東芝デジタルエンジニアリング株式会社

事例紹介

Secure Protection 導入事例 「株式会社ジュピターテレコム様」

Secure Protection によりファイルサーバー・PC内のクレジットカード情報を検出、改正割賦販売法の「非保持化」に対応

Secure Protection 導入事例 「株式会社ジュピターテレコム様」

導入ソリューション:個人情報管理ツール 「Secure Protection®」

株式会社ジュピターテレコムは、ケーブルテレビ局の統括運営を通じた有線テレビジョン放送事業、電気通信事業、ケーブルテレビ局やデジタル衛星放送向け番組供給事業を統括している。
同社は、改正割賦販売法の非保持化対応のため Secure Protection を活用した。

課題

改正割賦販売法の施行により、2020年3月末までに情報漏えい対策としてクレジットカード情報を非保持化する方針に決定。保有するPC 23,000台(全データ量100TB)を対象に、クレジットカード情報を検出し消去する必要があった。

解決

クレジットカード番号が”どのPCのどこにあるか”ファイルパスを記載したリストが部署ごとに作成されるなど、管理しやすい形で情報が提供されることによって、クレジットカード情報の非保持化を期限までに完了することができた。

Secure Protection 導入事例

Secure Protection 導入の背景

改正割賦販売法対応のためクレジットカード情報の非保持化を決定、ファイルサーバー等のクレジットカード情報検知が求められた

改正割賦販売法が施行され、加盟店に対してもクレジットカード番号等の漏えい事故や不正利用を防止するための措置が義務化された。その対策の一環として、2020年3月末までにカード情報の非保持化、もしくはPCI DSS準拠が求められていた。
これを受けて株式会社ジュピターテレコムでは、非保持化の方針を決定した。非保持化のためには、社内の全PC、すべてのファイルサーバー内にクレジットカード番号が保存されていないことを確認する必要がある。23,000台のPC、全データ量が100TBにおよぶファイルサーバーのすべてのファイルを検索し、該当するデータを検出し消去するなどの対応が求められた。

Secure Protection 導入の経緯

社内の情報システムにクレジットカード番号が保持されていないことを証明するために

株式会社ジュピターテレコムでは、改正割賦販売法への対応策として非保持化を会社方針として決定し、クレジットカード情報は決済代行会社が取り扱うことにした。
基本的には業務で使用するPCやファイルサーバーには、クレジットカード番号は保持されていないはずだが、23,000台のPCや総データ量が100TBに近いファイルサーバーのどこにもそうした情報が含まれていないと証明する手段がなかった。手動で一件一件探していくのは非現実的であるため、個人情報ファイルを検知するツールの活用を検討した。

「手始めに個人情報の検知ツールをインターネットで探しました。その段階で4種類の検知ツールが候補にあがり、それぞれ1か月程度の試験運用を行いました。情報システム本部、遠方にあるカスタマーセンターのそれぞれのPCにソフトウェアをインストールして、ネットワークの負荷検証を含めて小規模な実験を行いましたが、結果としてクレジットカード情報の検出という意味ではどの製品も大きな違いはありませんでした。」(川村氏)。

情報システム本部 ケーブルTV事業システム部 川村 美穂 様
情報システム本部
ケーブルTV事業システム部
川村 美穂 様
情報システム本部 コーポレートシステム部 アシスタントマネージャー 神保 宏 様
情報システム本部
コーポレートシステム部
アシスタントマネージャー
神保 宏 様

同社にとって重要なのは一括管理できることだった。というのも、同社の組織は北海道から九州まで200近くにおよび、PCだけでも23,000台が稼働している。
一人ひとりに検索作業を任せることは困難であり、クレジットカード番号を検知するための辞書を配布するだけでも大変な作業となる。プロジェクトチームが一括管理できないと非保持化は困難だ。

「試験運用で、これはと思ったツールが『すみずみ君』でした。当初は『すみずみ君』を採用しようと思いましたが、管理機能の面で私たちの要件とは一致しませんでした。そこで、『すみずみ君』をエンジンとして用い、さまざまな管理機能を備えた東芝情報システムの『Secure Protection』に行き着きました。管理という意味では一番統制が取りやすかったことと、メンテナンスも比較的簡単だったこと、一定程度の自動化が期待できることから、継続利用していくにあたって必ずしもシステムに精通していない業務側のメンバーでも運用できそうと判断し、『Secure Protection』を採用しました。」(神保氏)。

