顧客情報管理態勢

顧客管理統括管理責任者は、会社の顧客に関する情報の管理が適切に行われるよう、内部規定等、管理態勢をを整備しなければいけません。

内部規定等の策定

1.顧客情報管理規程及び顧客情報管理マニュアルの整備・周知

顧客情報統括管理責任者は、顧客情報管理の適切性を確保する必要性及び重要性を十分に理解し、顧客保護等管理方針に則り、顧客情報管理の適切性を確保するための組織体制及び顧客情報管理に関するモニタリング方法を決定し、当該業務についての管理を行うための取決めを明確に定めた内部規程「顧客情報管理規程」を策定します。
なお、顧客情報管理規程は、リーガル・チェック等を経て、取締役会等の承認を受けた上、組織内に周知します。
また、顧客保護等管理方針及び顧客情報管理規程に則り、顧客情報管理の方法及び遵守すべき手続等を定めた業務細則「顧客情報管理マニュアル」を策定し、組織内に周知します。

「顧客情報管理規程」、「顧客情報管理マニュアル」は形式的に必ず作成しなければならない訳ではありません。両者を一体化したり、情報セキュリティ関連規定等に吸収したりすることも考えられます。重要な点は、①経営陣の関与(取締役会等による承認)、②重要事項の明確な記載、③顧客情報管理を行う者に対する周知徹底、④顧客に対する適切かつ十分な説明等、を確保することです。

顧客情報統括管理責任者とは、適切な顧客情報管理態勢を整備・確立するための顧客情報の管理全般を行う者です。
リーガル・チェック等に関しては、コンプライアンス・チェックを含み、例えば、法務担当者、法務担当部署、コンプライアンス担当者、コンプライアンス統括部門又は社内外の弁護士等の専門家により内部規定等の一貫性・整合性や取引及び業務の違法性について、法的側面から検証することを言います。

2.顧客情報管理規程の内容

顧客情報管理規程には、業務の規模・特性に応じ、顧客情報の適切な管理を行うための組織体制、権限・役割等を明確に規定することが求められます。
特に次の点を考慮した内容とする必要があります。

  • 管理対象となる情報の定義
    ・「個人顧客に関する全情報」+「法人顧客の非公開情報」など
  • 業務の範囲、量に見合った顧客情報管理体制
  • 顧客情報の入手、利用、保存、廃棄に関する権限、手続
  • 現場(営業拠点等)担当者の適格性基準
    ・例えば、営業拠点等の内部管理事務、コンプライアンス担当等の経験年数や社内外の資格取得状況の要件を設定

3.顧客情報管理マニュアルの内容

顧客情報管理マニュアルは、顧客情報管理を行う者が適切かつ十分な顧客情報管理を行うことができるように具体的かつ平易に記載することが求められます。
特に次の点を考慮した内容とする必要があります。

  • 管理対象となる帳票や電子媒体等の定義
    ・管理対象となる帳票、電子媒体を列挙するのではなく定義を規定
    ・個別帳票等の一覧は、別途参考資料として作成
  • 保管場所、廃棄方法等
    ・管理対象情報と営業拠点等の物理的なスペースの整合性
    ・管理対象情報毎の廃棄方法の明確化(書類の裁断・焼却、電子媒体の消去・破砕等)
  • アクセスできる役職者の範囲、アクセス権の管理方法
    ・職務権限・業務分掌との整合性
    ・人事異動(採用、退職、異動)とアクセス権限変更の整合性
    ・アクセス権限設定者に対する牽制機能
  • 顧客情報の社外持ち出しルール(持ち出し可能情報の指定、承認権限、記録等)
  • 情報漏えい時の対応
    ・関係者(組織内、当局、顧客)への報告手続
    ・ITシステムへのアクセス制限手続

 

顧客情報管理の実施

1.顧客情報管理に係る態勢整備

顧客情報統括責任者は、次の点に責任を負うことが求められます。

  1. 関連規定・マニュアルの整備
  2. 規程等の遵守態勢の構築(牽制機能の整備を含む)
  3. 上記1.、2.の実効性を確保するための情報連絡・研修など

この点からも顧客情報統括管理責任者には、相当程度の業務執行権限、代理権限を有する取締役や上級管理職が任命されることが想定されます。

2.指導・監督

顧客情報統括管理責任者は、計画に沿って顧客情報管理に係る研修、マニュアル整備等を行う必要があります。(コンプライアンス・プログラムに織り込むことも考えられます。)

3.システム対応

顧客情報統括管理責任者は、情報の入手、利用等を行う営業拠点等に対する指導・監督を行うとともに、システム担当部門と連携し、統一的な顧客情報管理を実施することも必要です。

システム担当部門は、①顧客情報のプリントアウトやダウンロード、②顧客情報へのアクセス、③パスワード設定・認証システムの導入など、情報漏えい・改ざん等を防止するための技術的な対応を行います。
その前提となるポリシー(基準)は、顧客情報統括管理責任者が設定すべきです。

4.顧客情報漏えい時の事後対応の管理状況

顧客情報の漏えいは、会社の業務運営やレピュテーションに大きな打撃を与える重大な事故です。
したがって、あらかじめ情報漏えい事故が発生した場合の対応手順を明確に定めておく必要があります。特に報告事項、報告対象者、報告方法等を整理しておくことが重要です。
また、関係顧客への通知・謝罪、一時的な情報アクセス制限、再発防止策の実施など初期報告後のフォローアップ内容も定めなければなりません。

5.各部門の顧客情報管理状況等のモニタリング

顧客情報管理に関するモニタリングは、情報セキュリティ部門、コンプライアンス統括部門、内部監査部門等も何らかのかたちで行うことが想定されます。したがって、顧客情報統括管理責任者のモニタリング内容を定めるためには、まず他部門によるモニタリング実態を把握する必要があります。その上で、顧客情報統括責任者には、現状把握とそれに基づく改善策の検討・導入を的確に実施することが求められます。

6.代理店及び外部委託先の顧客情報のモニタリング

代理店、外部委託先についても、会社本体と同水準の顧客情報管理態勢が求められます。したがって、顧客情報統括管理責任者等は、事故発生の際にも本体と同様の情報連絡等を実施できる態勢を整備する必要があります。

7.取締役会等への報告態勢

顧客情報管理に関する取締役会等(取締役会、各種重要会議、代表取締役、業務執行取締役)への報告手続、内容を書面で明確にする必要があります。定期報告事項については、書面の雛形を作成し、報告制度を定めることが望まれます。
また、緊急連絡を要する事項、方法(電話連絡、Eメール等による書面の配布、会議の臨時招集等)についてもあらかじめ定めておく必要があります。

8.監査役への報告態勢

監査役がその機能を十分に発揮できるよう、監査役への報告事項、方法等を定める必要があります。
また、取締役会の指示による能動的な報告だけでなく、監査役の求めによる報告、資料提出等にも積極的に応じることが重要です。

 

評価・改善活動

顧客情報管理統括責任者は、顧客情報管理態勢の改善を図るため、その機能状況を検証し、規程類、組織体制、情報伝達体制、研修、モニタリング方法等を適宜見直す必要があります。
情報セキュリティ部門、コンブライアンス統括部門、内部監査部門等からの指摘を踏まえ改善策の立案・実施に取り組むことは当然ですが、顧客情報管理統括責任者が自ら所管業務の実態を把握し、能動的に問題点の改善を図る態勢を定着させることが重要です。
また、顧客情報統括管理責任者は、自らの職務権限を超えるような重要な課題に対処するために、取締役会等への提言機会を確保することも大切です。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す