A社の申込受付センターは、顧客の入会申込みを対面で受付け、その受付けた申込書は1週間分そのセンター内のキャビネットに保管し、毎週月曜日にデータエントリー部に送っている。
申込者を保管しているキャビネットは施錠され、鍵は課長の脇机に保管されているが、脇机を開けるダイヤルは課長不在時を想定して担当者に広く伝えていた。
ある月曜日、データエントリー部に申込書を送る担当者が、キャビネットに保管してあった500枚の申込書の紛失に気付いて課長に直ぐに報告した。先週金曜日の夜の時点では500枚の申込書があったことは判明したため、週末に誰かが持ち出した可能性が高くなった。
しかし、執務室の出入口に監視カメラは無く、最終退出者の記録も取っていない為、誰が持ち出したのか(可能性があるのか)分からなかった。
「今日の事例」は保管していた申込書がテーマです。
キャビネットに鍵をかけて保管すると、かなり安全なように感じますが、実は色々なリスクを含んでいます。外部からのアクセスという点では、それなりに安全だと言えますが、内部の関係者からすると、誰でも情報に触れる状態になっていることは多々あることかと思います。
まず、問題となるポイントについて見てみます。
①申込書の保管期間の設定
・特に、次の作業工程があるような場合、滞留保管期間はできるだけ短い方がよい
②キャビネット鍵の管理不備
・個人情報等機密情報を保管するキャビネットの鍵は限定された人だけが取り扱えるようにする
③執務室入口の監視カメラ未設置
・大量の個人情報を取扱う場合などは、執務室の中からの持出し等を想定し監視カメラでの記録が必要
④入退室の記録未取得
・入退室用のICカードを導入するなど、記録が残る仕組みが必要
今回の事例のように、鍵は容易に手に入り入退室のチェックもされてない、という状況では『いつでも持ち出せますよ』と言っているような状態です。上記のリスクポイントを踏まえて、このような事象が発生する可能性を少しでも少なくする方法を考えてみて下さい。
今回の事例で、申込書500枚が持ち出されてしまった結果はどうなるしょうか?
①個人情報保護法違反
・申込書は個人情報が記載されていますので、これが不当に持ち出された為、個人情報の流出扱いとなり、個人情報保護法違反になる可能性があります。
②個人情報流出による
・信用の失墜~顧客離れ
・個人情報流出により2次被害があり、損害が発生した場合の損害賠償責任
・会社の信用の失墜
今回の事例は、キャビネット保管物の管理をどうすれば良いのかがテーマです。鍵の管理などはどうしても普段便利な方法で管理しがちで、入退室の管理も「良く知っているメンバーだから大丈夫」、という気持ちになりがちです。
しかし、持ち出すハードルがあまりにも低いと、何か心情の変化あるような場合には、このハードルが低いことをうまく利用しよう、という考えが生まれ、内部不正につながっていくのです。