株式会社東京三菱銀行 2004年度 | 法人向けサービス事例紹介

集合研修
eラーニング教材

ホーム > 法人向けサービス > 法人向けサービス事例紹介 > 株式会社東京三菱銀行 2004年度

会員登録の特典

カート

法人向けサービス事例紹介

個人情報の価値と意義を再認識し、
強固な情報セキュリティ管理体制を築く

株式会社東京三菱銀行

最近の報道を見てもわかるように、企業が顧客の個人情報の漏洩を起こした場合、その原因が悪意のないミスや事故であったとしても、情報セキュリティへの管理意識や体制が欠如していたとして、社会的責任を厳しく問われることになります。情報漏洩で最大の被害者となるのは、企業の利益を支えてくれる顧客だからです。東京三菱銀行は、信用が厳しく求められる金融機関として、情報に対するセキュリティ強化を全行的な重要課題としてとらえ、戦略的取り組みを推進。全行を貫く情報共有基盤「OPEN」を背景に、eLearningの充実や、多重的な情報防衛施策の整備を進め、確かな成果を収めています。「OPEN」の立ち上げに際して、コンサルテーションやコンテンツ作成を担当したグローバルナレッジは、ここでも統合マネジメントシステム構築を目指して情報セキュリティの浸透施策を支援しました。

株式会社東京三菱銀行
本店所在地	東京都千代田区丸の内2-7-1
設立	1919年8月
取締役社長	畔柳信雄
資本金	7,859億円
総資産	80兆7,183億円
URL	http://www.btm.co.jp/
※2004年12月6日現在

個人情報保護は企業の社会的責任

2005年4月から「個人情報保護法」の全面施行が予定されています。万一、情報漏洩や流出などの事故が生じた場合、損害賠償など金銭的なペナルティの重さはいうまでもなく、どの業界よりも厳しく信用が求められる金融機関が失うものはあまりに甚大です。東京三菱銀行全体の情報セキュリティ文化の醸成と管理体制の形成を進める、情報セキュリティ管理室室長の石毛宏氏は、同行の基本的なポリシーを以下のように語っています。

「そもそも、お客様情報をはじめとする情報の守秘は、それを扱う企業の社会的な使命です。まして私ども銀行は、ご住所やお勤め先などの属性データとともに、預金やローン等の資産状況というトップシークレットの個人情報をお預かりしています。万一、漏洩が生じた場合に、銀行としての社会的信用の失墜はもちろん、お客様に計り知れないご迷惑をおかけしてしまいます。私たち一人ひとりが『貴重なお客様の情報をお預かりしているのだ』ということを常に肝に銘じ、自らを律していかなければなりません。そのために、まず個人情報の価値を再認識し、そのポリシーを経営姿勢の基本に据えて行内全体で共有し、モラルアップやリスク管理の思想を企業文化として形成、定着させていくことが私たちの役割です」

情報セキュリティ管理室
室長石毛宏氏

個人情報尊重への
マインドセットがポイント

東京三菱銀行では、情報セキュリティ管理を企業経営の重要な柱としてとらえ、早期から戦略的な取り組みを開始してきました。
「旧来、私どもの組織は、総合企画室内の部署として設立され、いわゆるサイバーテロやウイルス、ワームなどへの対策を進めてきました。しかし、お客様情報の保護思想をさらに推し進め、リスク管理の視点から体制強化を図るべきであると考え、2004年7月から『情報セキュリティ管理室』として独立した部署になり、併せて権限と体制の強化が図られたのです」（石毛室長）

ビジネスのIT依存度が高まる中、情報は"人・モノ・金"に次ぐ第４の経営資産として大きな位置を占めてきました。企業活動の中で蓄積した情報こそが、次の時代に向けた資産であると多くの企業は考え、大量の情報を蓄積し、その中から新たな戦略や具体的なアクションの指針を見いだそうとしてきたのです。しかし、石毛室長は次のように警鐘を鳴らします。
「そろそろ『情報を集めるだけ集めよう』という情報量至上主義から脱却を図らなければいけません。実は『情報量とリスクはリニアな関係にある』のです。そのことを意識し、本当に必要な情報だけを吟味して、取り扱いに細心の注意を払うとともに、不要な情報を保有しない姿勢を習慣づけたいものです」

