事例集/技術解説 - セキュリティ

当社は、2005年10月31日、一般財団法人日本情報経済社会推進協会(JIPDEC)より｢プライバシーマーク｣の認定を受けました。｢プライバシーマーク制度｣とはJIPDECが、事業者の個人情報を取り扱う仕組みとその適用が適切であるかを評価し、その証として事業活動においてプライバシーマークの使用を認める制度です。プライバシーマークの認定を受けるにあたり、構築したコンプライアンスプログラムの運用徹底および強化を狙いとして全社的に「CP（コンプライアンスプログラム）免許制度」を立ち上げました。

CP免許制度は、コンプライアンスプログラム（ＣＰ）遵守意識の定着と継続を図るために運転免許制度からヒントを得て当社独自のユニークな制度として2005年から実施しています。「個人情報保護法」「業界ガイドライン」「都道府県の条例」等の基準を取り込んでいるプライバシーマーク制度に関する教育やルール遵守の徹底を目的とし、広い意味でのコンプライアンス教育やコンプライアンス運用の徹底も目的としています。CP免許制度は「資格級制度」と「減点制度」で構成しています。

「CP免許1級」から「CP免許4級」を設定し、社内システムを利用するには「CP免許4級」取得を必須としています。社員のみではなく、業務委託者を含む当社の業務を行う全ての就労者は、入社後または当社の業務就業前にCP免許４級を取得します。無免許の場合、社内システムを含むすべての社内業務はできなくなっています。上級への昇級は、年2回の社内試験により判定し、CP免許3級とCP免許2級はeラーニングでテストを受講し、合格点の取得で昇級が認めらます。試験対象範囲は、個人情報保護・情報セキュリティ分野に加え、コンプライアンス全般、社内規定に定められている社内ルールに及んでいます。最上級の「CP免許1級」はCP免許2級試験の合格に加え、「SEA J」や「CompTIA security+」などの指定された外部資格の取得で認定されます。

また、年に1度、全就労者を対象に「CP4級更新研修」が実施され、eラーニングでの受講と試験の合格が義務付けられています。この「CP4級更新研修」では、法規範の改正内容や周知と徹底が必要な社内ルールなどをコンテンツに加え、就労者のセキュリティ教育にも利用しています。

社内で想定される大小さまざまなセキュリティ違反行為と当該行為に課される減点数をまとめた「CP免許違反減点一覧」を社内に公表し、どのような行為がCP減点に該当するかを周知したうえで、セキュリティ違反行為に対してCP減点を課しています。CP減点はセキュリティ違反を犯した本人のみではなく、当該本人の所属先のマネージャーに対しても管理責任を問い、管理責任減点として減点が課されます。各月に発生したCP違反に該当するセキュリティ事故に関しては、セキュリティに関する委員会に報告・審議されCP減点が確定します。確定したCP減点対象者は全就労者が閲覧する社内ポータルサイトに所属先・本人氏名・違反概要・マネージャー氏名などが掲示されます。違反をしていない就労者においては、当該掲示を確認することで、当社内でどのようなセキュリティ事故・違反が発生しているかを確認することができ、その原因や対策を見ることで自身が同様なセキュリティ事故・違反を未然に防ぐことができるようにしています。一定以上の減点者は「免許停止」「免許取消」となり、「CP免停研修」「CP取消研修」の受講と、復級試験が義務付けられています。

2005年の運用開始から18年が経過し、本制度は社内で当然のように定着し、就労者のセキュリティ意識向上に大きく寄与しています。当社もセキュリティ対策製品も導入していますが、製品導入だけではセキュリティ対策としては不十分です。「最大のセキュリティホールは人である」と言われることもあるように、セキュリティを対策する上では、会社としてしっかりとした「ルールの策定」をして、そのルールを運用する「人」である就労者に対してしっかり教育し、就労者のセキュリティ意識を高めることが重要であると当社は考えています。

当社は、企業のセキュリティをトータルにサポートする｢大塚商会セキュリティマネジメント(OSM)｣の一環として、お客様へのセキュリティ対策製品の導入だけでなく、お客様のセキュリティ体制の強化・ルールの策定・教育等のサービス展開する事業を行っております。今後も、CP免許制度の継続により、お客様に安心していただける信頼度の高いサービスを提供してまいります。