漢方製剤などを製造販売するツムラは2008年7月時点で,法人契約の携帯電話約1000台を業務に活用。携帯電話紛失時の情報漏えい対策などを講じた上で,主にMRを対象にそれらを貸与している。
ツムラが,業務で利用する携帯電話を全面的に法人契約に切り替えたのは2007年春から。携帯電話機はKDDI(au)の「W42SA」などに統一した。KDDIを選んだ理由について,ツムラ情報技術部の佐藤秀男部長(写真1)は「着信可能なエリアが広い上に,ビジネス向けのセキュリティ・サービスが充実していたため」と説明する。
具体的には,KDDIのASPサービス「ビジネス便利パック」が提供するアドレス帳などのデータの遠隔消去やリモート・ロック,GPS機能による端末の所在確認などの機能を駆使することで,紛失・盗難時の情報漏えいの未然防止を図った。
業務利用によるリスクを懸念
法人契約の携帯電話を全面導入する以前,MRは個人契約の携帯電話を業務で利用していた。業務目的の通話を会社負担の料金に適用するため,ツムラはソフトバンクテレコムの公私分計サービス「0063携帯電話使い分けサービス」を採用。このサービスは,あらかじめ登録した携帯電話やPHSで電話をかける際,相手先電話番号の前に0063を付けると,通話料金を会社負担にできる。請求書には発信番号や日時を記録した明細書が付けられるため,業務目的での通話かどうかを事後にチェックすることが可能だ。
しかし,個人契約の携帯電話を業務で利用し続けるのは,「情報セキュリティ上の問題がある」と佐藤部長は指摘していた。例えば,取引先と通話した際には通話履歴に相手先の電話番号が残っていたり,アドレス帳に取引先の情報が記録されていたりする可能性がある。携帯電話のメール機能を使って取引先とメールのやり取りをすると,取引先から送られてきたメールが端末に保存される。いずれにしても,万が一の紛失・盗難時に端末から業務上の情報が外部に流出するリスクを避けられない。ツムラは,法人契約の携帯電話を貸し出すことで,端末の管理を徹底することにした。
携帯電話にメールを残さない
ツムラでは,端末管理のために,前述したKDDIのビジネス便利パックを利用していた。だが,携帯電話からのメール送信による情報漏えいのリスクがあり,これだけで対策は十分とはいえなかった。
さらに2008年度から施行された日本版SOX法によって内部統制の強化が迫られていた。内部統制の実施基準によると,業務上のメールによる不正行為を防止するために,企業内のメールの記録をすべて保持する必要がある。もし企業ドメインのメールとは別に,MRが携帯電話のメールを使って業務上のメールを勝手に送受信すると,内部統制の実施基準に合わなくなる。そのため佐藤部長はメール機能の統制が不可欠と判断した。
副次的な効果として,メール受信量を必要最小限に抑えることで,パケット通信料金の削減を期待できた。
そこで,MRに貸与する携帯電話は,携帯電話のメール機能(EZメール)に制限を加え,一部を除き受信できないようにした。
法人契約の携帯電話には,KDDIの「ビジネスメールアドレス」と呼ぶサービスを導入。「aaa@tsumura.biz.ezweb.ne.jp」といった企業名をサブドメインにしたメール・アドレスを設定できる。同社は,このメール・アドレスあてには特定のメール・アドレス以外からの受信をすべて排除する「ホワイトリスト形式」のフィルタリング設定を採用した。管理者は事前にメール・フィルタリングの設定をしてから携帯電話をMRに手渡す。この際,MRが勝手にフィルタリングの設定を解除・変更できないようにした。
企業のドメイン名が付いたメール・アドレスからの転送も含めて,携帯電話のメール受信を制限することで,法人契約の携帯電話機には業務目的のメールが一切届かない。
