キャンペーン応募者の個人情報をさらに強固に守りたい
日本を代表するモノ作り企業の1社として、常に斬新な製品を国内外のユーザーに提供し続けているカシオ計算機株式会社(以下、カシオ計算機)。画期的な小型電卓で世界中を席捲した同社は、現在では「G-SHOCK」に代表される時計を中心に、電卓、電子辞書、電子楽器といった各種コンシューマ向け製品、さらにはハンディターミナルや電子レジスターといった法人向け製品など、多様な商品を開発・販売しています。全売上高の約7割を海外市場が占めており、世界中の製造拠点や販売拠点を結んだ大規模なグローバルビジネスを展開していることも強みです。
ワールドワイドなカシオ計算機の日々のタスクは、さまざまなITシステムによって支えられており、それらは本社の情報開発部によって開発・運用されています。時計事業が大黒柱であり、コンシューマ向け製品の売上が全体の85%を占める同社では、お客様に直接訴求する商品サイトやキャンペーンサイトの運用が収益の鍵を握ります。そんな同社のマーケティング施策を下支えする重要な役割を担うのがマーケティング情報グループです。
同グループは、サイトの運用や、キャンペーンに応募してきた顧客の個人情報などを扱う関係上、情報セキュリティに常に気を配っています。同社のサイトを標的にしたサイバー攻撃の被害を防ぐために、ネットワークセキュリティ施策を導入すると同時に、顧客データベースを保護し、社内関係者を経由した情報漏洩を防ぐための対策もさまざま講じてきました。そうした取り組みのひとつに、「外部委託業者からの情報漏洩防止」がありました。カシオ計算機 情報開発部 マーケティング情報グループ グループマネジャー 原裕一氏は、次のように説明します。
「キャンペーンの抽選や、当選者に対する賞品の発送などを外部委託業者に発注しており、応募者の氏名や住所などの個人情報リストをCDに焼いて業者に手渡ししていました。ただ、こうしたやり方は、非効率的であるだけでなく、セキュリティリスクも存在するため、以前から改善の必要性があると考えていました」
具体的には、キャンペーンの企画・実行部門から応募者の個人情報のリスト作成依頼があり、これを受けた情報開発部で顧客データベースからデータを抽出してリストを作成し、パスワード付ZIPファイルに加工したうえでCDに記録します。このCDはキャンペーン部門の担当者に手渡しされ、さらにここから外部委託業者へ、やはり人手を介して渡されます。
外部委託業者でキャンペーン業務が完了した後は、CDを手渡しでキャンペーン部門担当者に返却し、再び手渡しで情報開発部に戻され、最終的に同部でCDを廃棄します。この一連のフローが確実に実行されているかどうか、紙のチェックリストで厳重に管理していましたが、やはり人手と紙によるプロセスは非効率な部分が多く、またCDの紛失やデータの不正コピーによる情報の漏洩や拡散を100%防ぐこともできず、社内のシステム監査において、リスクへの指摘をたびたび受けていたといいます。
パスワード付ZIPや一般的なファイル暗号化ソリューションでは
満たせない運用要件を「FinalCode」が実現
そこで同グループでは、個人情報データ授受のやり方を根本的に見直し、手渡しで行っていたCDの受け渡しを、セキュアなファイルストレージサービスを介した手段に変更することにしました。それに伴い、ファイルが第三者に流出してしまうなどの万が一の事態にも対応が可能な、より確実にファイルを保護できるソリューションを探し始めました。
カシオ計算機 情報開発部 マーケティング情報グループ 笹沢啓太氏によれば、これまで実行してきた「CDの廃棄」と同じように、データを破棄する処理を確実に行い、なおかつそのエビデンスを残す必要があったため、パスワード付ZIPや一般的なファイル暗号化ソリューションでは、同社が求めるファイル保護の要件は満たせなかったといいます。
「応募者データの流出を防ぐには、許可を受けた担当者のみが参照できるようにして、かつ誰が、いつ、何を参照したかを監視できる仕組みが必要でした。パスワード付ZIPは、いったんパスワードが流出すれば誰もがファイルを参照できてしまううえ、ファイルへのアクセスを監視する手段もありません。また、キャンペーン業務が終わった後のファイル破棄を担保する方法もありませんでした」
