個人情報取り扱い企業のリスク診断

こんにちは。セキュリティサービス担当のNONです。

 マクニカネットワークスはネットワーク、サイバーセキュリティ、最近ではAI関連の製品・サービスを海外から仕入れ、国内企業へ導入から導入後の保守・サポートまで一貫して提供できる技術商社ですが、一方で自社製品・サービスを企画・開発したり、それらを提供したりもしています。
 セキュリティサービスも最近取り組んでいる事業の一つで、今回はその中からセキュリティのコンサルティング業務で現在進めている「個人情報漏洩リスク診断サービス」案件の事例紹介を通して、「こんな仕事もやっています」という事を紹介します。

 この案件の会社では毎年自社のリスク診断を実施しており、今年はマクニカネットワークスが個人情報漏洩のリスク診断を請負うことになりました。実施する内容は、この会社で取り扱っている個人情報について情報漏洩リスク診断をグループ子会社と業務委託先に対して行うというものです。

業務委託先とは、自社で実施する代わりに一部の業務を外部委託する企業のことで、アウトソーシング先と表現をすることもあります。例えば、自社で行う代わりにDM(ダイレクトメッセージ)の配信や郵送をする企業、製品・商品の倉庫や物流管理を行う企業、会員向けWebサイトのシステム開発・運用を担う企業、コールセンター、社内システムの運用や保守を担う企業など、一般的に事業規模が大きくなるのに伴い、各方面の専門企業へ外部委託することが多くなります。余談になりますが、業務委託をするメリットは人件費、固定費の抑制などですが、一方で業務プロセスが複雑化したり、個人情報を含む機密情報が漏洩するリスクが上がったりします。そのため、個人情報漏洩リスク診断は自社グループ子会社だけでなく、業務委託先に対しても行う必要があります。

この情報漏洩リスク診断サービスの大まかな進め方は、以下の通り。
.昨年度に実施したリスク診断結果、現在取り組んでいる昨年度の改善事項の進捗確認
.今年の評価方法、評価基準のすり合わせ
.事前にヒアリングシートを記入してもらい、各社に訪問して確認
.情報を分析・整理し、報告会を実施

 この中で特に重要なのはです。はお客様の企業理念や社内規定、ネットワーク構成図なども加味した上で合理的な評価基準を作成し、合意形成をする必要があります。ボタンの掛け違いをしたまま進めると後で大問題になるので、ここはとても重要です。
 は親会社、グループ子会社、業務委託先に対して診断した上で訪問して確認するため、かなりの社数を訪問する事になります。特に業務委託先はグループ子会社毎に存在するため、仮に1グループ子会社につき5社の個人情報を取り扱う業務委託先がある場合、グループ子会社数 x5 社が対象になります。1日1社訪問するとしても20社あれば20営業日で約1ヶ月必要になりますので、準備と日程調整だけでも時間がかかります。
 これらを解決するため、現在は関係会社になったプレス(※1)を出していますが、当時は外部協力パートナーであったS&J社と一緒に案件を進める事にしました。%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E6%BC%8F%E6%B4%A9%E5%8F%96%E3%82%8A%E6%89%B1%E3%81%84%E4%BC%81%E6%A5%AD%E3%81%AE%E3%83%AA%E3%82%B9%E3%82%AF%E8%A8%BA%E6%96%AD1.png

<S&J社のアナリストメンバー>

マクニカネットワークスはプロジェクト全体管理とお客様との調整対応を、S&J社は彼らの豊富なコンサルティング経験を生かして評価基準やヒアリングシートの作成、分析面で協力してもらい、顧客訪問は両社で行う役割分担です。%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E6%BC%8F%E6%B4%A9%E5%8F%96%E3%82%8A%E6%89%B1%E3%81%84%E4%BC%81%E6%A5%AD%E3%81%AE%E3%83%AA%E3%82%B9%E3%82%AF%E8%A8%BA%E6%96%AD2.png

<システム評価観点のサンプル>

 新型コロナウィルスの影響で在宅勤務体制への移行や対面訪問が難しくなるなど、全ての顧客訪問は完了できず、一部は情勢が落ち着いた後に継続となってしまいましたが、それまでの分析結果から提出した中間報告では、高い評価を得るに至りました。
 お客様がこれまでに取り組まれてきた作業環境の分離を(良い意味で)評価する一方で、お客様も正確には把握していなかった自社システムの仕様上のミスの指摘や、業務委託先毎の内部不正を含めた情報漏洩リスクを可視化し、次年度に取り組むべき施策やロードマップを具体的に示すことができたためです。

 (まだ終わってないけど)「いい仕事したなぁ」と思う一方で、毎年診断会社を変更される方針という事でしたので、「来年度担当される会社のハードルを随分上げてしまったなぁ」という思いもあったりします。

 国内トップクラスの経験と知見を持つS&J社アナリストとの協業や、顧客の課題や要望に寄り添う過程で経営課題を一緒に解決していくなどのコンサルティング業務は顧客志向の視野を広げるので、エンジニアとして海外の先端技術に触れるのとは別の楽しさがあり、また奥の深さを感じます。

※1:https://www.macnica.net/pressrelease/sandj_20200220.html/

トップに戻る

関連記事

前へ

敵を知り己を知れば何とか~なんちゃって攻撃者体験~

次へ

鯖缶な日々

Page Top