DXの推進や働き方改革において「情報資産の取り扱い方」に真剣に向き合わなければならないタイミングが訪れています。
例えば、テレワーク時でも安心・安全に顧客リストを取り扱えなければ、不要な脅威やリスクから企業や組織における情報資産を守ることはできません。
今回は顧客リストを情報資産として管理する際の注意点と、顧客リストを情報資産として管理する際のスムーズな運用方法についてお話します。

顧客リストを情報資産として管理する際の注意点

はじめに顧客リストを情報資産として管理する際の注意点について解説します。

社内や組織内で作成される顧客リストを把握する

まずは情報資産として守るべき対象を明確にするためにも「社内や組織内で作成される顧客リストを把握する」ことから始めましょう。顧客リストと聞くと営業職が必要とするイメージがありますが、実際には「顧客情報にアクセスできる部門・部署・担当」でも何らかの形で顧客情報を抽出・リスト化しながら業務を行っていることがあるためです。
顧客リストがどのようなタイミングで作成され、どのように扱われているのか把握できなければ、適切なセキュリティ対策を行うことはできません。情報漏えいやデータ改ざんなどのセキュリティインシデントとなるのは、システム的にも人為的にもセキュリティホールが存在する箇所と言えます。管理する側・雇用する側としても「知らなかった、わからなかった」では済まされませんので、顧客リストが作成されるタイミングを網羅的に把握しておきましょう。

顧客リストを取り扱う部門・部署・担当を把握する

一般的には顧客リストは営業職やマーケティング部門で取り扱うというイメージですが、顧客リストを取り扱う部門・部署・担当が他にいれば、それらも明確にしておきましょう。前述したように誰がどのように顧客リストを扱うのかを明確にしなければ情報資産として守ることが難しいからです。
また、直接的に顧客リストを取り扱わない場合でも、営業職やマーケティング部門のために顧客情報のデータベースから顧客リストを抽出するような立場の担当においても把握しておきましょう。その他、営業職以外でも何らかの形で顧客リストを必要とする部門や部署、管理職や役職など単に閲覧する程度でも顧客リストを取り扱うものとして、セキュリティ対策の対象として把握しておくことをおすすめします。

現時点においてシステム的に顧客リストがどのように管理されているか精査する

顧客リストを定義し、顧客リストを取り扱う人を把握したら、次は現時点においてシステム的に顧客リストがどのように管理されているか精査しましょう。例えば、アクセス制限やファイル操作の権限が割り当てられているのかなどをチェックすべきです。
その上でシステム的なセキュリティ対策を回避して顧客リストを利用していないかも把握しておきましょう。特に顧客リストを印刷した場合、もしくは外部記憶装置にコピーした場合は複写やコピーが容易な状態ですので、印刷やUSBメモリにコピーしたりする場合はその先の用途や利用する人についても精査しておくべきと言えます。

顧客リストが社内ネットワーク上でどのように取り扱われているか確認する

顧客リストはデバイスや紙、外部記憶装置以外にNASやサーバーを介して社内ネットワークやシステム上で取り扱われることがあります。そのため、実データの移動やコピーを行わなくても顧客リストにアクセスできてしまう状況がありますので、システム的なセキュリティも含めてログイン制御やアクセス制限が適切に行われているかチェックしましょう。
また、本来あってはならないことですが、業務効率化と称して上長や上司のID/パスワードおよびアカウント情報を貸し出して、顧客リストも含めて何らかの情報資産にアクセスさせて業務や作業させることがあります。人的なセキュリティホールとして危険ですので、権限を越えて顧客リストおよび情報資産にアクセスして業務や作業をさせないよう注意してください。

顧客リストも含めて情報資産へのセキュリティ対策について再確認する

顧客リストはそのものが何らかの利益や売上に影響するリストでもあります。例えば、優良な顧客であれば継続的な利益や売上、新規顧客リストであれば新しい利益や売上につながります。そのため、単なるリストといえどセキュリティ対策が甘く、情報漏えいしてしまっては企業や組織としての利益や売上を損ねることになるのは間違いありません。
その他の情報資産も同様であり、顧客リストも含めて情報資産へのセキュリティ対策は万全なのか、必要な措置を講じているのか再確認しましょう。サイバー攻撃、内部不正、情報漏えい、データの改ざんなど、どれもが同じように見えますが、それぞれ異なる手法や手口で被害・脅威・リスクとなりますので、多角的にセキュリティ対策することをおすすめします。

顧客リストを情報資産として管理する際のスムーズな運用方法

次に顧客リストを情報資産として管理する際のスムーズな運用方法について解説します。

社内ネットワークへのアクセス制限・ID/パスワードによる管理の徹底

大前提として社内ネットワークへのアクセス制限・ID/パスワードによる管理の徹底を行いましょう。間違っても前述したようなID/パスワードおよびアカウントを貸し出すような業務プロセスや作業手順が存在してはいけません。

顧客リストも含めて情報資産の取扱いのログを監視・管理

監視や管理の体制が整っていなければ、顧客リストも含めて情報資産の取扱いのログを監視・管理することも導入すべきです。PC操作ログの取得、メールの送受信、Web閲覧履歴など、パソコン上での操作や利用履歴のログを取得・保存・閲覧が可能な状態にしておくことで、内部不正やサイバー攻撃による被害を検知、または原因の特定がしやすくなります。

顧客リストも含めて情報資産のアクセス制限の設定と権限の付与・管理

社内ネットワークへのログイン制御、情報資産の取扱いをログによって監視、そして次は、情報資産へのアクセス制限と権限の付与・管理が必要となります。これらの段階的なセキュリティや認証はゼロトラストセキュリティという考え方に基づいたものであり、ひとつの認証や確認だけですべてのセキュリティが突破されないような仕組みです。例えば、パソコンが乗っ取られてしまっても、社内ネットワークにログインできない、何かしようとすればログの監視に検知される、そして情報資産へのアクセスは制限および権限によって制御されていることで、セキュリティ性を高めることにつながります。

システム的なセキュリティの再構築と物理的なセキュリティの再確認

システム的なセキュリティが甘いと感じた場合は、システム的なセキュリティを再構築しましょう。同時に物理的なセキュリティの再確認として、デバイスの状態（OSやソフトウェアのアップデート情報）をリモートで管理できる仕組みがあるのか、物理的にUSBメモリなど外部記憶装置の利用の制限や禁止できているのかをチェックしましょう。デバイスを最新の状態に保つために管理は必須です。また、物理的に外部記憶装置が利用可能な状態ですと、内部不正や外部からのマルウェアの持ち込みなどの脅威・リスクがありますので、なるべくなら制限や禁止をした方が安心・安全と言えます。

規則やルールの周知徹底と情報システム部やセキュリティ担当の配置

物理的にもシステム的にもセキュリティ対策を講じたら、次は規則やルールを策定し、周知徹底しましょう。特に内部不正への抑止力につながることから、ログの監視や管理をしているということを明言しておくことが重要です。その他にも情報システム部やセキュリティ担当を配置することで、ログによる不正行為の検知や業務とは関係のない操作を把握できるようになり、内部不正と外部からのサイバー攻撃やマルウェアによる不正操作の検知もしやすくなるでしょう。
また、企業や組織の規模によっては、専任のセキュリティ担当の雇用や配置ができないことも考えられます。その場合は総合的なセキュリティ管理が可能なソフトを導入し、セキュリティに強いベンダーとのつながりを作っておくことをおすすめします。

まとめ：社内および社外という垣根なく、安心・安全に顧客リストを扱えるようにすることが大事