顧客情報管理台帳の管理不足(銀行)
事務リスク管理部門は、顧客情報管理について、既存の「顧客情報管理台帳」を再整理することを、顧客情報管理委員会に報告している。 しかしながら、同部門は、当該台帳の再整理を行う際に、顧客情報の管理方法の適切性について十分に検討を行っていない。 こうした中、同部門は、当該台帳を営業店に対して還元していないことから、営業店が保有する顧客情報と当該台帳との照合・点検を行っていない。
(平成23検査事務年度)
事務リスク管理部門において、台帳整備や顧客情報管理について専門知識を持っていない、もしくはリソース不足から手をつけられていないと思われます。リソース不足が要因の場合、文書管理や情報管理の専門知識を持つ会社へアウトソーシングの検討をおすすめします。
書類紛失事故の検証・周知徹底不足(銀行)
事務リスク管理部門は、営業店における顧客情報管理の実態把握や、情報漏えい事故の発生状況・原因の分析を行い、再発防止策を講じることとしている。こうした中、営業店において、預り証の紛失が発覚しているなど書類の紛失事故の発生件数は高止まりの状況にある。しかしながら、同部門は、当該事故の検証を十分に行っておらず、事故発生店が策定した再発防止策を他の営業店に周知するなどの対応を行っていない。このため、複数の営業店において、受領した書類を事務処理中に紛失している事故が発生している。
(平成23検査事務年度)
顧客情報の紛失というセキュリティインシデントが発生していることを会社全体に周知徹底し、再発防止の対策に取り組むべきです。営業店での顧客情報管理ルールやシステムの導入をおすすめします。
事務管理センターでの文書管理不備(銀行)
事務リスク管理部門は、「事務リスク管理規程」に基づき、各営業店等に対して、事務ミス等を防止する観点から自店検査を行わせるとともに、その結果を検証した上で、必要に応じて指導を行うこととしている。しかしながら、同部門は、各営業店等に対して、適切な自店検査の手法を周知徹底しておらず、また、自店検査の実態を十分に把握していない。
こうした中、コールセンター及び事務センターにおいて、不備事案が発生しているにもかかわらず、自店検査の際に見逃されている事例が多数認められる。
(平成23検査事務年度)
全拠点の文書を集中管理する事務管理センターにおいて、保管や廃棄ルールが徹底されていない状況は非常にリスクが高いです。事務管理センターがアナログ的に運営されているケースも多いため、全社の文書管理ルールを見直すとともに、早急に事務管理センター・営業店・本店を統合管理できる文書管理システムの導入をおすすめします。
保存年限を満了した顧客情報を含む文書が適切に管理・廃棄されていない(銀行)
事務リスク管理部門は、「顧客情報管理マニュアル」を策定し、顧客情報管理台帳(以下、「台帳」という。)を作成・更新管理するために必要な事項を定めている。 また、同部門は、前回検査の指摘を踏まえ、営業店に対して通達を発出し、台帳に記載すべき個人データの洗出しを行わせ、台帳の更新作業を指示している。
しかしながら、同部門は、営業店における顧客情報の管理状況について、臨店指導による検証を十分に行っていないことから、顧客データを含む電子媒体の一部が台帳に記載されていない事例や、保存年限を経過した顧客情報を含む文書が廃棄されず、書庫に大量に放置されている事例が認められる。
(平成23検査事務年度)
臨店指導を行わなくても、各営業店でルールに沿った文書管理を行えるような仕組みづくりとシステム化が求められます。文書管理コンサルティング・文書管理システム導入をおすすめします。
文書保管外部委託先の監査を実施していない(銀行)
内部監査部門は、グローバル・ベースで定められた「内部監査規程」に基づき、「監査実施要領」を策定の上、定例監査及びテーマ監査を行うこととしている。 しかしながら、同部門は、本邦における業務の特性を踏まえた「監査実施要領」を策定していない。こうした中、同部門は、外部委託先を対象とした監査について、個人情報保護の観点から、外部委託先に保管されている文書の管理に係る監査を実施しているものの、当該委託先に係る契約内容の適切性等については、監査を実施していない。
(平成23検査事務年度)
機密文書管理の委託先の監査や契約内容の精査は必須です。 文書保管委託先の選定だけでなく、契約後も定期的に監査や契約内容のチェックを行いましょう。
