コールセンター（コンタクトセンター）のセキュリティについて考える

コンタクトセンターでは、個人情報を含む膨大な顧客情報を取り扱っています。
これらの顧客情報は、いったん外部に流出すると、顧客にとって直接的・間接的被害は膨大なものとなります。
また、企業にとっても信用失墜は免れません。

個人情報とは
コールセンター（コンタクトセンター）における情報漏洩対策

個人情報とは

個人情報

生存する個人に関する情報で、特定の個人を識別することができる情報を「個人情報」といいます。
特定の個人を識別するためには、複数の情報が必要です。つまり、複数の情報があることで、容易に照合できるということです。
例えば、氏名だけでは個人を特定できませんが、住所や電話番号などが照合できる状態だと、氏名・住所・電話番号それぞれが「個人情報」になります。
【個人情報の例】
氏名、住所、生年月日、家族構成、勤務先、職歴、学歴、免許証番号、クレジットカード番号など
上記には、「個人の特定」だけでなく、プライバシーの侵害や財産権の侵害などにつながりやすい情報もあり、収集や取り扱いは厳重なルールと管理の下で行わなければなりません。
特にセンシティブ（機微）な情報とされている、思想、信条、宗教、病歴など社会的差別の原因となる可能性のある情報は、必要不可欠な場合（生命の危機があるときなど）を除き、収集すべきではないとされています。

個人情報保護法

ＩＴ化の進展に伴う個人情報の利用拡大をふまえ、個人情報の有用性に配慮しつつ、個人の権利や利益を保護することを目的として、２００５年４月に施行されました。
個人情報を取り扱う事業者（個人情報取扱事業者）に対して、個人情報の利用に関する義務やこれを違反した場合の罰則を定めています。
【個人情報の利用に関する義務の一例】
・利用目的や利用範囲を明確にする　（利用目的を特定し、それ以外の使用を制限する）
・適正な方法で取得する
・取得する際、利用目的を通知または公表する
・個人情報に関する苦情は、適切かつ迅速に処理するなど

情報セキュリティ対策

「人的な」
情報セキュリテキ対策
・雇用時に守秘義務条項を含む契約の締結
・情報セキュリティ教育や訓練の実施
・懲戒手続きの制定
・雇用の終了または変更時の情報資産の返却およびアクセス権の削除
「技術的な」
情報セキュリテキ対策
・ウイルス対策ソフトの導入
・ＯＳなどのソフトウェアの最新化
・ファイアウォールの設置
・情報のバックアップの実施
・情報の暗号化の実施
・アクセス制御の実施
・アクセスログの取得
「物理的（環境的）な」
情報セキュリテキ対策
・情報の重要度に応じたゾーニングの設定
・入退室管理策の実施
・重要な情報の保管、持ち出し、廃棄のルール設定
・コンピューターや通信装置の保護、保守
・クリアデスク、クリアスクリーンの実施
「組織的な」
情報セキュリテキ対策
・情報セキュリティ文書の策定
・情報セキュリティのための組織体制の確立
・従業員および外部委託先の管理体制の確立
・事業継続計画の策定
・情報セキュリティインシデント対応手順の確立
・チェック体制の確立

コールセンター（コンタクトセンター）における情報漏洩対策

①持ち出し禁止　　センター内の情報を許可なく持ち出さない
②安易な放置禁止　情報資産を放置しない
③安易な破棄禁止　情報資産を破棄しない
④持ち込み禁止　　私物を持ち込まない
⑤鍵・貸借り禁止　鍵をかける。IDを貸し出さない
⑥公言禁止　　　　業務上知りえた情報を公言しない
⑦まず報告　　　　情報漏洩が発生したら、即報告

1.企業(組織)の情報資産を、許可なく、持ち出さない

自宅などで業務を実施するために、勝手に企業(組織)のパソコンや、業務情報が格納された電子媒体あるいは書類を持ち帰ることは、ご法度(禁止されていること)ですよ･･･と言うことです。
JNSA(NPO 日本ネットワークセキュリティ協会)の調査によると、情報漏えいの原因は、紛失･置忘れ(29.2%)、盗難(19.0%)であり、これだけで全体の約半数を占めています。情報資産を持ち出すと、このような事故につながりかねず、危険性が高いことは無視できません。
JNSA 調査資料から引用

