生命保険会社の顧客情報漏洩対策
生命保険会社や保険代理店では、氏名・住所・電話番号といった基本情報だけでなく、契約内容、保険料、家族構成、健康状態に関する情報など、非常に機微な顧客情報を取り扱います。
近年、生命保険業界では顧客情報の漏洩や不適切な情報取得に関する事案が相次いで公表されており、情報管理体制の見直しが求められています。
生命保険協会の定例会見に関する報道では、生命保険業界における情報漏洩事案について、個人情報は全体で18保険会社、37代理店、43万4,000件の漏洩が判明したとされています。法人情報についても、9保険会社、14代理店で8,000件の漏洩が判明したと報告されています。
こうした状況から、生命保険会社では外部からのサイバー攻撃だけでなく、内部関係者による閲覧・撮影・持ち出しまで想定した情報漏洩対策が必要です。
生命保険会社で顧客情報漏洩が問題になる理由
生命保険会社が扱う顧客情報は、一般的な個人情報よりも慎重な管理が求められます。
たとえば、以下のような情報が含まれることがあります。
・契約者・被保険者の氏名、住所、電話番号
・保険契約の内容
・保険料や支払状況
・家族構成、受取人情報
・健康状態や既往歴に関する情報
・営業担当者の対応履歴
・代理店や金融機関経由の相談履歴
これらの情報が外部に漏洩すると、顧客のプライバシー侵害だけでなく、企業の信用低下、行政対応、取引先との関係悪化につながるおそれがあります。
特に生命保険業界では、営業職員、代理店、コールセンター、銀行窓販、委託先、出向者など、複数の関係者が顧客情報にアクセスする場面があります。
そのため、単にシステムへのログインを制限するだけでは、十分な対策とはいえません。
見落とされやすい「画面からの情報漏洩」
顧客情報漏洩というと、USBメモリへのコピー、メール誤送信、クラウドストレージへのアップロード、不正アクセスなどを想像しがちです。
しかし、実務上見落とされやすいのが、パソコン画面に表示された顧客情報をスマートフォンで撮影するリスクです。
たとえば、次のような行為が考えられます。
・顧客情報画面をスマートフォンで撮影する
・契約情報や顧客一覧をスクリーンショットで保存する
・画面に表示された情報を私用チャットアプリで共有する
・代理店・委託先の端末で表示された情報を記録する
・退職前に担当顧客情報を画面越しに持ち出す
このような行為は、USB制御やメール監視だけでは防ぎきれない場合があります。
なぜなら、情報がファイルとして持ち出されるのではなく、画面に表示された瞬間に、別の手段で記録されるためです。
画面撮影・スクリーンショットによる情報流出が危険な理由
1. PC側に証跡が残りにくい
スマートフォンで画面を撮影された場合、PC側にはファイルコピーやメール送信のログが残らないことがあります。
そのため、情報漏洩が発生しても、誰が、いつ、どの画面を撮影したのかを特定しにくくなります。
2. 正規の権限を持つ人でも起こり得る
情報漏洩は、外部の攻撃者だけが起こすものではありません。
正規の権限を持つ社員、出向者、委託先、代理店担当者が、業務上アクセスできる情報を不適切に閲覧・撮影・共有するケースも考えられます。
実際に、日本生命の公表資料では、銀行への出向者が銀行の内部情報を、私用スマートフォンのメッセージアプリや郵送などの手段で持ち出していた事案が説明されています。
3. 一度に大量の顧客情報が流出する可能性がある
顧客一覧画面、契約一覧画面、検索結果画面などが撮影されると、1枚の画像に複数人分の情報が含まれる可能性があります。
生命保険会社の場合、情報の内容が機微であるため、少量の漏洩でも大きな問題になりやすい点に注意が必要です。
生命保険会社に必要な顧客情報漏洩対策
生命保険会社や保険代理店では、以下のような対策を組み合わせることが重要です。
アクセス権限の最小化
担当業務に必要な範囲だけ顧客情報を閲覧できるようにし、不要な情報にはアクセスできないようにします。
営業担当者、代理店、委託先、出向者など、利用者ごとに閲覧範囲を適切に管理することが重要です。
操作ログの取得
誰が、いつ、どの顧客情報を閲覧したのかを記録します。
不自然な大量検索、勤務時間外の閲覧、担当外顧客へのアクセスなどを確認できる体制を整えることで、不正利用の早期発見につながります。
USB・メール・クラウド利用の制御
顧客情報をファイルとして持ち出されないよう、USBメモリ、外部ストレージ、私用メール、クラウドサービスの利用を制御します。
