業務品質「個人情報保護」で求められることとCSB3つの活用術
2022.03.30
近年高まっているサイバーリスク。経済産業省や金融庁も注意喚起を発信しています。
そうしたなかで保険代理店に今後ますます求められるようになるのが個人情報の保護体制。生命保険協会が保険代理店に求める代理店業務品質においても、評価要素の一つに「個人情報保護」が含まれています。
そこで本コラムでは、今保険代理店に求められる個人情報保護の取り組み、あわせて弊社の顧客管理システム「CSB」におけるセキュリティ基準についてもご紹介いたします。
保険代理店に求められる業務品質「個人情報保護」
生命保険協会が保険代理店に求める業務品質の向上。具体的には「顧客対応」・「アフターフォロー」・「個人情報保護」・「ガバナンス」の4つの要素から成る全191項目の基準をクリアしていくことが求められています。この品質評価の基準をクリアすれば、いわば “協会お墨付きの代理店” となるわけですが、現時点で必ずしも順守し評価を獲得しなければならない、というわけではありません。
ただ、保険業界・代理店全体で目指すべき方向性が指し示されているという点では、この評価体制が始まる今の段階から内容を頭に入れておく必要はありそうです。
→品質評価の取り組みについて詳しくはこちら!
4要素の中でもとりわけ対応の難易度が高そう(費用がかかりそう・・・)と見られているのが個人情報保護に関する内容です。品質評価全191項目のうち「個人情報保護」に関するものだけで35項目。いくつかピックアップしてみました。
①個人情報保護に係る態勢の整備
②個人情報保護に係るシステム面の整備
[下記から一部抜粋、編集]
https://www.seiho.or.jp/quality/pdf/kijun.pdf
個人情報保護に関する項目はNo.91~No.125(資料P7-8)
No. | 区分 | 設問 |
No.93 | 基本 | 個人データ管理責任者・個人データ管理者をそれぞれ1名以上選任している(兼務可) |
No.112 | 基本 | 個人所有電子機器(パソコン等)の業務利用の禁止、もしくは個人所有電子機器への個人情報の保存を禁止していることが定期的に確認・管理されている、または、システムにより個人所有電子機器の利用および個人情報の保存を制御している |
No.98 | 基本 | 個人情報の取扱いを外部委託する代理店のみ対象 ※全て「はい」であれば達成 ・契約者等の個人情報(保険会社から委託された個人情報)の取扱いを外部委託する場合、外部委託先を事前に保険会社に報告する旨が規定されている ・外部委託先を管理する台帳等の記録がある ・委託先の選定にあたり、健全性(反社チェック・帝国データバンクの評点等)・技術力(ISO認証等)・安全対策(Pマーク等)等の要件で選定する旨の基準が存在し、基準に基づいて選定している ・委託先の情報管理について、委託先からの報告(チェックシートへの回答を委託先に求める等)を元に状況を管理している |
No.99 | 基本 | 個人情報保護に関し、実施すべき事項(設問No.91〜125の内容)を全従業員に徹底(年1回以上の研修実施等)している |
No.108 | 応用 | 個人情報を管理するシステムへの社内からのアクセス状況(ログ)を定期的にモニタリングし、必要に応じて不必要なアクセスが多い従業員への指導等を行っている |
②個人情報保護に係るシステム面の整備
No. | 区分 | 設問 |
No.111 | 基本 | 個人情報を管理するシステムへのアクセスについて、以下の対応を行っている ・役職・職務内容に応じたアクセス制限(業務上不要な個人情報へのアクセス禁止)をしている ・個人データ一覧(顧客リスト等)のダウンロード可能な従業員を限定(システム管理者のみ等)している ・パスワードを定期的に変更している ・複雑なパスワード(8文字以上、大文字・小文字・記号の混合等)を設定している ・二要素認証(パスワード入力+顔認証等)をしている |
No.118 | 基本 | 個人データを添付ファイルに記載して社外にメール送信する際の情報漏えい(宛先誤りの誤送信)をシステムにより防止する仕組み(送信が自動で保留となり、宛先や添付内容を送信者がセルフチェックした上で改めて送信する仕組み、上席者の事前承認が必須な仕組み等)がある |
No.123 | 基本 | ホームページに対して、以下のセキュリティ対策を実施している(※全て「はい」であれば達成) 1:個人データを取扱うページはSSL通信(URLがhttpsで始まる)となっている 2:脆弱性(セキュリティホール)を防ぐ観点で、ホームページが稼働するwebサーバー等におけるOS・ソフトウェアの最新化を実施している(=保守切れをおこしていない) |
[下記から一部抜粋、編集]
https://www.seiho.or.jp/quality/pdf/kijun.pdf
個人情報保護に関する項目はNo.91~No.125(資料P7-8)
体制・ルールづくりとしては、No.93の管理責任者の選任やNo.99の個人情報保護教育などがかかわってきます。この他にも、サイバー攻撃のリスクに関する教育(No.100 ※)なども対応すべき基本項目として列挙されています。
※対象は募集人100名以上または保有5,000件以上の代理店のみ
また、No.112の個人所有パソコンの業務利用禁止となると、会社貸与のパソコンを全従業員分用意したり、No.118のメール誤送信防止のためには、それに対応したシステム導入をしたりと、時間・人員だけでなく費用がかかる場合もそれなりに出てくると思われます。
さらに、こういった自社内の体制整備はもちろんのこと、No.98やNo.111に見られるように、個人情報のデータを外部委託する先が信頼できるかどうか?という点も重視されています。
CSBのセキュリティ体制:3つのポイント
外部委託先の管理が求められるということは、つまり保険代理店がシステム導入を検討する際は、そのシステム・会社が信頼できるかどうかも選定時の大切な要素になってくるということ。そこで弊社の顧客管理システム「CSB」のセキュリティについてご紹介いたします!