さらに、いろいろな企業(組織)での紛失・置忘れ・盗難などの情報漏えい事故
(事件)がいくつも公表されていることを考えても、企業(組織)管理者の目の行き届
かないところで、情報資産を利用することは、ハイリスクであると言えます。
持ち出し許可があったとしても、あなたが管理を怠らないことが前提です。あな
たの不注意が原因で、盗難や紛失･置忘れが起こる可能性があるならば、余程
の事情がない限り、情報資産の持ち出しは避けるべきです。
『大切な情報は持ち出さない』、『仕事を家に持って帰らない』と言うことを原則とすべきでしょう。
図 2 個人情報漏えい原因の件数割合(2012 年)
JNSA 調査資料から引用
ここでは原因のトップが管理ミスとなっています。管理ミスといっても分かりにく
いですが、JNSA ソリューションガイドによれば、以下に示すような事例のことで、企業(組織)として管理指針や手順（管理ルール）が徹底できていなかったようなことが原因とされています。引越し後に個人情報の行方がわからなくなった(例えば誤廃棄)個人情報の受け渡し確認が不十分で、受け取ったはずの個人

情報が紛失した

情報の公開、管理ルールが明確化されておらず、誤って開示してしまった最近では企業(組織)において、情報資産を扱う上でのセキュリティポリシーや管理手順を定めるようになってきていますが、「管理ルールがあるのに、それを守らせることができなかった」といった企業(組織)側に問題がある場合が多いと考えているわけです。これは、従業者に対するセキュリティ教育などを含む情報に
関する管理手順の徹底が重要であることを示しているとも言えます。

持ち出しの許可を得た場合

許可を得て持ち出した情報資産で、やってはいけない例
 大切な情報を、管理下にないパソコン(例えばネットカフェのパソコン)で利
用する
 業務で持ち出したパソコンを、不必要に（あるいは無防備な状態で）、企業
(組織)外のネットワークに接続する
 業務で持ち出したパソコンを、業務以外の目的で利用したり、他人に貸した
りする
安全が確認できない環境での情報資産の利用も注意が必要と言うことです。企業(組織)の情報資産のうち、企業(組織)内で使用しているパソコンを、業務上、許可を得てから持ち出した場合は、そのパソコンの設定や利用方法にも注意する必要があります。持ち出したパソコンを社外のネットワーク環境（街中の Wi-Fi 環境やビジネスホテルのネットワーク環境等）に無防備で(何のセキュリティ対策もせずに)接続し、ウイルスに感染。そのパソコンを企業(組織)内のネットワーク環境に接続して、ウイルスを企業(組織)内に広めてしまったというのも、よくある話です。この問題は、セキュリティ対策が不十分であったことが原因ですが、一般的に企業(組織)内の保護された環境と、企業(組織)外の管理されてない環境の違いを理解せず、対策が不十分になることが多いようです。感染したウイルスがスパイウェアであった場合は、情報漏えいの原因となります。持ち出すパソコンには、十分なセキュリティ対策を実施すべきです。企業(組織)の情報資産のうち、いわゆる業務情報（データ）を、業務上許可を得てから持ち出す場合は、これらのデータを暗号化することをお勧めします。
データを暗号化することにより、万一、それらのデータを格納した電子媒体（パソコン本体あるいは FD/CD/DVD/HD/USB メモリ等）を盗まれたり、紛失したりしても、大切なデータを、ある程度、情報漏えい事故から保護することができます。同じ理由で、業務情報（データ）を、許可を得てメール送信する場合でも、メールそのものを暗号化するか、添付するデータを暗号化することをお勧めします。万一、メールの送信先を間違えたり、メールを盗聴されたりしても、暗号化していれば、大切なデータを、ある程度、情報漏えい事故から保護することができます。
データの暗号化を行う方法としては、一般的には、暗号化のためのアプリケーションを使用する方法があります。この場合は、暗号文を復号するためにパスワードが必要で、場合によってはデータの受け取りをする人に、同一のアプリケーションが必要な場合もありますので、ご注意下さい。Microsoft の Word や Excel のように、文書やシート/ブックの保護（読み取りパスワードによる保護）を行えるものもあります(『9.参考情報』を参照下さい)。
しかしながら、持ち出すデータを暗号化しているから、これで情報漏えいは起こさないと考えるのは、不十分です。暗号化は、データを保護することが目的であり、情報漏えいそのものを防止するものではありません。
企業(組織)の情報資産を持ち出す場合は、次に述べる『企業(組織)の情報資産を、未対策のまま目の届かない所に放置しない』ことが重要となります。