代理店・委託先・出向者の管理強化
生命保険会社では、自社社員だけでなく、代理店、金融機関、委託先、出向者など、多くの関係者が顧客情報に関わります。
そのため、社内だけでなく外部関係者を含めた情報管理ルールの徹底が必要です。
画面撮影・スクリーンショット対策
ファイルの持ち出しを防ぐだけでなく、画面に表示された情報を撮影・保存されるリスクにも備える必要があります。
ここで有効なのが、画面透かしやスクリーンショット制御です。
画面透かしが顧客情報漏洩対策に有効な理由
画面透かしとは、PC画面上にユーザー名、社員番号、部署名、端末名、日時、IPアドレスなどを透かしとして表示する仕組みです。
顧客情報画面をスマートフォンで撮影した場合でも、撮影画像に利用者情報が写り込むため、不正撮影の抑止効果が期待できます。
たとえば、画面上に以下のような情報を表示できます。
・ログインユーザー名
・社員番号
・所属部署
・端末名
・日時
・IPアドレス
・「社外秘」
・「撮影禁止」
・「顧客情報取扱注意」
これにより、画面を撮影しようとする人に対して、
「誰が撮影したか特定される可能性がある」
という心理的抑止を働かせることができます。
スクリーンショット制御との組み合わせで対策を強化
画面透かしに加えて、スクリーンショット制御を組み合わせることで、より実効性のある対策が可能になります。
たとえば、以下のような制御です。
・PrintScreenキーによるスクリーンショットを制御
・キャプチャソフトの利用を制御
・特定アプリケーションの画面キャプチャを制御
・キャプチャ操作のログを取得
・不正操作があった場合に管理者へ通知
スマートフォンによる画面撮影を物理的に完全に防ぐことは簡単ではありません。
しかし、画面透かしを表示することで撮影画像に利用者情報を残し、スクリーンショット制御によってPC上での保存や共有を抑止できます。
生命保険会社での活用シーン
コールセンター
オペレーターが顧客情報や契約情報を閲覧する画面に透かしを表示し、不正撮影や不適切な情報共有を抑止します。
営業部門
営業担当者が契約情報、見積情報、顧客一覧を閲覧する際に、ユーザー情報入りの透かしを表示します。
退職前や異動前の情報持ち出し対策としても有効です。
保険代理店
代理店端末に画面透かしを表示することで、自社外で顧客情報を閲覧する場面でも、画面撮影による情報流出を抑止できます。
銀行窓販・金融機関チャネル
銀行窓販や金融機関との連携業務では、複数の組織が情報を取り扱うため、情報管理が複雑になりやすいです。
画面透かしを活用することで、閲覧者を明確にし、不適切な撮影や共有を抑止できます。
委託先・BPO
顧客対応業務や入力業務を外部委託している場合、委託先端末での画面撮影リスクにも注意が必要です。
委託先環境でも画面透かしを表示することで、情報管理の意識向上と不正抑止につながります。
顧客情報を守るには「画面に表示された後」の対策が重要
生命保険会社の情報漏洩対策では、システムへの侵入防止やファイル持ち出し対策だけでなく、画面に表示された情報がどのように扱われるかまで考える必要があります。
顧客情報は、業務上どうしても画面に表示されます。
そのため、以下のような観点が重要です。
・誰が閲覧しているのか
・どの端末で表示されているのか
・スクリーンショットが保存されていないか
・スマートフォンで撮影されても追跡できるか
・代理店や委託先でも同じ水準で管理できるか
画面透かしとスクリーンショット制御を組み合わせることで、画面経由の情報流出リスクを抑えることができます。
まとめ
生命保険会社や保険代理店では、顧客の氏名や連絡先だけでなく、契約内容、家族構成、健康状態など、非常に機微な情報を取り扱っています。
近年の情報漏洩事案からも、生命保険業界では顧客情報管理の強化が重要な課題となっています。
特に注意すべきなのが、画面に表示された顧客情報をスマートフォンで撮影したり、スクリーンショットで保存したりするリスクです。
USB制御やメール監視だけでは、画面からの情報流出を防ぎきれない場合があります。
そのため、生命保険会社の顧客情報漏洩対策では、以下のような対策が重要です。
・アクセス権限の管理
・操作ログの取得
・USB・メール・クラウド利用の制御
・代理店・委託先・出向者の管理
・画面透かしによる撮影抑止
・スクリーンショット制御
顧客情報を守るためには、情報が保存されている場所だけでなく、画面に表示された後のリスクまで対策することが重要です。
