概要

昭和2年の創業以来、「いつの時代もお客さまのためにあれ」の精神に基づき、お客さま本位の経営を貫いてきた三井生命保険株式会社。その姿勢と実績から、生命保険業界を代表する信頼のブランドとして支持されてい る。安心を提供する生命保険業界において、個人情報漏洩は100%阻止しなければならない重要課題である。あらゆる角度から情報セキュリティ対策を講じている中で、メールによる情報漏洩防止の一環として 「CipherCraft/Mail」を導入した事例を紹介する。

課題

想定されるリスクは徹底して事前排除する

生命保険会社は、お客様の生命や傷病にかかわるさまざまな補償ニーズに対応するため、お客様との付き合いが長く、一度お預かりした個人情報の保護・管理も長期に及ぶ。また、身体や財産など暮らしにかかわる重要度の高い個人データをお預かりしているため、情報漏洩を起こすと社会的信頼を大きく損ない、取り返しのつかない大問題に発展する。三井生命保険株式会社では、「個人情報保護法」その他の法令・ガイドラインや社団法人生命保険協会の指針を尊守するのはもちろん、自発的・積極的に厳しい態勢でこの課題に臨み、情報漏洩のリスクと可能性を徹底的に洗い出して排除・根絶することに注力している。

「CipherCraft/Mail」導入の背景について、システム企画部・上席システムアナリストの檜山喜一氏は次のように語る。「お客さまからお預かりした個人情報を保護することは、事業活動の基本であり社会的責務でもあります。お客さまに不安を与えるようなことが少しでもあってはなりません。そこでかねてより、情報漏洩の起こり得るケースを細部のあらゆるところまで検証してきました。その結果、メールによる情報の持ち出しが一番リスクが高いという診断結果がでたのです」。

当然のことながら同社では、自宅に商務データを持ち帰ることは厳禁。外部メモリへのコピーは暗号化により復号不、Webへのデータアップロードは業務上許された部署に限定するなど適切な防御策を講じてきた。しかし、メールによる情報持ち出しが最終的な課題として残ったのである。実際、数年前には他社の事例で、データ自宅に持ち帰ったために情報漏洩を招いたことが社会問題としてクローズアップされたこともある。

むろん同社で情報の持ち出し問題が実際に起きたわけではないが、そのころから本格的にセキュアなメール環境の確立を検討してきた。そして今回、情報持ち出しの可能性を限りなくゼロに近づけるために「CipherCraft/Mail」の導入を決めたのである。

解決へのアプローチ

要件を満たす3つの機能をカスタマイズ

導入あたっては、三井生命保険株式会社の情報システム業務を担うグループ会社「エムエルアイ・システムズ株式会社」が中心となって担当。技術・運用本部テクニカルグループ主観のITスペシャリスト櫻井宏司氏は、「いくつかのセキュリティソフトウェアを比較検討しましたが、既存製品にシステムだと実装できない要件がいくつか出てきました。そんな中で『CipherCraft/Mail』は、上長による送信メールの事後チェック機能と、メールアーカイブ機能の拡張、ログイン操作の軽減という3つの機能のカスタマイズにより対応することで、三井生命株式会社の要求条件をすべて満たすことが決め手となり、導入を決定しました」と語る。その他、ユーザーインターフェイスや特許k取得のメール誤送信の危険度を示す表示画面などが、他社製品に比べてわかりやすかった点も魅力だったという。

「CipherCraft/Mail」導入前のシステムでは、上長が送信メールの事後確認を行う機能を利用していた。しかし今回の最重要課題は、情報を持ち出す前にチェックできる仕組みである。「『CipherCraft/Mail』導入により、情報の持ち出しリスクが高い添付ファイル付きメールについては事前に上長承認を必要とし、添付ファイルがついていないメールは事後確認という形式にしました」。櫻井氏は、この振り分けにより、上長が事前にすべての送信メールを確認する負担の消え言とセキュリティ強化の両膣を目指したと話す。事前承認を行う上長は、代理人を複数指定することができるため、業務の負担分散と不在時や繁忙時にメール送信がとそ凍ることも回避できる。