2.企業(組織)の情報資産を、未対策のまま目の届かな
い所に放置しない

具体的な、やってはいけない例から考えてみましょう。
 業務上大切な書類を机の上に放置したまま席を離れる、あるいは帰宅する
 離れた場所にあるプリンタに出力した書類を、すぐに取りに行かない
 起動中のパソコンを他の人が利用できる状態で席を離れる（パスワードに
よるロックをしない）
 モバイル可能なパソコンを机の上に放置して帰宅する
 大切な情報が格納された電子媒体や書類を、鍵のかかるキャビネットなど
にしまわない
 個人宛の伝言メモを誰でも見えるところにおく
こんなこと、言われなくても･･･と思われるでしょうが、大事なことです。
例えば、「保存期限の過ぎた重要書類を、破棄する目的で集積したけれども、廃棄業者が来るまで置き場所がないので、誰でも通ることのできる廊下に積み上げていた」なんてよくある話です。自分では、気を付けていると言っても、みんなで気を付けていないと・・・やはり情報漏えいが起こることがあります。業務上大切な書類や電子媒体、モバイル可能なパソコン・・・使わない時は、きちんと鍵のかかるキャビネットなどに格納するようにして下さい。また、業務途中で席を離れる場合、起動中のパソコンには、パスワードロックのできるスクリーンセーバーが動作するように設定するとか、習慣としてコンピュータロックを実施するように心掛けましょう。
(参考）コンピュータのロック機能の活用パソコンから離れるときは、他人がパソコンを使うことを防ぐため、コンピュータをロックしましょう。
これだけで他の人の利用を制限することができます。
些細なことですが、伝言メモは、伏せて置くのがマナーです。
不特定多数の人たちの目に触れる場所には、各種の情報資産を晒さないように心掛けましょう。許可を得て、企業(組織)の情報資産を、持ち出す場合も
 大切な情報が詰まったカバンを電車の網棚において居眠りをした
 大切な情報が詰まったカバンを持って、居酒屋やパチンコ店に立ち寄った
なんて言うのも、かなり危ない状況です。

3.企業(組織)の情報資産を、未対策のまま廃棄しない

企業(組織)内で業務に使用していたパソコンを、ハードディスクをきちんと消去
しないまま廃棄し、そこから情報漏えいすることは、よく聞かれる話です。
同様に、業務情報を格納した電子媒体や書類を、安易にゴミ箱に捨てたため
に、情報漏えいしたと言うのも、よく聞かれる話です。
最近は、パソコンのハードディスクの内容を完全に消去するサービスを行う企
業もありますが、このようなサービスを受けるか、企業(組織)内で廃棄のための
手順や技術を確立し、それに従う必要があります。もし、あなたが働く企業(組織)
に、このようなルールがないならば、あなたから提案してみてはいかがでしょう。
重要な書類や電子媒体を、一般ごみと一緒にゴミ箱にポイ捨てするなど言語
道断と言うことです。
重要な書類であれば、管理者の管理下あるいは専門の業者で、細かく裁断す
るとか溶解処分することをお勧めします。
FD や CD/DVD の電子媒体の場合も、再利用が出来ないのであれば、裁断(破
砕)してから処分することをお勧めします。

