情報管理方法が様変わりし、近年では顧客情報をクラウドで一元管理することが多くなっています。情報の集約により利便性が高まった一方、顧客管理の必要性や重要性が改めて注目されています。顧客情報における情報セキュリティとは何か、事例を交えて説明します。
顧客情報の管理を慎重に行うべき理由
取引先の企業名・担当者氏名などの顧客情報は、かつては各営業担当者が個別に管理していたため、書類やエクセル等のファイル形式で社内に分散して保管されている状態でした。近年では顧客情報管理システムの登場により、顧客情報をクラウドで一元的に集中管理するようになっています。
会社として顧客情報を集約することで、各部門間で情報を共有してマーケティング戦略を練ったり、他部署が行った顧客とのやりとりの内容まで保存できたりと、様々なメリットが生まれています。
一方で顧客情報の集中管理では、不正アクセスなどにより情報漏洩などのセキュリティ事故を1度でも起こしてしまうと、経営が破綻するほどの経営損失が生じるリスクがあります。
NPO日本ネットワークセキュリティ協会による「2018年 情報セキュリティインシデントに関する調査報告書」によると、個人情報漏洩事故1件あたりの漏洩人数は1万3,334人、同じく1件あたりの平均損害賠償額は、6億3,767万円にものぼります。
参考サイト:https://www.jnsa.org/result/incident/data/2018incident_survey_sokuhou.pdf
さらに、1度でも情報漏洩事故を起こした企業は顧客離れが進むことから、事故処理が終わった後も赤字が続き、経営トップが引責辞任に追い込まれた企業もあります。情報漏洩事故による金銭的な損失は経営にも大きな影響を及ぼすため、情報管理の必要性と重要性を深く認識し、慎重に顧客情報を管理するよう、各企業は改めて徹底すべきです。
こちらの「今求められる顧客情報の管理と活用」にもご参考にしてください!
顧客の信頼を獲得しデータのプライバシー規制および保護規制に対応する
SAP®︎Enterprise Consent and Preference Managementは、信頼に基づく顧客関係を構築し、顧客が自身の個人データを管理できるようにし、データのプライバシー規制および保護規制に対応します。
実際の事例から学ぶ情報セキュリティの重要性とリスク
情報セキュリティとは、情報漏洩事故を防止するための包括的な取り組みのことですが、独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2020」によると、組織における脅威の第1位は「標的型攻撃による機密情報の窃取」、第2位が「内部不正による情報漏洩」となっています。
参考サイト:https://www.ipa.go.jp/security/vuln/10threats2020.html
実際に、次のような情報漏洩・流出事故が発生しており、それぞれ大きく報道されました。
顧客情報の記録媒体を誤廃棄した事例
2020年7月、大規模コンサルティング企業において、約250万件もの顧客データが行方不明になるという大規模な情報セキュリティ事故が発生しました。
原因について、顧客管理システムのバックアップに使用していた、「Linear tape open(リニア・テープ・オープン:LTO)」というコンピューター用の磁気テープ媒体を紛失したためと、当該企業は公式発表しています。
磁気テープ媒体紛失の原因は、誤廃棄というなんともお粗末なものですが、ヒューマンエラーによる情報漏洩事件も実際に発生していることを裏付ける事例となりました。
顧客データ紛失による二次被害は報告されていないものの、仮に紛失した磁気テープ媒体を解読できる第三者が現れた場合、さらに大きな問題に発展することは間違いありません。
システムの設定ミスでユーザーに他人の個人情報を開示してしまった事例
2019年3月、大手イベント会社のオンラインチケットサービスで、サイトにアクセスした会員に対し、本人とは別の会員の個人情報が表示されるという事故が発生しました。誤って表示された項目は、氏名・電話番号・住所・生年月日・メールアドレス・秘密の質問・秘密の質問の答え・ID・パスワードなど重要な情報でした。
当該企業は原因について、システム会社がアクセス不良を改善するための作業をする際に、情報を開示するよう誤って設定してしまったためと発表しています。システムの更新作業をたったひとつ誤っただけで、情報漏洩事件にまでつながってしまうことを改めて示した事例となりました。
教育会社による大規模個人情報漏洩事件
2014年、大手教育会社で会員約2,900万件の個人情報が漏洩するという事件が発生しました。
原因は、契約していた派遣会社のスタッフが故意に行った犯行によるもので、このスタッフは、警視庁による調査の後、逮捕されています。手口は、職場に持ち込んだ自身の外部機器に個人情報データを保存して持ち帰るというもので、犯行の目的は盗み取った情報を転売することでした。
結果、当該の企業は、被害者に対し図書券や電子マネーの送付・受講料減額などの補償を実施し、260億円もの特別損失を計上しました。
上記で紹介した「情報セキュリティ10大脅威 2020」でも、「内部不正による情報漏洩」が第2位となっていますが、改めて、企業が管理体制の強化の重要性を強く認識するきっかけとなった事例でした。
顧客情報を管理する上でセキュリティ面から注意すべきポイント
情報セキュリティ強化への取り組みを行う際、顧客情報管理の観点ではどのような点に注意すべきでしょうか。
大前提として、セキュリティ面での施策は、IT資産の管理・内部不正対策・外部脅威対策の3つの視点から検討するべきです。
IT資産の管理では、パソコン・スマートフォンさらにソフトウェアまで、社内のすべてのIT資産を洗い出し、いつ誰がどこで使用しているのかを管理します。内部不正対策では、社員に対しセキュリティ教育を施すことはもちろんですが、クライアント端末でのデータ保存を禁止したり、疑わしいアプリケーションの制御などにより、故意のファイル持ち出しなどのリスクに備えることができます。
外部脅威対策では、不正アクセスからの防御などサイバー攻撃への対策を行います。セキュリティ対策ソフトでのスキャンやOSのアップデートが漏れなく実施されるよう、運用やチェック体制の見直しも行います。
また、忘れてはいけないのが、情報漏洩事件が発生してしまった場合に二次被害を防ぐための施策です。万が一、情報が流出してしまった場合に、そのデータを閲覧できないように遠隔から操作するツールもあるため、採用を検討するのも良いでしょう。
情報セキュリティ強化にあたりツールを導入する場合は、システム管理者が管理しやすいものを選択することも重要です。
まとめ
ひとたび情報流出事故が漏洩データの質・量により数百億円以上の規模の損害が発生することなど、顧客情報の管理をエクセルで行っていた時代には、想定すらできませんでした。情報漏洩事件は、サイバー攻撃によるものはもちろん、社員の不正による事件も発生しています。各企業は、顧客情報の取り扱いを改めて確認し、"社外"と"社内"両面からの対策を行うことが求められています。
