企業においてクレジットカード情報や購入履歴などの顧客情報は、「財産」であるはずです。しかし、「個人情報は持たなければ漏れない」という考えが広まってしまい、必要最低限しかアクセスできないようにしています。同時に必要性がなければどんどん削除することが正しいと思われています。

 顧客情報は本来活用すべき情報であり、その会社の発展にもつながる重要な情報であったはずです。例えば、購入履歴や年齢、性別、住所などの情報からDMを出すための抽出をしようとするとマーケティング部門が以下のような情報を参照する必要があります。

氏名 住所 年齢 性別 購入日 購入金額 購入商品

 これらのデータベースは顧客情報としてとても重要で、これらの情報を適宜検索して抽出することになります。ところが、マーケティング部門でこの情報を自由に閲覧できるようにすると個人情報が漏洩してしまう危険性を大きくしてしまいます。

 現実的には、担当者を限定したり、あるいは、閲覧できる情報を制限してしまって、目的の情報を検索、抽出できない状態にあることが多いのです。

 このような場合、データベースのセキュリティ対策としては担当者、端末、閲覧権限などを非常に細かく設定することが求められています。さらに、アクセス記録を取得し、定期的に不正な、あるいは、不審なアクセスがないかを監査する必要があります。担当者の異動や退職、新規登録なども頻繁に発生します。情報漏えいが続いている現在では、退職する予定の社員のアクセス記録の監視やアクセス制限も必要とされています。

 本来であれば、購入履歴などの情報は宝の山であり、様々な角度から分析を自由に行い、DMなどの販売促進に活用すべき情報です。

 最近ではこれらの状況をビジネスチャンスとして捉えて、個人情報を自由にアクセスできるソリューションが登場してきました。このようなソリューションでは、氏名や住所などを別の情報に変えてしまいます。例えば、「三輪信雄」を「新井悠」にして、「東京都港区」を「東京都千代田区」などに変換して表示させてしまうのです。それでも購入情報そのものには影響がないので、DMを出す顧客の抽出には問題がありません。

 抽出された置き換えられた顧客名に対してDMを出すように指示を行うと、DMを出す部署では元の正しい情報に変換されて出力されるようなシステムです。このようなシステムはマスキングシステムと呼ばれ、これまではデータベースの試験などのために本番データの置き換えのために使われていた技術です。

 このマスキング技術を応用して、一度変換した情報を再度元に戻すという仕組みでソリューションを提供し始めたのです。このシステムが導入されれば、これまで「制限」ばかりを行ってきた労力が不要となり、むしろ、顧客情報を有効活用できるように全社員に公開することも可能になります。セキュリティコストが削減されながらも利便性と知的生産性、ひいては売上げ向上も実現できるわけです。

 私はこのシステムの紹介を受けたときに驚きを隠せませんでした。これまでのセキュリティ対策ではない新しい仕組みであることと、セキュリティと利便性を両立させるものであったからです。我々セキュリティ専門家というものはとかく「○○禁止」「△△すべき」「××を遵守」など規制することばかりを考えがちですが、知的生産性の低下、モチベーションの低下を招くばかりで、セキュリティの向上と引き換えに多くのものを失っています。

 これからも、下がったモチベーションや知的生産性の低下に着目した新しい製品やサービスが登場することを期待しています。セキュリティコストへの本格的な取り組みは始まったばかりです。