ITの進化により、以前よりも大量のデータを扱うことが容易になっています。そして大量のデータを扱うようになったからこそ、その情報が漏えいすれば、テレビや新聞で取り上げられるほどのニュースとなり、企業の信頼は大きく失墜します。そのため、多くの個人情報を扱うコンタクトセンターでは、その扱いに細心の注意を払わなくてはなりません。今回は、コンタクトセンターで個人情報を扱う際のセキュリティ対策について考えていきます。
個人情報保護法における個人情報とは?
セキュリティ対策を行ううえで、まず知っておかなければいけないことは、個人情報保護法における「個人情報とはどういったものか」です。そもそも個人情報保護法とは、個人情報を取り扱う際のルールを定めた法律で、2005年に施行され、2015年の改正を経て、2017年にはその対象がすべての事業者に拡大されています。
ここで言われる個人情報とは、個人情報の保護に関する法律、第2条第1項「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合でき、それにより、特定の個人を識別できるものを含む)」と定義されています。具体的には氏名、住所、生年月日、家族構成、勤務先、免許証番号、マイナンバー、基礎年金番号のほか、指紋、掌紋、声紋なども含まれます。
企業が取り扱う個人情報は、大きく分けて「顧客属性情報」と「購買取引情報」の2つに分類できます。顧客属性情報の場合、氏名/住所/生年月日などが個人情報に該当します。購買取引情報では、「どんな商品を購入したか」または「問い合わせをしたか」といったものが該当します。仮に氏名が隠されていたとしても、商品とそれを送った住所が合わされば立派な個人情報になるため、企業としてはどちらの情報もしっかりと管理する必要があります。
コンタクトセンターでのセキュリティ対策
(1)人的対策
コンタクトセンターでのセキュリティ対策は、人的対策と仕組み的対策の2つの対策があります。まずは、人的対策について紹介します。人的なセキュリティ対策には「個人的なもの」と「組織的なもの」があり、個人的な対策としては、次の3つが挙げられます。
守秘義務契約
情報セキュリティ教育
懲戒手続き
雇用時に守秘義務契約を結んだうえで、情報セキュリティに対する教育をします。そのうえで情報漏洩を犯してしまった場合の懲戒手続きを制定することで、対策を行います。さらに雇用契約が終了した際の、情報資産の返却、社内データへのアクセス権の削除も必須となります。
次に、組織的なセキュリティ対策のなかでも代表的なものを2つ紹介します。
情報セキュリティ文書の策定
チェック体制の確立
情報セキュリティを順守するためのルールを文書化し、組織として管理を行います。また、文書化されたルールを基に、しっかりと守られているかどうかをチェックする体制を確立します。組織として「明確にセキュリティ対策を行う姿勢」を表すことが最も重要です。
(2)仕組み的対策
仕組み的対策は、IT機器を使った対策とオフィスのゾーニング、入退室管理などの物理的対策があります。まず、IT機器を使った主な対策を紹介します。
ウィルス対策ソフトの導入
ソフトウェアの更新
情報暗号化
アクセス制御・ログの取得
顧客情報を管理するPCのセキュリティ対策として、ウィルス対策ソフトの導入と共に、常にソフトウェアを最新に保つための更新を欠かさないようにルール化します。また、情報の暗号化やコンタクトセンター以外からのアクセス制御、ログの取得も併せて行います。
次に、物理的な対策について代表的な対策を紹介します。
入退室管理・オフィスのゾーニング・監視カメラの設置
情報の持ち出し、廃棄・保管ルールの策定
コンタクトセンターには、パスワード管理された鍵、IDカードで施錠する鍵などを取り付け、監視カメラを設置することで、入退室管理とともに部外者が侵入できないようにします。また、室内に高いついたてを置かず、あえて見通しのよいゾーニングをすることで、ヒューマンエラーによる情報漏洩を未然に防ぎます。
まとめ:
コンタクトセンターのセキュリティ対策の最重要課題は、一人ひとりの意識
ひとたび個人情報が漏えいしてしまえば、企業として大きな損失になり、場合によっては経営の根幹を揺るがす問題になるケースも珍しくありません。もちろん、自社を信頼して情報を預けてくださったお客様に対して、多大なる迷惑をかけてしまう結果となります。この意識は、コンタクトセンターで働く社員はもちろん、全社で常に共有しなければなりません。
そうした意味で、コンタクトセンターのセキュリティ対策は、人的、仕組み的な対策を万全にしたうえで、そこで働く社員一人ひとりが「お客様の重要な情報を扱っている」と常に意識することが、もっとも重要であるといえます。