〜属人的な管理から引き起こされるリスク〜(銀行)
・重要文書の管理について、総務部門は、組織変更等による管理担当者の変更を担当部署任せとし、状況を確認していないことから、変更がなされないままとなっている。このため、管理担当者が不明の文書や、文書管理システムで管理担当者を設定していないため入出庫や廃棄ができなくなっている文書が認められる。また、こうした状況に対し、同部門は改善策を講じていない。さらに、コンプライアンス統括部門は、総務部門の文書管理に対する役割や総務部門に対する報告体制を具体的に定めていない。
(平成22検査事務年度)
金融機関において、文書管理は法令遵守・コンプライアンス・情報セキュリティインシデントの防止において、非常に重要です。維持管理のために、文書管理担当者の専任・文書管理システム担当者の設置などは必須です。文書管理が出来ていない状況をシステム導入したからといって、改善できるものではありません。総務部門だけに文書管理を任せるのではなく、全社的にどのように文書管理に取り組むのかルール作りから始めたほうが良いでしょう。文書管理コンサルティングをおすすめいたします。
〜文書管理状況の把握不足〜(銀行)
顧客保護を担当する事務リスク管理部門が営業店における文書管理状況の実態把握を行っていないことや、所管部署等が外部委託先へのモニタリングを十分に行っていないことなどから、以下のような問題点が認められる。
・ 事務リスク管理部門は、前回検査の指摘を受けて、営業店の書類保管状況の把握を行ったとしているが、営業店毎に異なっている問題点を把握しないまま、保存文書台帳の整備を中心とした対応を進めてきている。このため、一部の営業店においては、個人情報の特定を行わないまま、個人情報を保管している事例等が今回検査でも認められている。
(平成22検査事務年度)
管理部門が文書管理の実態把握を行い、現状分析が必要です。また、導入する文書管理システムに関しては、単にパッケージソフトを導入するのでなく、営業店ごとに介在する問題点を解決できる、柔軟性のあるシステム導入が必要です。文書管理コンサルティング・文書管理システム導入を検討してみてはいかがでしょうか。
~顧客保護等管理態勢の不備~(銀行)
顧客情報管理について、顧客情報管理部門は、規程を定め、個人データの管理台帳(以下、「台帳」という。)の整備を行うとし、個人情報漏えいについては、再発防止策等を含め個別事案を経営会議に報告している。こうした中、同部門は、営業店に対し、重要保管物である帳票等の保管期間が満了した場合は、使用済文書の保存に係る台帳に登録するよう指示しているものの、その他の帳票及び記録媒体における顧客情報の管理・点検を指示していない。
また、経営会議は、個人情報漏えい事故が多数発生しているにもかかわらず、当行全体の管理状況について点検指示を行っていない。このため、営業店においては、顧客情報の紛失等が発生しても、その帳票等を台帳において特定できない状況となっている。さらに、営業店の管理責任者は、渉外担当者が各自のパソコン等に保存・利用をしている個人データについても何ら管理していない。
(平成 22 検査事務年度前期版)
個人情報管理を徹底するためにも、営業店で扱っている個人情報を棚卸作業が必要でしょう。その上で、各帳票の保存年限を設定し、台帳管理・運用のシステム化が望まれます。
~情報文書管理規定に反し、契約書の写し等の情報文書を施錠できる場所以外に保管~(銀行)
・営業店監査について、監査部門長は、部店長に対して不定期に重要保管物検査の実施を指示することとしている。こうした中、監査部門は、顧客からの契約書等を頻繁に預かっていることから部店長検査を指示する必要がある特定の営業推進部署に対して、これまで営業店監査を実施していないほか、部店長検査を指示していない。このため、今回検査において、営業推進部門が情報文書管理規程に反し、契約書の写し等の情報文書を施錠のできる場所以外に保管している事例が認められている。
・ 監査部門は、文書誤廃棄事故の再発防止策の一つとして、保存処理が未済のままの書類が保管されていないかを監査すべき項目として新設しているが、保存文書と保存文書台帳を照合するなど深度ある監査を実施していない。このため、今回検査において、個人情報管理台帳に記載しないまま個人情報を保管している事例等が多数認められている。