また、利用者のログイン操作もより簡素化できるよう、使い勝手の良いカスタマイズにこだわった。具体的には、1回目はログインが必要だが、2回目以降はアクティブディレクトリ上に持っていなかったため自動連携でどのように情報を持たせるのが最適かという課題もあり、システム化は容易ではなかったが、ログイン操作の負荷軽減を実現できたことで利用者の使い勝手に配慮できたという。

ソリューションとその成果

セキュリティに対する安心を実感

「CipherCraft/Mail」は、現在、総合職である約6,000名が利用している。三井生命保険株式会社における当初の重要課題であった添付ファイルが付いたメール送信時の上長承認機能について、利用者にはどのような感触が得られているのだろうか?これについて檜山氏は、「事前承認により、メール送信には、かなりの安定感がえられました。もちろん、承認をする上長にとっては手間が増えたのは事実です。しかし、負担によりセキュリティが強固になったということの方がはるかに重要。”手間”と”信頼”を天秤にはかけられません。上長に限らず社員一同、セキュリティに対する意識は高いので、チェックしないことの怖さは認知しています。要件を満たすカスタマイズができたと思います」と、「CipherCraft/Mail」に大変満足されているようだ。

エムエルアイ・システムズ株式会社 技術・運用本部 テクニカルグループ 副主任システムズエンジニアの南澤卓也氏は、導入当時を振り返り、「カスタマイズの要件を決めていく中で、こちらの無理難題に対してNTTソフトウェアさんは迅速に対応してくださったので大変助かりました」と語る。実装に至るまで苦労も多かったが、NTTソフトウェアの丁寧な対応により着実に進められたという。

今後の展開

より理想的なメール環境への対応と期待を担って

2013年1月の導入から2ヵ月が経過した現在(取材時)、利用者から「CipherCraft/Mail」への期待が寄せらせられている。檜山氏によれば「運用後すぐに上がってきたのは、海外とメールの送受信を行うことが多い部門からの、”パスワード通知を英文でも表記できるようにして欲しい”という要望です」とのこと。もっとも「CipherCraft/Mail」なら、パスワード通知に関して日本語・英語併記のフォーマットを作ることができるので、早急な対応が可能だ。

また現在、利用者は総合職のみに限定しているが、営業職への利用者拡大も検討されている。「営業職への展開を考える上で一番の課題は、保険業法に抵触するような表現のチェックです」と、檜山氏は説明を続ける。「保険の募集において、お客さまを惑わせたり誤認を与えかねないような募集は、保険業法上で一切禁止されています。そのため弊社では、オフィシャルに作成した文章以外での募集を厳禁にしています。個人が作成したメールの文章宙に、募集につながるような言葉が一言でも入っていたら、保険業法違反になるわけです。」これについて「CipherCraft/Mail」は、フィルタリング機能によってキーワードをチェックし、メール送信できないようにすることや上長承認に回すなどの方法により、法令違反講師を未然に防止することが可能。リスト化された個人情報を検知する機能もある。

導入後の評価を集約して今後のシステム化範囲の拡大へつなげるのは、まだこれからの段階だが、櫻井氏からは「パッケージの標準昨日では実現できない要件がある場合でも、カスタマイズによる対応で対処kが可能であればひとつのシステムで済みますし、保守の面からも助かります。その点、フレキシブルな対応が可能な『CipherCraft/Mail』には、大いに期待しています。NTTソフトウェアさんには、また相談に乗っていただきたいですね」と前向きなご意見をいただいた。創業以来築き上げてきた伝統と信頼のブランドを、これからも守り続けていくために- 「CipherCraft/Mail」のさらなる活躍に大きな期待が寄せられている。

お客様プロフィール

 お客様プロフィール
設立 1927年3月(昭和2年)
事業概要 生命保険業
資本金 7兆1,681億円(平成24年3月末現在)
従業員数 12,105名(うち内勤職員3,573名/平成24年3月末現在〉

※2013年5月時点現在