導入事例 — 株式会社セルム

株式会社セルム

継続的に使い効果を上げるために、把握~対応~チェックのPDCAを簡単に回せることがツールの条件でした

株式会社セルム

人事総務部

経営的な視点で顧客企業と共に本質的な課題を設定し、事業進化、イノベーション、経営高度化のための基盤となる人材開発・組織開発を長期的に支援する株式会社セルム。
手厚い支援体制と継続取引の多さで業績を伸ばし、2021年4月JASDAQに上場を果たしました。

同社の人事総務部 ゼネラルマネージャー 石原 学氏にP-Pointer File Security(以下 P-Pointer)を導入した経緯とその効果について伺いました。

上場後、さらに高いレベルで個人情報を管理したいと考えていました

どのような背景でP-Pointerを導入されたのですか。

弊社は2021年4月に上場しました。その準備過程において、証券会社の審査基準を意識し、個人情報の管理に関して、一度見直しをしています。上場後、さらに高いレベルで個人情報を管理していきたいと考え、検討を進めていました。その過程で、個人情報ファイルの管理実態を把握できるP-Pointerに出会いました。

弊社が取り扱う主な個人情報は、顧客企業の社員情報です。
中でも顧客企業に対して実施する「従業員サーベイ※」の情報には、氏名など基本的な情報のほかに、サーベイ結果のレポート情報があります。
※従業員や組織の状態を調べて、人事制度や人事施策・人事戦略に活かすための調査

社員が日々、業務を行う際に、「このような顧客情報が各自のパソコンに残ったままになっている可能性があるのではないか」と考えました。
もちろんパソコン自体にはセキュリティをかけていますので、紛失しても問題が大きくなることはないと思います。しかし、各自のパソコンに個人情報が保存されていること、それを会社が把握できていないこと自体に問題があると考え、現状を調べることにしました。
まずはどこにどれだけの個人情報が置かれているのか実態を把握し、それを受けて情報漏洩が起きない、リスクが無い状態にしようと考えました。

個人情報を含むファイルを洗い出す!

資料を請求する

継続的にツールを使い続けてもらうために、画面操作が分かりやすいことが必須条件でした

P-Pointerを導入したポイントはどのようなところだったのですか。

個人情報検出ツールの導入については、個人情報管理の事務局である人事総務部の長として私が指揮をとりました。個人情報管理責任者の各部門担当者、及び経営層にも情報を共有しながら、進めました。

常日ごろ経営層から「手作業はやめて、ITを使いなさい」と指示が出ているので、「個人情報の把握」についても、ツールを使うことが前提でした。

Webで検索し資料請求をしたところ、アララの営業担当者さんからすぐに連絡をいただいたので本格的に検討を開始しました。

その際、個人情報検出ツールに求めた要件は次の4つでした。

  • 個人情報ファイルを把握、対処できる。またそれが簡単にできる。
  • 把握~対応~チェックのPDCAを回せる。
  • システム部門および各社員にとって使い勝手よく運用しやすい。
  • 社員の意識向上を目的に継続的に利用できる。

P-Pointerは、これらの要件を十分に満たしていました。

特に良いと思ったのは、上記4つ全てに影響する画面の分かりやすさです。検出した個人情報ファイルを確認、対処できるのは、そのファイルの持ち主である社員です。継続的にツールを使い続けてもらうために、画面操作が分かりやすいことが必須条件でした。おかげで今のところ社員から操作方法に関する質問は一切入っていません。

対処すべきファイル件数がどのくらいか社員にイメージをもっていただくことが狙いでした

導入後、どのようにP-Pointerを運用していかれたのですか。

P-Pointer導入後早々に全社向け説明会を行いP-Pointerの利用を開始しました。

社員に依頼したのは次のような内容です。

「P-Pointerでパソコン内の個人情報ファイルを検出し、パスワードがかかっていないファイルを削除するか、ファイルサーバに移動させてください」

開始後、しばらくして途中経過を確認したところ、実施率が計画を下回っていましたので、次の内容を記した実施レポートを全社員にメールしました。

  • P-Pointer実施率
  • 1台のパソコンで検出されたファイル数の分布
  • 対処数の分布

このようなレポートを出すことで、実施促進を行うとともに、対処すべきファイル件数がどのくらいか社員にイメージをもっていただくことが狙いでした。

約4か月の期間を設け全社員に対応をお願いしましたが、実際にやってみたところ実施率は60%でした。少し設定期間が長かったのか後回しにされてしまったのかもしれません。

次回以降は、もう少し期間を短くし毎月アラートメールを出すなど工夫し実施率を上げていきます。

1回の実施で、全部で6,000件以上のファイルの削除、移動を実現することができました

P-Pointerの導入効果はいかがでしょうか。

1回の実施で、全部で6,000件以上のファイル(日頃からパスワードをつけることが習慣化されているので、大部分がパスワード付きのファイルです。)の削除、移動を実現することができました。

検出数はほとんどが1台100件以下でした。1,000件以上のファイルがみつかったパソコンもありましたが、その方々はすぐに削除やファイルサーバへの移動を行ってくださいました。

社歴の長い方は検出数が多いことが数値として出ましたので、今後の対応優先順位が明確になりました。

P-Pointerは検出されたファイルを対処したかどうかも管理画面から確認できるため、情報システム部門に依頼して、結果データを出力してもらい件数を確認しています。実施レポートもこのデータから、有益な集計方法を適宜考え作成しています。

社員自らリスク回避のため、セキュリティ意識を向上していって欲しいと思います

今後のセルムのセキュリティ運用上の方針についてお聞かせください。

半期に一度「P-Pointer」で個人情報の管理チェックを実施していきます。モニタリングしつつ実施率を上げるために定期的にリマインドしていこうと思います。また今後は、パソコンだけではなくファイルサーバの検索も行っていきたいと考えています。

個人情報保護法改正で、個人情報保護委員会への報告対象も増えますので、しっかり対策していきます。一方で、個人情報の管理ルールについては、最初から厳しすぎると社員の取り組み姿勢にネガティブな影響を及ぼす可能性がありますので、少しずつハードルを上げていく予定です。

弊社は、全社員への情報開示を重要視しています。経営者と社員が同じ情報を共有して同じ目線で動くことが大事だと考えています。そのため社員には、コンプライアンス教育や、P-Pointerのようなツールを会社が提供する意図をしっかり伝えています。

情報漏洩は会社にとってのリスクですが、社員個人のリスクでもあります。問題が起きたら個人も責任を問われてしまいますので、会社が提供してくれるものをしっかり利用して、社員自らリスク回避のため、意識向上していって欲しいと思います。

 

その他の企業セキュリティ向上施策を見る

事例集ダウンロード(無料)

 


経営的な視点で顧客企業と共に本質的な課題を設定し、事業進化、イノベーション、経営高度化のための基盤となる人材開発・組織開発を長期的に支援する株式会社セルム。
手厚い支援体制と継続取引の多さで業績を伸ばし、2021年4月JASDAQに上場を果たしました。
(※ この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています)

※株式会社セルムのホームページ
※ 取材日時 2021年10月

ページの先頭へ