4.私物(私用)の機器(パソコンや電子媒体)やプログラ
ム等のデータを、許可なく、企業(組織)に持ち込ま
ない

これも具体的な、やってはいけない例から考えてみましょう。
・私物(私有)のパソコンを持ち込んで、企業(組織)のネットワークに接続した
・業務に必要のない情報(データ)を、業務中に利用した
・業務に必要のない私物(私有)のプログラムを、業務中に利用した
・業務に関係のないフリーウェアあるいはシェアウェアであるプログラムをイ
ンターネットからダウンロードした
・業務に関係のない Web サイトを業務用のパソコンで閲覧した
・業務で使用する電子メール(アドレス)を、私用で使用した
・情報を格納することのできる USB メモリなどの外部記憶装置を持ち込んで、
業務用のパソコンに接続した
■私物の情報機器を持ち込むことの危険性
持ち込んだ私物(私有)のパソコンやＵＳＢメモリなどの外部記憶装置がウイル
スに感染していた場合は、企業(組織)内の他のパソコンやサーバに、ウイルス感
染を広げる可能性があります。そのウイルスがスパイウェアであった場合は、大
切な業務情報がインターネットを通じて流出する可能性が考えられます。
最近の事情として
BYOD（Bring Your Own Device）
“自分の端末を持って来いよ”＝“自分の端末で仕事をする”の話が
ありますが、現状では自分勝手な BYOD はとても危険といえます
メリット(例えばコスト低減や効率の向上）もデメリット（例えば情報持
ち出しによる情報漏えいの危険性の増加）もありますが、いろいろなと
ころで試行中のようです
まぁ、流れとしては、IT の将来像まで変えそうな勢いですが…
今のところは、状況に合わせて
「企業（組織）として確認し、必要なら許可を･･･」
といった話で考えられているようです
■許可されていないプログラムの危険性
Web サイトからダウンロードしたり、外から持ち込んだりしたプログラムそのも
のが、スパイウェアである可能性もあります。業務に関係のないプログラムの利
用は慎むべきです。
どうしても、業務に必要なプログラムであるならば、事前に安全な環境で動作
確認を行って、管理者の許可･管理のもとで利用することをお勧めします。
■許可されていないインターネット上のサービス利用の危険性
企業(組織)の重要な情報を、許可されていないネットワーク(オンライン)ストレ
ージサービスを利用して保管したり、地図サービスや情報共有サービスを利用し
て情報管理したりする場合に、安易な設定や使い方で情報漏えいが起こる場合
があります。
業務の効率が上がる場合もありますが、こういったサービスを利用する場合は、
サービスの仕組みや利用する上での設定方法等をよく理解した上で、管理者の
許可を受けてから利用することをお勧めします。
実際にサービスに登録した情報の公開範囲の設定忘れ(公開範囲の設定に気
が付かず、デフォルト設定ですべての人に公開された)により、情報漏えいにつな
がった事例が数多く報道されています。最近ではこういったサービスの公開範囲
の設定はセキュアな方向に振られつつあるようですが、やはり注意は必要です。
■Web サイトの危険性
悪意のある Web サイトの場合、サイト上に指定された操作をするだけで、悪意
のあるプログラムを実行させるものも多く報告されています。
ウイルスやスパイウェア対策が十分に施された環境であったとしても、対策ソ
フトが検知できないウイルスやスパイウェアも存在するので、注意が必要です。
特に、不特定多数を狙わず、特定企業(組織)や個人を狙うスパイウェアも出現
していますので、業務に関係のない Web サイトの利用は避けるべきです。
最近では、業務に関係のある Web サイトが改ざんされることにより、利用者が
意図していなくとも悪意のある Web サイトに誘導される場合もあります。そこで、
以下に示す対策を必ず実施してください。
 利用するパソコンの OS やアプリケーションの脆弱性を解消するために、OS
やアプリケーションを常に最新の状態に維持する
 セキュリティ対策ソフトを有効にし、既知のウイルスの駆除や不穏な動作を
するプログラムを監視できるようにしておく
■誤った操作で情報漏えいする危険性
持ち込んだ私物(私有)のパソコンやＵＳＢメモリなどの外部記憶装置を利用す
る際に、不用意に大切な業務情報が格納されてしまい、意図せずに情報を持ち
出してしまう可能性があります。このような場合は、情報漏えい事故が発生した
際の、情報の流失経路の特定が困難になります。
また、電子メールを私用で使った際に、誤って大切な業務情報を流出させる可
能性や、ブログや掲示板への不用意な書き込みから、無意識のうちに、大切な業
務情報を流出させる可能性もあります。
このような行為は慎むべきです。

