定期的に確認してますか?コールセンターにおける8つの情報漏洩対策
近年、情報漏洩事故が増しており、企業の信頼を大きく損なう原因となっています。特にコールセンターは顧客からの問い合わせや情報提供をおこなう部門であるため、情報が漏洩しないようしっかり対策を講じることが必要です。
本記事では、長年に渡りコールセンター運営を手掛けて来た当社キューアンドエーの視点で、コールセンターでの情報漏洩の原因と、それを防ぐための具体的な対策について詳しく解説します。
■キューアンドエーのベンダー切り替えサービス資料
→コールセンターの管理体制が不安・改善したいなどの課題をお持ちの方は、ベンダー切り替えサービスをご検討ください!
目次[非表示]
- 1.情報漏洩の原因
- 1.1.① 紛失・置き忘れ
- 1.2.② 人為的なミス
- 1.3.③ システムの脆弱性
- 1.4.④ 内部の不正行為
- 2.情報セキュリティ対策
- 3.コールセンターにおける8つの情報漏洩対策
- 3.1.① 情報の持ち出し禁止
- 3.2.② 情報資産を放置しない
- 3.3.③ 情報の廃棄ルールの策定
- 3.4.④ 私物を持ち込まない
- 3.5.⑤ 鍵やアカウントの貸し借り禁止
- 3.6.⑥ 定期的なアクセス権限の見直し
- 3.7.⑦ 業務上知り得た情報を公言しない
- 3.8.⑧ 情報漏洩が発生したら、即報告
- 4.情報漏洩事故の事例
- 4.1.① USBメモリ紛失事故
- 4.2.② 紙に書き写して持ち出し
- 4.3.③ FAX・メール誤送信
- 5.キューアンドエーの6つの取り組み
- 5.1.① センター内のセキュリティ強化
- 5.2.② USBメモリなど情報記憶媒体の利用を制限
- 5.3.③ 私物の持ち込みの制限
- 5.4.④ コールセンター従事者への教育
- 5.5.⑤ デバイスの対策
- 5.6.⑥ プライバシーマーク/ISMSの認定
- 6.まとめ
情報漏洩の原因
情報漏洩の原因は様々ですが、大きく4つの要因に分けられます。
それぞれの要因を詳しく見ていきましょう。
① 紛失・置き忘れ
情報漏洩の中で最も多い事由が、デバイスや書類の紛失です。特に近年では、リモートワーク環境が整ったことで社外で仕事をするケースも増えています。外出先や電車内にスマートフォンやPC、あるいは重要な書類を置き忘れるケースがあります。
また、飲み会後の電車内で寝落ちしてしまい、盗難にあったり電車内に置き忘れてしまったりするケースも少なくありません。
② 人為的なミス
人間は完璧ではないため、ヒューマンエラーは避けられません。例えば、メールの宛先や添付ファイルの誤送信、FAXの送信先の誤りなどが挙げられます。またメールの一斉送信をする際に、本来BCCで送るべきところを、誤ってTOあるいはCCで送ってしまうケースも散見されます。
こうしたヒューマンエラーを防ぐためには、送信前のダブルチェックや添付ファイルにパスワードを掛けるなどの対策が必要です。
③ システムの脆弱性
現代のビジネスにおいて、ITシステムの利用は欠かせません。しかし、そのシステム自体に脆弱性が見られる場合、不正アクセスを受けるリスクがあります。
特に古いシステムを使い続けている場合や、セキュリティ対策が不十分な場合、ウイルス感染など外部からの攻撃を受けやすくなります。
④ 内部の不正行為
情報漏洩の原因は、外部からの攻撃だけとは限りません。実際は、サイバー攻撃による被害よりも、内部の不正行為による被害の方が多いというデータもあります。
具体的には、従業員など内部の人間が自身の利益のためにデータを無断で使用したり、企業への恨みなどの動機から故意に情報を漏らしたりするケースもあります。例えば、業務上知り得た著名人の個人情報を外部(家族も含め)に漏らすことは禁じられています。
情報セキュリティ対策
企業は数多くの機密情報や個人情報を扱っています。たった一度でも外部に情報が漏れてしまえば企業としての信頼失墜は避けられません。
したがって、コールセンターに限らず一般的な企業や組織においても情報セキュリティ対策は欠かせない要素となっています。ここでは、情報セキュリティ対策を4つのカテゴリーに分けて詳しく解説します。
① 組織的対策
情報セキュリティの基盤となるのが組織的対策です。これには、情報セキュリティ方針や規程の策定、組織内での役割と責任の明確化が含まれます。全従業員が情報セキュリティの重要性を理解し、それに基づいて行動するための方針を明確にすることが求められます。
② 物理的対策
物理的対策は、デバイスや設備の盗難・紛失を防ぐための対策です。例えば、鍵の施錠やセキュリティカメラの設置、入退室管理などが該当します。物理的に機密情報へのアクセスを制限することで、不正アクセスや持ち出しを防ぎます。