Secure Protection 導入時の工夫と効果

クレジット情報を徹底して洗い出し
必要とあれば業務の仕組みを見直すことも

非保持化を円滑に進めるために、プロジェクトチームでは200あまりの組織に責任者クラスの代表者の選出を依頼した。トップダウン的な判断が求められることもあると考えたからだ。

「クレジットカード番号が検出された場合には、その代表者に対して対応依頼をしました。検索対象には、パスワードロックしたファイルや圧縮ファイル、Accessのデータベースも含めました。こうした設定で検索をしたため、クレジットカード番号に類似した数字の羅列も多く検出されましたが、徹底した洗い出しのためには必要な作業でした。」(川村氏)。

クレジットカード情報らしきものが検知されたファイルへの対応は、いくつかパターン化した。基本的にはファイルを削除する。必要なファイルであれば、非保持化の条件に適合するようクレジットカード番号の一部をアスタリスクに置き換える。そして、そのファイルが業務上どうしても必要なものであれば、クレジットカード番号を扱わない方式へと業務の仕組みを変更する。

「『Secure Protection』からは、検知したクレジットカード番号がサーバーやPCの、どの場所にあるかファイルパスを記載したリストが上がってきます。このリストも、部署ごとに分けて出力できるなど『Secure Protection』ならではの機能で管理しやすい形で提供されたので、こちらとしても作業がスムーズでした。そのリストをもとに、各組織の代表者に対応を依頼することで、あとは現場側でファイルの削除あるいは修正等の対応をしてもらうことができたので、作業は順調に進みました。」(神保氏)。

川村 様(左) 神保 様(右)
川村 様(左) 神保 様(右)

Secure Protection の今後の活用

Azure RMS サポートオプションにより個人情報の安全な取り扱いを推進

川村 様(左) 神保 様(右)
川村 様(左) 神保 様(右)

非保持化プロジェクトを終えた同社は、次のステップとして個人情報の安全な取り扱いのための対策を推進する計画だ。

「『すみずみ君』の辞書を一般の顧客個人情報も検知するよう変更してスキャンを継続します。内部不正対策として、顧客個人情報を不正に持ち出していたり、不適切な取扱をしていないかというモニタリングのためです。」(神保氏)。

同社は個人情報の漏えい対策としてAIP(Azure Information Protection)を活用しているが、今後はこの対策を強化する計画だ。

「お客様の個人情報は、クレジット情報と違って非保持化ということはあり得ません。これまで以上に適正な使用や顧客情報の漏えい防止には力を入れていきます。顧客の個人情報などの重要ファイルは、サーバーに特定の保存領域を決め個別にAIPで保護してきましたが、AIP導入前から保管されているファイルや、特定領域外に保存された重要ファイルを保護することはできませんでした。そのため Secure Protection の Azure RMS(AIP)サポートオプションを併用して、特定領域の既存ファイルや新規に保管されたファイルを自動的に暗号化する仕組みを作り、2020年度に運用を開始します。」(神保氏)。

これまでも原則として、重要な情報を社外に持ち出す際にはAIPで保護することをルール化してきたが、Secure Protection のオプション活用によって重要ファイルの暗号化を自動化することで徹底する。運用開始後は、仮にファイルサーバーから持ち出されたとしても、権限を持っていない人は開くことも見ることもできないセキュアな環境が実現する。

「Secure Protection」利用イメージ
「Secure Protection」利用イメージ
「Secure Protection + Azure RMS」利用イメージ
「Secure Protection + Azure RMS」利用イメージ

顧客情報

表は左右にスクロールできます
商号 株式会社ジュピターテレコム
所在地 東京都千代田区丸の内1-8-1
設立 1995年(平成7年)1月18日
資本金 376 億円
事業内容 有線テレビジョン放送事業 、電気通信事業、番組供給事業統括
URL

株式会社ジュピターテレコム

導入プロダクト