5.個人に割り当てられた権限を、許可なく、他の人に
貸与または譲渡しない

企業（組織）では、業務や体制に応じて担当者に権限が与えられます。いわゆ
る職権などがこれにあたりますが、この職権を他の人に貸与または譲渡すること
は、通常ありえません。
これと同様に、企業（組織）では、業務で使用する情報や機器にも、利用者権
限が担当者ごとに与えられています。つまり、利用者 ID ごとに利用権限が定義さ
れていて、利用者 ID はパスワードまたは個人認証で保護されます。
これらの利用者 ID やパスワードを共有したり、貸し借りしたりすることは、情報
セキュリティ上、非常に大きな問題を引き起こす可能性があります。
業務の担当者を識別するために利用者 ID とパスワードが設定されているのに、
このパスワードを安易に貸し借りする行為は、愚かと言わざるをえません。同じ理
由で、貸し借りしなくとも、パスワードなどを忘れないように、パソコンに貼り付け
ておくことも、セキュリティ上愚かな行為です。
権限には必ず責任が付いてきます。責任を果たすために、不注意とも思われ
る行為は慎みましょう。
他の人に与えられた、利用者 ID およびパスワードを使用する行為は、なりすま
しと呼ばれ、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
(*4)に
抵触します。

6.業務上知り得た情報を、許可なく、公言しない

そもそも、「業務上知り得た情報を口外しない」といったことは守秘義務として
情報を取り扱う人の一般的な(社会人としての)モラルとなります。
よく聞く話として、こんなイメージはありませんか？
・医療関係の守秘義務：患者の情報は口外しない
・学校関係の守秘義務：学生・生徒の情報は口外しない
・警察関係の守秘義務：捜査情報は口外しない
・裁判関係の守秘義務：関係者の情報は口外しない
・派遣関係の守秘義務：出向先で知り得た情報は口外しない
等のように、いろいろな業種毎に守るべきものは違うかもしれません（ここに挙げ
たものがすべてではありません）が、守秘義務は同様に課せられるわけです。
一般的には企業(組織)では、新入社員(職員)として、守秘義務について、はじ
めに教えられることと思われますが、常々聞かされていないと、いつの間にか忘
れられる傾向にあるようで、ちょっとした気の緩みから情報漏えいを起こすことが
あるようです。
例えば、気の合う仲間と雑談している時に、何
気に口にした業務上の情報を、誰かが聞いている
かも知れません。まぁ、業務上の情報を、知らない
人にペラペラしゃべる人はいない（守秘義務を覚
えていれば）と思われますが…
ショルダーハッキングと呼ばれる行為は、いわ
ゆる肩越しに盗み見る行為のことを言います。盗
み聞きや盗み見など、「壁に耳あり、障子に目あ
り」を忘れずに、と言うことです。
これも具体的な、やってはいけない例から考えてみましょう。
 居酒屋で・・・上司の悪口や仕事の話を大声でしゃべる
 電車の中、携帯電話で仕事の話を大声でする(マナー違反でもありますが)
 出張で、新幹線の中、パソコンで仕事をする(持ち出し OK？)
 会社の帰り道、電車の中で資料のレビューをする(持ち出し OK？)
 不特定多数の人が集まる集合ビルの喫煙所で仕事をする
 業務に関係のないブログや掲示板に、自己紹介のつもりで、仕事の話をア
ップした
数え上げるとキリがないようですが、これらの行為もセキュリティ上危険度の高
いものであると言えます。悪意のある人はどこにいるかわかりません。偶然聞い
た情報や盗み見た情報から、大きな情報漏えいへと発展する可能性もあります。
自分が情報漏えい源にならないよう、このような行為は慎まなければなりませ
ん。
最近よく聞く話題としては、具体例の最後に挙げたブログや掲示板の話があり
ます。
SNS（ソーシャル・ネットワーキング・サービス）と呼ばれるインターネット上の交
流サイトを通じて、社会的なネットワークを構築するサービスを利用する人が増加
したことにより、誰でもが簡単に情報の発信者となり得ます。サービスに参加する
人たちの関心を引きたいあまりに、モラルに反するような情報や偽の情報を発信
する人もいるようですが、自分自身の日記を発信するように、業務で知り得た（本
来外部には漏らしてはいけない）情報を、関心を引くために安易に発信する人も
いるようです。自分では情報をうまくカモフラージュして発信したつもりでも、インタ
ーネット上に散らばった各種の情報と組み合わせると、自分が業務を行っている
企業（組織）に多大な迷惑をかける場合もあるようです。この話を理解するうえで、
IPA では以下に示すセキュリティ普及啓発用の映像を発信しています。興味のあ
る方は、参考にしていただけると幸いです。
情報セキュリティ普及啓発映像コンテンツ