事実、企業の情報漏洩の中で最も多いのは、ネットワークに対する外部からの不正侵入やアクセスではなく、社内からの持ち出しや電子メール送信時の不注意による過失・事故などによって、外部へ漏れてしまうケースです。電子情報は、電子メールに添付したり、さまざまな電子媒体へコピーするなどして、簡単に持ち出すことができます。そんな手軽さが、情報価値や取り扱いに対する認識を麻痺させてしまう危険性があるのです。
「いったん流出した情報は、ネットワーク等を介して、第三者へと際限なく広がっていく危険性があります。そうなると、もはや流出情報の回収は実質的に不可能です。だからこそ、技術的な対応や仕組み作りだけでなく、行内の全職員を貫く情報保護思想により意識の高揚を図る必要があるのです。そのために、教育の徹底が焦眉の課題となっていました」（石毛室長）

情報システムに対するセキュリティ機能や業務遂行上のルールだけでは、情報セキュリティの確保は不可能です。情報セキュリティに関わるプロセスを常に意識し、その中での「人」の位置付けを考慮した情報セキュリティマネジメントシステムの構築とその浸透が情報セキュリティ確保には有効です。

全行員への教育手段として
eLearningのメリットを活用

しかし、全国に広がる営業店で忙しく日常業務に追われる1万6,000人の全職員に対して、短期間で同レベルの教育を行うのは、容易なことではありません。

「導入研修に集中できる新人なら比較的スムーズにいきますが、入行年度もさまざまで、それぞれ業務の最前線に立っている職員全員を対象とした教育となると、そう簡単ではありません。当行では、2003年7月に部門や地域などの枠を超え、行内全体を貫く情報共有を図るネットワーク基盤として、『OPEN』がカットオーバーしました。そこで情報セキュリティ管理室では、この情報インフラの上に全職員の受講を前提としたeLearningコンテンツをのせようと考えたのです」

行内の情報セキュリティ教育を進めてきた情報セキュリティ管理室調査役・斎藤由美子氏は、こう続けます。
「市場やビジネス環境の変化に対応しながら、私たちが常にお客様から選ばれる存在であり続けるための戦略的な情報インフラ、それが『OPEN』です。個人情報の価値、保護することの重要性や意義を啓蒙する私たちの教育コンテンツは、2003年の夏にリリースされ、『OPEN』にのせられたeLearningコンテンツのトップバッターになりました」

情報セキュリティ管理室
調査役
斎藤由美子氏

全行のセキュリティ意識のベクトル合わせを目指したこのコンテンツは、2004年9月末までに全職員が受講することをルール化。『OPEN』の画面や広報誌、ビデオなどでもその旨をアピールし、浸透を促しました。また、行員の利便性を考え、勤務中でも手の空いた時間があれば、自由にアクセスして閲覧することを奨励しました。

「いずれにしても、時間やロケーションに縛られず、部署・支店・個人の実情に即して、最適な形で受講できる点が、eLearningのメリットです。グローバルナレッジは、『OPEN』の準備段階からアドバイザリ・パートナーとして参加し、LMS（Learning Management System）の選定や各種コンテンツ開発などを担っていた経緯もあり、今回も上流段階からコンサルをお願いしました」（斎藤調査役）

コンテンツは、全職員が忙しい合間を縫って受講できるよう短い章ごとに、ストーリーが完結するように構成され、ちょっとした空き時間や自宅からでも章単位で少しずつ閲覧することが可能です。
「グローバルナレッジからは、章立てや各ページ当たりの長さは短めに、全体のコンテンツは20分以内に抑えるなど、プロの視点からの助言をいただき、大変助かりました」（斎藤調査役）

空き時間などを利用して、
全行員がeLearningを活用

図１全行員対象の情報セキュリティ研修

マインド形成と仕組み作りの両面から、
セキュリティ文化を築く

さらに、受講後には理解度をチェックするためのテスト受験を義務化。正答率80％を合格ラインに設定し、合格するまで何度でもトライしてもらうことにしました。また、設問ごとの正答率により、行内ルールに対する職員の理解度を分析し、コンテンツの改訂や構成にフィードバックするなど、ポジティブなスパイラル構造を築くことができます。
「もちろん、個人情報やセキュリティ思想は、一回の受講やテストだけで徹底されるものではありません。人材の流動化が進む今日では、ある個人が当行を離れた後も、ずっと継続して情報セキュリティの保護に努めてもらわなければいけません。現金や手形、小切手などに対する取り扱いと同じように、意識しなくても自然と最適なアクションがとれるようになるまで、さまざまな形態で教育と訓練を繰り返し行っていきたいと思っています。情報を尊重する基本姿勢を、身体の中に浸透させることが必要だからです」（石毛室長）

