株式会社協和様

協和では、2015年より「協和PMS（個人情報保護マネジメントシステム）構築・運用プロジェクト」に取り組んでおり、2017年度、2018年度は、「防止」と「確認および対処」への取り組みを主軸としました。セキュリティのPDCAサイクルを適切に回すには、「防止、管理」だけでなく、「把握、確認、対応」が必須だからです。

この「確認」について経営層からは、「社員パソコンに個人情報ファイルが混入していないかどうか、フォルダを目視確認してでも徹底的に調査せよ」と求められました。しかし手作業による確認作業は、手間と実効性の両面で非現実的です。やはりソフトウエアを使って確実かつ定期的に検査するほうが望ましい。そんな構想を念頭に私たちが求める要件を満たすソリューションを探していました。

ツールの選定には5点のポイントがありました。

（1）基礎性能、実績－「パソコン内の個人情報を確実に検出できること」

個人情報検出ソフトウエアには「あらゆる個人情報」を確実に検出できることを求めました。具体的には、住所、氏名、電話番号、メールアドレス、クレジットカード番号などです。この基礎性能を裏打ちする、「大手企業への十分な導入実績」も重視しました。

（2）検査レベルの調整－「検査レベルの段階的引き上げ」

個人情報検査は、検査レベルを段階的に調整（引き上げ）して行うのが良いと考えました。メリハリある検査を実現するためにも、個人情報検出ソフトウエアには、「検査レベルを柔軟に調整できること」を求めました。

（3）検査ポリシーの一元管理－『え、これ個人情報だったの？』の追放

社内で実施した調査で、「まさか、これが個人情報だと思っていなかった」という意見がありました。個人情報だと判断する基準は人により異なるため、個人まかせでは「ヌケ、モレ」が必ず生じます。これを防ぐため、個人情報検査の基準はシステムを使って全社統一、一元管理したいと考えました。

（4）簡単な操作、動作の高速性－社員の仕事の邪魔にならないように

社員の業務時間は「顧客への貢献」のために使われるのが望ましいと言えます。その原則が阻害されないよう、新たに導入するシステムには「操作が簡単で動作が高速なこと」を求めました。特に今回は従業員各人のセキュリティ意識を向上させるため、自身で操作ボタンを押す運用としたため使いやすさを重視しました。

（5）検出後の対応の自由度－対処の選択肢が豊富なことが重要

P-Pointerは、ファイル検出後の対応について「何もしない」「移動」「削除」、「スクリプト起動」など様々な対応が可能であり、運用方法が変わっても柔軟に対応できる自由度の高さが決め手となりました。

手間と実効性の両面で非現実的な手作業での個人情報ファイルの確認作業が「P-Pointer File Security」の導入により「ヌケ、モレ」のない、定期的な検査が可能になりました。

また、個人情報の定義が明確になり、社員自身が定期的にチェックすることでセキュリティ（個人情報管理）意識が一層高まりました。

今回の検査では、社員のひとりから「どうしても検査結果をゼロにしたかったんです。ひたすらパソコンから個人情報ファイルを削除しました。最後に『検出ゼロ』の表示が出たときは気分が良かったです」とコメントがありました。

セキュリティ施策は、とにかく社員から「面倒くさい」と反発されがちです。しかし個人情報検査には、実はパソコンから個人情報を一掃したときの「きれいサッパリ感」「安心感」があります。社内浸透の際は、この感覚を社員に体感してもらうのがよいと考えます。

弊社はお客様に商品を安心してご購入、ご利用いただけるよう、顧客個人情報の保護に力を注いでいます。その取り組みの一環として、2017年にP-Pointerを全社導入しました。個人情報検査の概要は次のとおりです。

クライアントパソコンのほか、ファイルサーバに対しても、年に3回、P-Pointerを使って個人情報の検査を行っています。

※記載内容は、取材時（2018年3月）時点での情報です。