YouTube : IPA チャンネル

さらに、
 企業(組織)外からの電話・・・友人と称して、休みの人の連絡先や、その人
の仕事の内容を聞かれた
 システム管理者を名乗る人からの電話・・・利用者IDやパスワードを聞かれ
た
 会員登録と称して、仕事の内容を事細かに入力させる登録画面
のような、ソーシャルエンジニアリング(*5)手法を用いたアプローチがあるかも知れ
ません。
『不注意でした』では済まされない情報漏えい、日ごろの心掛けが大切と言うこ
とになります。

7.情報漏えいを起こしたら、自分で判断せずに、まず報告

何らかの誤りで情報漏えいを起こしたり、あるいは情報漏えいを発見したりした
場合は、自分で何とかしようとする前に、上司や管理者に報告して下さい。

自分の会社（組織）のことだけでなく、個人情報を漏えいされた最終的な被害
者、顧客、取引先、株主、親会社、子会社、従業員など情報漏えいによって被害
を受ける様々な関係者の被害を最小限に抑える必要があります。
自社の経営方針に基づき全体のバランスを考えながら被害の最小化を図るこ
とが重要です。
■ 情報漏えい発生時の対応ポイント集
http://www.ipa.go.jp/security/awareness/johorouei/
すばやい対応によって、問題を最小限に止められる可能性が高まります。

8.用語の説明

(*1)情報資産

情報資産とは、業務情報（プログラムも含む）および業務情報を格納する機
器類（パソコン、電子媒体、紙等）のことです。

(*2)未対策

未対策とは、セキュリティ上の対策が施されていない状態のことです。

(*3)権限

権限とは、資産を扱うために与えられたものです。セキュリティの基本事項と
して最小権限というものがあり、権限は可能な限り狭い範囲で与えることが重
要です。

(*4)不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)

「不正アクセス行為の禁止等に関する法律(いわゆる不正アクセス禁止
法）」は、1999 年 8 月 6 日に参院本会議で可決、成立しました。一部を除き、
2000 年 2 月 13 日から施行されました。また、2000 年 7 月 1 日からは、残り
の項目である援助規程(第６条)も施行され、新しくは、2012 年 5 月 1 日に改正
不正アクセス禁止法が施行されました。
実際の条文に関しては、サイトをご参照下さい。

国家公安委員会による「不正アクセス行為の再発を防止するための都道府県公安委員会による援助に関する規則」

その他に、不正アクセス行為によりコンピュータに障害が発生した場合や、データの破壊が行われたような場合には、威力業務妨害等の罪に該当する場合があります。

(*5)ソーシャルエンジニアリング

ネットワークの技術やコンピュータ技術を用いずに、人間の心理や社会の盲点を突いて、パスワードなどの機密情報を入手する方法。例えば、言葉巧みにパスワードを聞き出す、廃棄物から重要な情報を読み取る、社員になりすまして盗み見や盗み聞きをする、など。ソーシャルワーク、ソーシャルハッキング、ソーシャルクラッキングと呼ばれることもあります。