• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

「動かないコンピュータ」その後

JR北海道、8万人分の顧客データを捨てる

中井 奨=日経コンピュータ 2011/03/22 日経コンピュータ

 「インターネット上でのサービスは常にリスクにさらされている、ということを改めて思い知らされた」。北海道旅客鉄道(JR北海道)の大河原久雄総合企画本部経営企画部主査は、2008年11月に起きた不正アクセスによるWebサイト改ざん事件を、こう振り返る。

 システムを正常に戻したのが2009年3月である。復旧までの4カ月間、インターネットを使った指定席の予約サービスなどができなくなった。その間、指定席の予約販売は、駅の窓口や電話といった従来のやり方で対応した。

「顧客データの保持は必要最小限にとどめる」JR北海道 総合企画本部経営企画部 主査 大河原 久雄氏
「顧客データの保持は必要最小限にとどめる」
JR北海道 総合企画本部経営企画部 主査 大河原 久雄氏

 「もともと指定席のチケットは駅での販売が大半を占めていたため、営業面での大きなダメージはなかった。それでも、インターネットビジネスを手掛けている以上、セキュリティ対策に万全を期する必要があると痛感した」(大河原主査)。

 セキュリティ強化のポイントとしてJR北海道が着目したのが、顧客データの管理方法である。指定席予約サービスでは、乗客会員の氏名や生年月日、住所、電話番号、メールアドレスといった個人情報を保持する。

 2008年11月のWebサイト改ざん事件では、顧客データが漏洩することはなかったが、このデータの管理方法を見直すことが急務と判断した。他の企業で、顧客データの流出事件が起きているということもあり、危機感を抱いた。

 JR北海道は、セキュリティサービスを専門とするITサービス会社にコンサルティングを依頼した。「顧客データを保持していること自体がリスクである。何の考えも持たずに、膨大な顧客データを蓄積するの危険。できるだけ保持しないようにする方法を考えるべきである」。

 JR北海道は、こうしたアドバイスをITサービス会社から受けた。JR北海道が保持する指定席予約サービスの顧客データは、12万件だった。

 この助言からJR北海道は、顧客データをすべて消去することを検討した。個人情報という漏れてはまずい情報を持たないという選択だ。

 ところがこれには、営業部門が猛反対した。顧客データを保持し、それをマーケティング活動に利用しようとしていたからだ。

 セキュリティリスクを軽減するために顧客データを消去するか、マーケティング活動のために顧客データを保持し続けるか。JR北海道の経営陣も巻き込んで議論を重ねた。

過去に発生したトラブル
指定席予約サービスなどのWebサイトが、SQLインジェクション攻撃により改ざんされた。このため2008年11月28日から4カ月間Webサイトを閉鎖した。
(日経コンピュータ2009年4月29日号「動かないコンピュータ」)

 顧客データを消去することに対しては反対意見が多かった。「企業というものは多かれ少なかれ顧客データを抱えるものだ。顧客データを持たなければ、個人情報が漏洩するリスクはゼロになるが、重要な情報をまともに管理できない会社だと、外部から思われてしまうのではないか」。こうした意見もあった。

ここから先はITpro会員(無料)の登録が必要です。

次ページ 顧客データを毎年1回棚卸し
  • 1
  • 2
  • 3

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る