導入の背景 |
PCに関する情報のセキュリティリスクからP-Pointerを採用 |
---|---|
導入の決め手 |
細かい要件設定、短期間調査、リモート調査の3つの要件を満たしていた |
導入後の効果 |
情報管理の意識を持てば、業務効率が上がる |
アステラス製薬では2006年より、P-Pointerを利用した個人情報探査サービスを導入し、以降毎年1回実施しています。最近では2012年12月に実施しました。 初回はPCを社外に持ち出す機会が多い営業系社員を中心に選出した250名を対象に実施、2回目以降は1500名を対象に実施しています。前々回からは、営業系社員だけでなく、内勤社員の比率を高めるなど、毎年実施内容を工夫しています。
アステラス製薬が発足した2005年4月1日は、奇しくも個人情報の保護に関する法律(個人情報保護法)が完全施行された日でもありますが、発足前の法制化以前から個人情報保護については、トップも含め高い意識を持って取り組んでいます。具体的には、保護法をベースに、それをひも解く内容のマニュアルやレギュレーション関係を整備してきています。
個人情報の取り扱いですが、PCへの保存は一切NGの企業もあると聞いていますが、弊社も個人情報(顧客やビジネスパートナーの名簿、リストなど)の保存はNGです。それ以外の情報に関しては、業務上で何らかの必要性が生じた際のPCへの一次保存までは禁じていません。ただし、その場合でも使用後にサーバ移管或いは削除・破棄するまでが業務と考えています。
個人情報を取り扱うのは、主にはMRなど営業系社員が中心になります。内容は、医療関係者や取引先(医薬品卸売会社社員など)に関連した個人情報です。また、一般の方から医薬品についてのご相談をお受けする部門もありますので、そこで得る情報は個人情報として適切に取り扱っています。 研究開発や製造部門は、営業部門に比して個人情報を取り扱う機会は少ないです。
PCのセキュリティをテーマに、当時の部長と担当者が組んで、PCに関する情報のセキュリティリスクについてまとめていました。その際に、個人情報が保管された状態でPCそのものを紛失したり盗難にあうリスク、それが原因で個人情報が流出してしまうリスクへの懸念が浮き彫りにされ、対策ツールを探していました。
そんなときに富士通エフサスよりP-Pointerを利用した個人情報探査サービスをご提案いただき、採用を決めました。
採用の理由としては、下記の要件をすべてクリアしていたことが上げられます。
調査の2週間前に全社員を対象に、調査の実施をメールで通知します。
内容は、
調査期間は約1週間ですので、その間にPCを社内ネットワークに接続した際に、リモートで調査が実施されます。また、数は少ないのですが、営業系社員で出張などが続き、期間内に社内ネットワークに接続していない社員には直接連絡を取ることもあります。
この調査自体が、社内イベントの1つのように社員からは認識されていますので、特に抵抗感はありませんね。
最初の頃は多少の抵抗感を覚える社員がおり、問い合せもありました。プライバシーに関連する個人情報、つまり人事考課などを見られるのではないか、といった懸念です。 これは利用者に負担をかけないことの裏返しで、どこまで見られるか心配だったのでしょう。
私たちの説明不足もあったと思いますが、目的は個々人のファイルの中身を見ることではなく、個人情報が含まれているファイルの有無を確認することにあります。先のように案内メールで、対象となるドライブやファイルの種類もお伝えしていますので、現在では、そういった問い合せはありません。
あくまでもランダムにピックアップしています。対象の方には告知していませんから、社員は誰が調査対象となったのかは、わかりません。 第1回はMRを中心にPCを外部に持ち出すことがある営業系社員250名が対象でした。 2回目以降は1500名の社員を対象に行っていますが、対象社員の選び方がランダムであることは変わりません。
対象については、毎回見直しを行っています。前々回からは内勤の方も対象に加え、約4割程度を内勤社員としました。また、今まで一度も調査対象とならなかった方、逆に前回も調査対象となった方、というように、初めて調査に参加する社員の状況の把握、前回調査との経年比較の分析も出来るようさまざまな工夫をしています。
まず弊社では抜き打ちでは調査を行いません。2週間前に告知をして、社員に改めて情報管理の意識を持ってもらった上で実施しています。ですので、情報管理のあり方について、ルールに則って行えば、業務効率が上がるということを実感してもらえているのではないかと思います。
逆に面倒くさいから、という理由で情報管理をないがしろにしていると、間違った資料を使用するなどのトラブルが起きるかもしれません。情報管理をきちんと行えば防げるトラブルもあるということを認識していただきたいですね。
また、職場全体で、情報管理の意識を共有していただく、考えてもらう機会にもなっていると思います。例えば、弊社ではファイルサーバーというツールは各部署に提供していますが、使い方は各部署に一任しています。中にはうまく共有されていないケースもあり、使い方を見直す機会にもなっていると思います。
今回の調査から、事前に「一定数以上の個人情報を持っていた方には改善をお願いします」と告知の際に明示しました。
実際に持っていた社員に対しては、上司とともに約1時間の面談を実施するとともに、改善計画書を提出してもらっています。以前も著しく多い方には同様の対応を行っていましたが、中にはなぜ調査で自分がピックアップされたのか、わからない方もいらっしゃいます。結果を提示すると驚かれる方も大勢いました。数値の把握は目安であり、きちんと情報管理を意識して欲しいというメッセージなのです。
「社員のための調査、であることが社員に伝わっています」
回を重ねる毎に弊社が設定する適性レベルをクリアする社員が増え、現在は60%を超えています。この数値は既に上限ではないかという意見もありますが、さらに高まるように、努力をしていきたいと考えています。
私たちは会社の情報は最大限活用して欲しい。逆に不要な情報については捨てていただきたい。情報は資産ですから、いらないものは不良資産なんです。使い終わったら捨てるところまでが仕事。そうした意識に徐々に変わってきていると実感しています。
決してペナルティを与えることを意図してではなく、社員の皆さんを守るために調査を実施していることを伝えています。 「社員の皆さんを守るため」ということを社員が理解してくれていることがポイントだと思います。
今後も P-Pointerを利用した個人情報探査サービスは毎年実施していく予定ですので、新しい角度での分析のアドバイスなど、宜しくお願いします。
本日はお忙しい中、貴重なお話をありがとうございました。
\その他の企業セキュリティ向上施策を見る/
アステラス製薬は、2005年4月1日に山之内製薬と藤沢薬品の合併により発足しました。
医療用の医薬品を中心に製造販売と輸出入を行っており、日本発の研究開発型グローバル製薬企業と自負しています。
従業員数は約1万7000名、国内外に85社のグループ会社があります。また、2013年3月より本社を移転します。
※ アステラス製薬株式会社
※掲載の会社名、サービス名は各社の商標、商標登録です。
※取材日時 2013年2月
アララ株式会社は、皆様からお預かりした個人情報はお客様の大切な財産であることを尊重し、お客様との信頼関係を損なうことのないよう、「プライバシーポリシー」に従って適切な個人情報の保護に努めています。
© arara Inc.