③ 技術的対策
技術的対策は、ITシステムのセキュリティを強化するためのものです。例えば、不正アクセス防止のためのファイアウォールの設置や、ウイルス対策ソフトの導入などが挙げられます。また、定期的なセキュリティパッチの適用や、システムの脆弱性診断も重要な対策です。
④ 人的対策
人的対策は、従業員や関係者に対する教育や、機密情報の使用に関する規定の整備、アクセス権限の見直しなどが挙げられます。
特に、管理者のマネジメントも重要であり、適切なアクセス権限の付与や、情報の取り扱いに関する教育の徹底が求められます。
コールセンターにおける8つの情報漏洩対策
コールセンターは、個人情報や顧客情報を多く取り扱う部門です。したがって、情報の取り扱いには細心の注意を払う必要があります。ここでは、コールセンターにおける情報漏洩対策を8つ紹介します。
① 情報の持ち出し禁止
情報の持ち出しは、情報漏洩の大きな原因の一つです。業務上の情報を許可なく持ち出す行為は、外部への情報漏洩のリスクを増大させるため、厳格に管理する必要があります。
例えば、顧客の問い合わせ内容や個人情報を含む書類を従業員が持ち帰らないようにします。対策として、持ち出しの際の許可制度の導入や、持ち出しを監視するセキュリティシステムの導入などが挙げられます。
② 情報資産を放置しない
情報資産の放置は、他者による不正なアクセスのリスクを高めます。業務終了後も、情報資産をデスク上や共有スペースに放置することはNGです。例えば、電話応対後のメモや顧客データを含む書類をデスクに放置したり、付箋を画面に貼り付けたままにすると、他の従業員や清掃員などに閲覧されるリスクがあります。
対策として、情報資産の保管場所を明確にし、それを徹底する教育をおこなうことが必要です。また離席の際は、PC画面に個人情報が表示されたままにならないように、スクリーンセーバーを必ず設定しましょう。
③ 情報の廃棄ルールの策定
機密情報の適切な廃棄は、情報漏洩を防ぐための重要なステップです。ハードディスクをきちんと消去しないまま廃棄すると、後から情報を復元されるリスクがあります。また、業務情報を格納した電子媒体や書類を安易にゴミ箱に捨てると、外部に持ち出される可能性もあるので注意が必要です。対策として、情報廃棄のルールや手順を明確にし、全従業員の周知徹底が求められます。
④ 私物を持ち込まない
私物の持ち込みは、情報漏洩のリスクを増大させる可能性があります。特に、スマートフォンやスマートウォッチなどは、情報を記録する機能が備わっているため、機密情報が不正に記録されるリスクが高まります。
対策として、持込物を制限するルールの策定や専用ロッカーを設置するなど、センター内に私物を持ち込まない仕組み作りが大切です。
⑤ 鍵やアカウントの貸し借り禁止
デスクの鍵やPCアカウントの貸し借りは、情報への不正なアクセスを生んでしまうリスクがあります。例えば、他の従業員のアカウントや鍵を使用することで、そのアカウントに紐づく情報へのアクセスが許可されていない第三者によって閲覧されるリスクが高まるので注意しましょう。
対策として、アカウントや現物鍵の管理を徹底し、従業員同士の貸し借りを禁止するルールを設けることが必要です。また、近年ではクラウドサービスが普及したことで、私用のスマートフォンやPCからログインするケースも増えています。こちらに関しては、シャドーITを検知する設定をおこない、不正ログインを防ぐことが大切です。
⑥ 定期的なアクセス権限の見直し
アクセス権限の不適切な設定や管理は、情報漏洩のリスクを高める要因となります。人事異動や業務内容の変更に伴い、アクセス権限も変わることがあります。対策として、定期的にアクセス権限の見直し、適切な権限設定を維持することが求められます。
⑦ 業務上知り得た情報を公言しない
業務上知り得た情報を外部で公言することは情報漏洩となります。例えば、顧客の問い合わせ内容や個人情報を関係者以外に漏らしたり、SNSなどで公開したりすることは情報漏洩になります。
対策として、就業規則に機密情報の取り扱いに関する規定を設けるほか、業務上の情報を外部で公言しないことを従業員全員に周知徹底することが必要です。
⑧ 情報漏洩が発生したら、即報告
情報漏洩が発生した場合、その被害を最小限に抑えるためには迅速な対応が求められます。隠蔽は論外ですが、対応が遅くなればなるほど収拾がつかなくなります。
対策として、情報漏洩が発生した際の報告ルートや手順を明確にし、それを従業員全員に周知することが必要です。