お客様の証券データを保存する場所として盤石なセキュリティ体制を整えています。
1)クラウド対応
AWS(AmazonWebServices)で世界基準のセキュリティに対応!
Amazonが提供するクラウドサービスにデータを保管しています。常に最新技術を用いた機能の利用が可能となり、セキュリティ面でのコンプライアンス要件に対応することができたり、バックアップ体制も容易に構築が可能なため災害時にも素早い復旧を実現することができます。
このように、保険代理店がCSBをより快適に安全にご利用いただける環境を提供しています。
2)外部による定期的なサイト診断を実施
年に一度、外部機関に依頼して、CSBサイトのサイバー攻撃に対する耐久度を診断するペネトレーションテストを実施しています。テストの結果脆弱性が発見された場合は、きちんと改修を行い、セキュアな状態を目指しています。
参考:サイバーセキュリティ.com
「ペネトレーションテストとは?」
https://cybersecurity-jp.com/security-measures/31895
3)サーバーの防御システム 3種の神器に対応!
1.防火壁の意味を持つ「ファイアウォール」
2.不正アクセスを防御!「IPS」
3.脆弱性を悪用した攻撃から守る「WAF」
ネットワークやサーバへの不正な侵入等を検知し、遮断する対策やウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するため各種アプリケーション(IPS・IDS、WAF、FIrewall)を搭載し、セキュリティを確保しています。
参考:知らないと損をするサーバの話
「サイトを守るためのWebセキュリティ対策 3つの盾」
https://www.cpi.ad.jp/column/column07/
セキュリティに貢献するCSB3つのお役立ちメニュー
最後に、CSBのセキュリティ環境下でできるお役立ち機能についてご紹介いたします。1)役職・職務内容に応じたアクセス制限
ご利用ユーザーの役職・職務に応じて、閲覧できるデータの権限に制限をかけることができます。
例)営業部長→全募集人の顧客データの閲覧
クラーク→担当支社の募集人の顧客データの閲覧
各募集人→自身が担当する顧客データのみ閲覧
実際、品質評価基準でも「No.111:役職・職務内容に応じたアクセス制限(業務上不要な個人情報へのアクセス禁止)をしている」という内容が盛り込まれており、システム運用には不可欠の要件といえるのではないでしょうか。
2)メール機能
一般のメールシステムとは異なり、CSB内でのみ使えるメール機能です。セキュアなCSB環境内でのみのやりとりになるため、重要データの漏洩リスクを防ぐことができます。
また、メールは「いつ」「誰がみたか」という閲覧状況も把握できるため、全体周知したい事項を載せる掲示板代わりとしてもお使いいただけます。特にコロナ禍以降、リアルの集まりが減り情報共有がしづらくなったなかでも、全社員に情報が行き渡るよう本機能を活用する代理店が増えました。
3)担当者別ファイルアップロード
募集人さんにお渡しする手数料明細を郵送やメールで個別でやり取りされている代理店様も多いと聞いています。
CSBなら、担当者別ファイルアップロードを機能を使って指定したアカウントに書類をデータで送ることができます。
郵送やメールですと、一旦外部に書類やデータを出してお送りする仕組みですが、CSB内でファイルをやり取りできるため外部に出ることなく、漏洩・流出のリスクを防ぐことができます。
------------------------------------
いかがでしたでしょうか?
いまや組織の規模に関わらず、セキュリティ対策は必須。個人情報保護体制の整備も含め、品質評価基準に関する情報は今後もウォッチし、随時お届けしてまいります。
CSB機能詳細ページ
https://hoken-system.com/feature/
CSB概要資料(無料ダウンロード資料)
保険代理店向け 顧客・契約管理システム 代表5ツール比較(無料ダウンロード資料)
お気軽にご相談ください。
エルティヴィーでは保険代理店さまの体制整備から、顧客管理、マーケティングまでトータルで支援しています。
CSBに関するお問合せやご質問などございましたらご相談ください。
03-6234-6392
(受付時間 平日: 9:00〜17:30)