情報セキュリティ管理室では、これらの施策の一環として、毎月第二火曜日を「情報セキュリティの日」に制定。『OPEN』の画面にも、情報セキュリティの「今月のワンポイント」を掲載し、注意喚起や自習用コンテンツを提供するとともに、派遣社員や外部ベンダの方を含めたすべての人に、情報セキュリティ管理状況の再確認を促しています。部下の情報取り扱いにも責任を持つ課長職以上の管理者には、四半期ごとにリスク・アセスメントを実施。さらにきめ細かな、防御壁の構築を進めているのです。
「情報セキュリティの徹底を図る教育体制整備という意味では、採用時の『導入研修』、法人営業部門、リテール部門など、実務に沿った『部門別研修』への組込み、昇進などに伴う『階層別研修』の三段構えの集合研修を実施しています。さらに、法規制の変化などに応じて臨機応変に実施するトピック研修を加えた『合わせ技』で、より立体的に継続的な情報セキュリティ文化の醸成を進めていきます」（斎藤調査役）

同行では、以上のような情報リテラシーや意識の向上とともに、デジタル情報だけでなくアナログ的なものも含めたあらゆる情報に関わるセキュリティ強化の仕組み作りにも力を注いでおり、情報防衛のための指針や手順を、明確なルールとして定めています。
「例えば、書類の持ち出しやコピー、FAX送信など、それぞれにリスクが潜んでいます。そこで、持ち出しや閲覧、複写等に関しても、管理者の承認を得て記録をとることを義務化し、基本動作として焼き付けるようにしています。」（石毛室長）

電子メールはコミュニケーション・ツールとして非常に有用ですが、情報流出の経路にもなりやすい諸刃の剣です。そこで、電子メールの履歴を全て記録し、フィルタリングによってシステム的に情報の出入りを絞ったり、電子ファイルの利用についても部署や役職ごとにアクセスできるファイルを制限したり、取り扱いに関するアラームを発したり……と多重的な防御策を実施。また、デジタルデータをコピーしたメディアは、基本的に行外への持ち出しを禁止しています。これらの仕組みや手法は、「あるべき行動姿勢」を自然にとることができるようにするための支援策であり、モラル向上の効果があります。
「もちろん、変化が著しい現在のビジネス環境において、スムーズな情報流通と共有を保証することは経営の基本であり、ビジネスの流れそのものが阻害されてしまったのでは意味がありません。情報セキュリティの啓蒙と普及の次には、より実務に即したセキュリティ保持への行動指針を示しながら、さらに業務とセキュリティとのナイス・バランスを実現させることが必要です。今後はそんな視点を持った体制整備も、私たちの仕事になってくるでしょう」（石毛室長）

図２行内で使用されているeLearning画面
電子化されたデータの扱い方、インターネットを介した情報のやりとりにおける留意点など、
それぞれの段階に応じて直感的に理解できるよう工夫されている

永続的な成長を目指して

既に、情報セキュリティの第一弾コンテンツに対する全行員の受講とテストを終えた現在、情報セキュリティ管理室は次の教育プログラムの展開を構想し始めています。

「部門や部署によっては、直接PCを扱わない派遣社員も存在します。情報セキュリティに対する認識を彼らにも徹底させるために、今後eLearningと同様の内容が学べる小冊子や各拠点で集合研修を開催するための教材作成も必要になっています。グローバルナレッジには、人財開発のプロの立場からアドバイスをお願いしたいですね」（斎藤調査役）

「グローバルナレッジからも、情報セキュリティ強化を実現した、さまざまな業種の事例を紹介してほしいですね。海外の事業所向けに英語版も必要になっています。情報セキュリティにはこれで終わりという到達点はありません。今後とも、常に成長し続けるコンテンツと体制整備を進めていきたいと考えています」（石毛室長）

グローバルナレッジは、全行的情報共有基盤『OPEN』形成のお手伝いに続いて、今回、金融機関にとっての生命線のひとつでもある情報セキュリティ管理の教育環境整備に参加させていただきました。「常に成長し続けるコンテンツと体制整備を進めていきたい」というご発言の意義を再認識し、今後ともお客様の競争力強化を支援させていただきたいと願っています。

*Microsoft、Windowsは、米国Microsoft社の登録商標です。
*Oracleは、米国オラクル・コーポレーションおよびその子会社、関連会社の米国およびその他の国における登録商標です。
*BOOT CAMP、NEW TRAIN、NETGUNはグローバルナレッジネットワーク株式会社の登録商標です。
*その他このサイトに掲載された社名、製品名は、各社の商標、または登録商標です。
*推奨ブラウザ：Internet Explorer 6.0/FireFox 3.0以上