情報漏洩事故の事例
情報漏洩は、企業の信頼を失墜させるだけでなく、顧客や取引先との関係を損なう恐れがあります。以下は、実際に発生した情報漏洩事例を取り上げ、その原因や結果を詳しく解説します。
① USBメモリ紛失事故
兵庫県尼崎市は、2022年に発生したUSBメモリ紛失事案について公表しています。具体的には、住民税非課税世帯等に対する臨時給付金支給事務の委託先の関係社員が、吹田市のコールセンターでのデータ移管作業のために必要なデータを記録したUSBメモリを持ち出しました。データ移管作業完了後、関係社員は飲食店での食事を終えた後、帰宅時にUSBメモリを入れていた鞄を紛失してしまいました。
この事案を受けて、尼崎市は外部有識者による第三者委員会を設置し、原因の検証と再発防止策を策定しました。
② 紙に書き写して持ち出し
ベネッセコーポレーションでは、2015年にコールセンター業務を委託していた委託先の元契約社員がベネッセの顧客情報23人分を不正に取得し、紙に書き写して外部に持ち出していた可能性があると発表しました。
ベネッセはこの事案を受けて、委託先の監査・監督体制や情報管理体制を強化しました。また、委託先企業も、個人情報を扱う場合の管理レベルの強化や、全社員を対象とした個人情報保護教育の強化などの対策を講じています。
③ FAX・メール誤送信
2020年に愛媛県が委託しているコールセンター業務において、相談記録をまとめた電子ファイルを電子メールで誤送信する事案が発生しました。
同社は再発防止策として、送信するファイル名に顧客名を入れ、メール送信前に複数の社員がチェックする体制を取るとともに、送信するファイルに2種類のパスワードを設定し、誤送信が起こった場合でもファイルを展開できない仕組みを導入しています。
キューアンドエーの6つの取り組み
情報漏洩事故の事例を見てきた中で、企業や組織がどのような対策を講じているのか、具体的な取り組みを知ることは非常に重要です。
ここでは、当社キューアンドエーが情報漏洩を未然に防ぐためにおこなっている取り組みをご紹介します。
① センター内のセキュリティ強化
センター内では、入退管理や監視カメラによる記録を取っています。また、取り扱う情報の機密度に応じて、センター内のセキュリティゾーンやエリアを設定し、アクセス権限の見直しも定期的におこなっています。
② USBメモリなど情報記憶媒体の利用を制限
情報記憶媒体、特にUSBメモリの利用は、PCに接続しても反応しないように設定されています。これにより、外部からの不正なデータの持ち込みや、内部からの情報の持ち出しを防ぐことができます。
③ 私物の持ち込みの制限
キューアンドエーのコールセンター内では、私用のスマートフォンや筆記用具など、情報を持ち出す可能性のあるものは持ち込みが禁止されています。専用ロッカーを設置し、従業員はセンター内に私物を持ち込まないルールになっています。
④ コールセンター従事者への教育
キューアンドエーでは、入社時に情報セキュリティや個人情報の取扱いに関する研修を実施しています。入社後も、定期的に情報セキュリティ研修・テストをおこない記録しています。また、担当する業務内容に合わせた現場での研修も実施しています。
⑤ デバイスの対策
デバイスに対する対策として、ウイルス対策の実施、OSやソフトウェアの最新化、ファイアウォールの設置などがおこなわれています。また、アクセス制御を強化し、不正なアクセスを防ぐ取り組みも実施しています。
⑥ プライバシーマーク/ISMSの認定
外部機関による厳格な監査を受け、プライバシーマークやISMSの認定を取得しています。これにより、組織としての情報管理体制の適切さを証明しています。
まとめ
本記事では、情報漏洩の原因や、情報漏洩を未然に防ぐための具体的な対策について詳しく解説しました。コールセンターは、多くの顧客情報を取り扱う場所であり、情報漏洩のリスクが常に伴います。しかし、どれだけ対策を講じても100%の安全性を保証することは難しいのが現実です。
特に、コールセンター業務をベンダーに委託している場合は、十分なセキュリティ対策を講じているか常に目を光らせましょう。もし、運用面やセキュリティ対策に不安がある場合、ベンダーの切替を検討することも大切です。
また、新しいベンダーを選ぶ際には、情報セキュリティの取り組みや実績を重視し、信頼性の高いパートナーを選びましょう。コールセンターの管理体制に不安や課題をお持ちの方は、お気軽にご相談ください。
■キューアンドエーのベンダー切り替えサービス
→コールセンターの管理体制が不安・改善したいなどの課題をお持ちの方は、ベンダー切り替えサービスをご検討ください
