事例は2025年9月時点の内容です。