解決策を求めて笹沢氏が情報を収集するなかで見つけたのが、デジタルアーツが開発・提供するファイル暗号化ソリューション「FinalCode」でした。
「FinalCode」は、社内だけでなく社外に提供したファイルに対してもリモートでアクセス権限を厳格に適用でき、あらかじめアクセス権限を与えたユーザー以外は決してファイルの中身を参照できないよう制御できます。また、誰が、いつ、どのような操作をファイルに対して行ったか、その履歴を逐一ログに記録し、リモートから監視できます。加えて、「不要になったファイルをリモートから削除できる」点が、同社が求める個人情報データ授受の要件にマッチしていたといいます。
「笹沢から、『このツールを使えば、社外に出したファイルをリモートから削除できるそうです』と報告を受けたときは、『本当にそんなことができるのか?』と驚いた記憶があります。これを使えば、従来CDの手渡しで行ってきた個人情報授受のフローを完全に電子化して効率化しつつ、同時にセキュリティレベルを大幅に引き上げることが可能だと確信しました」(原氏)。
「データの確実な破棄」に加えて、「顧客サービスの質向上」や「他部門展開」へ
さっそく同社は、「FinalCode」の無料試用版を使い、社内の関連部署や外部委託業者の協力を得ながら「FinalCode」の暗号化機能やファイル監視機能、リモート削除機能を使った業務フローを試行してみました。その結果、「FinalCode」は同社が求める要件を十分に満たすことが早々に判明したといいます。
「慎重に検証を重ねた結果、普段の業務での利用に十分耐え得ると判断できました。比較的低コストで導入が可能なうえ、開発元のデジタルアーツが豊富な実績を持つ信用度の高いベンダーであることから、『FinalCode』の正式導入を決めました」(笹沢氏)。
「FinalCode」の導入によってセキュリティレベルが大幅に向上したため、同社のキャンペーン業務では、CDの手渡し作業をいっさいやめ、「FinalCode」で暗号化したファイルをセキュアなファイルストレージサービスを介して外部委託業者とやりとりする方式へと大きく様変わりしました。担当者同士の手渡しのためにかかっていた労力や、セキュリティリスクへの懸念がすべて不要になったのです。
対象のキャンペーン業務が終わった後は、「FinalCode」のリモート削除機能を使って情報開発部が責任を持ってファイルを削除することで、情報の破棄も確実に実行できるようになりました。こうした導入効果について、カシオ計算機 情報開発部 マーケティング情報グループ 川上菜摘氏は次のように述べます。
「ファイルの削除がとても簡単に実行できますし、それ以外の作業も『FinalCode』のUIは極めて直観的に操作できるので、使い方に迷うことがありません。実際、『FinalCode』のクライアントプログラムを使ってファイルを参照・編集する外部委託業者からも、使い方に関しての問い合わせはほとんどありませんでした」
さらに同社では、「FinalCode」の「大規模運用オプション」を追加導入し、APIを介した「FinalCode」と社内システムとの連携も実現しています。 具体的には、商品のオーナーズクラブに加入したユーザーの情報を、日次バッチ処理で「FinalCode」によって自動的に暗号化し、即座に外部委託業者に送ることにしています。
これにより、オーナーズクラブに新加入したユーザーに対して数日かかっていたオーナーズカード発行のフローが、即日でできるようになったといいます。「『FinalCode』は、外部との間で安心して顧客データのやりとりが行えるだけでなく、顧客サービスの質向上にも一役買っています」(笹沢氏)。
こうした導入効果を聞きつけて、最近では社内の他部署からも『FinalCode』について教えてほしいという依頼を受ける機会が増えてきたといいます。原氏は「人事部門や設計部門など、機微な情報や機密情報を扱うさまざまな部門でも『FinalCode』を活用していければと考えています」と今後の抱負を語ります。