(平成22 検査事務年度前期版)
日々発生する文書や帳票類が、各営業店で整備されるためにはルールとともに仕組みの構築が必要です。また、営業店に負荷がかかるようなアナログ的な仕組みでは維持管理に無駄な人件費が発生し、また厳格に管理することもできません。 まずは営業店の文書管理におけるリスク事項やボトルネックを洗い出し、システム化することが理想的です。全支店の調査・管理は時間と手間がかかるため、文書管理コンサルティングと文書管理システム導入で改善しましょう。
~顧客情報の紛失の発生原因の分析や持出ルールの明確化など対策を十分に行っていない事例~(銀行)
顧客情報管理責任者は、情報漏えい等の発生状況について、定期的に経営会議に報告しているほか、事故発生営業店への指導を徹底することとしている。また、顧客情報漏えい事故については、内部監査において、多数の営業店で保管・持出などの情報管理の不備が指摘されている。しかしながら、同責任者は、増加傾向にある顧客情報紛失の発生原因分析や持出ルールの明確化など、再発防止策への取組を十分に行っていない。こうした中、依然として複数の営業店において、顧客情報の持出などによる紛失といった情報管理の不備による漏えい事故が発生している。
(平成23 検査事務年度前期版)
情報セキュリティインシデントが発生している以上、全社的に課題に取り組み、改善・対策すべきです。顧客情報の持ち出しルール・運用方法を策定し、管理部門が常に管理・監視できるようにシステムの導入が必要でしょう。文書管理コンサルティング・文書管理システムの導入をおすすめします。
~顧客情報のアクセス履歴管理~(銀行)
顧客情報管理部門は、個人データ管理規程において、情報を外部に持ち出す際には記録表に記載することとしているが、記載すべき内容を明確に定めていないため、持ち出す情報が記録表に正確に記載されていない。このため、複数の営業店において、渉外担当者の持ち出した情報を特定できない事例が認められる。
(平成21検査事務年度)
顧客情報の持ち出しは、情報漏洩や紛失などの情報セキュリティインシデントにつながるため、厳重な管理が必要です。アクセス管理・履歴管理を厳格に行える業務のシステム化をオススメします。
~廃棄すべき書類の大量保管~(銀行)
遺言信託業務における遺言書等重要書類の管理について、所管部署の営業店に対する指導が不十分であることから、営業店において、廃棄すべき遺言書の写しを担当者が大量に保管している事例
(平成19検査事務年度)
営業店や当該業務担当者の認識不足が原因と思われます。アクセスした個人情報は不要になった時点で廃棄することが重要です。不要な文書をすぐに廃棄することを習慣化するためにも、シュレッダーより運用が楽であり、簡単に運用できるセキュリティボックスをおすすめします。重要文書へのアクセス管理も不十分かと思われます。
~顧客情報データベース台帳の未整備~(銀行)
当該金融機関は、前回検査において、「顧客情報データベース台帳が未整備である」との指摘を受けているにもかかわらず、顧客情報管理部門は、営業店に対し、台帳整備に係る指示を十分に徹底していない。このため、営業店において、依然として一部の情報が台帳に記載されていない。
(平成21検査事務年度)
顧客情報や文書管理を主幹する管理部門が、台帳管理に関するルール・運用方法を営業店に示すことが求められます。ただし、管理方法自体を見なおさなければ継続して運用出来ず、さらに営業店の負担を増す結果となります。営業店の負担を軽減しながら、ルールの徹底・運用管理ができるシステム導入をおすすめします。
~保存台帳の管理不足、実態調査不足~(銀行)
顧客情報を含む文書の保存及び廃棄は、内部規程において、保存台帳により管理を行うことが定められている。しかしながら、顧客情報管理部門は、臨店指導時に保存台帳の作成状況や、文書の保存状況の確認を行っていないほか、コンプライアンス委員会においても、文書管理の実態調査の検討が行われていない。
(平成21検査事務年度)
文書管理の規定だけ策定したとしても実行しなければ意味がありません。営業店での顧客情報での保存台帳管理は、システム化なしでは非常に手間と時間がかかり、なおかつ管理側も確認が難しくなります。全営業店を含めた、社内文書管理システムの導入をおすすめします。
