コンタクトセンター/コールセンターのセキュリティ
contactcenter knowledge
コンタクトセンターでは、個人情報を含む膨大な顧客情報を取り扱っています。
これらの顧客情報は、いったん外部に流出すると、顧客にとって直接的・間接的被害は膨大なものとなります。
また、企業にとっても信用失墜は免れません。
個人情報とは
生存する個人に関する情報で、特定の個人を識別することができる情報を「個人情報」といいます。
特定の個人を識別するためには、複数の情報が必要です。つまり、複数の情報があることで、容易に照合できるということです。
例えば、氏名だけでは個人を特定できませんが、住所や電話番号などが照合できる状態だと、氏名・住所・電話番号それぞれが「個人情報」になります。
個人情報の例
氏名、住所、生年月日、家族構成、勤務先、職歴、学歴、免許証番号、クレジットカード番号など
上記には、「個人の特定」だけでなく、プライバシーの侵害や財産権の侵害などにつながりやすい情報もあり、収集や取り扱いは厳重なルールと管理の下で行わなければなりません。
特にセンシティブ(機微)な情報とされている、思想、信条、宗教、病歴など社会的差別の原因となる可能性のある情報は、必要不可欠な場合(生命の危機があるときなど)を除き、収集すべきではないとされています。
個人情報保護法とは
IT化の進展に伴う個人情報の利用拡大をふまえ、個人情報の有用性に配慮しつつ、個人の権利や利益を保護することを目的として、2005年4月に施行されました。
個人情報を取り扱う事業者(個人情報取扱事業者)に対して、個人情報の利用に関する義務やこれを違反した場合の罰則を定めています。
個人情報の利用に関する義務の一例
・利用目的や利用範囲を明確にする (利用目的を特定し、それ以外の使用を制限する)
・適正な方法で取得する
・取得する際、利用目的を通知または公表する
・個人情報に関する苦情は、適切かつ迅速に処理するなど
情報セキュリティ対策
| 「人的な」 情報セキュリテキ対策 |
・ 雇用時に守秘義務条項を含む契約の締結 ・ 情報セキュリティ教育や訓練の実施 ・ 懲戒手続きの制定 ・ 雇用の終了または変更時の情報資産の返却およびアクセス権の削除 |
|---|---|
| 「技術的な」 情報セキュリテキ対策 |
・ ウイルス対策ソフトの導入 ・ OSなどのソフトウェアの最新化 ・ ファイアウォールの設置 ・ 情報のバックアップの実施 ・ 情報の暗号化の実施 ・ アクセス制御の実施 ・ アクセスログの取得 |
| 「物理的(環境的)な」 情報セキュリテキ対策 |
・ 情報の重要度に応じたゾーニングの設定 ・ 入退室管理策の実施 ・ 重要な情報の保管、持ち出し、廃棄のルール設定 ・ コンピューターや通信装置の保護、保守 ・ クリアデスク、クリアスクリーンの実施 |
| 「組織的な」 情報セキュリテキ対策 |
・ 情報セキュリティ文書の策定 ・ 情報セキュリティのための組織体制の確立 ・ 従業員および外部委託先の管理体制の確立 ・ 事業継続計画の策定 ・ 情報セキュリティインシデント対応手順の確立 ・ チェック体制の確立 |
コンタクトセンターにおける情報漏洩対策 〈7つのポイント〉
事故事例
USBメモリ紛失事故
ステムからローカルPCへデータ移動の為に利用していたUSBメモリを紛失。
最終的にはUSBメモリは発見できた。
USBメモリ内のデータを削除する運用ルールが出来上がっていたので、データ漏えいという最悪の事故は防げたが、今後の対策として、日々の棚卸のチェックシート作成・返却時での連絡の周知徹底を行うことになった。
机の下に個人情報が書かれた紙を発見
システムの配線整理作業中に、再架電用の用紙が発見される。
壁のスケジューラーに貼り付けられた再架電用紙(個人情報有)を廃止。
再架電用紙はキャビネット保管・管理を行うよう変更した。
また朝の掃除時や朝礼・夕礼等で机の下を見回り、紙が落ちてないかのチェックを行うことになった。