こんにちは。「CallConnect」ライターチームです。
コールセンターを運営する上で、セキュリティは十二分に留意したいポイントです。情報セキュリティマネジメントシステム(ISMS)の認証を受けることでセキュリティに適合した運営を行う企業と証明され、顧客に安心感を与えられます。 一方でISMSの認証を受けたことにより、コールセンターに課せられる義務や責任は重くなります。認証された後の取り組みは企業の信頼を高める上で重要です。
本記事ではコールセンターを運営する上でぜひ知っておきたい「ISMS」について、詳しく解説します。
セキュリティに配慮したコールセンター運営の重要性
コールセンターは利用者に関する個人情報や、自社やサービスに関する機密情報など、守るべき情報を多く抱えています。これらの情報を守ることは、信頼を得るために大変重要です。運営にあたり、セキュリティへの配慮は必須といえるでしょう。
一方で以下のように、円滑な事業運営を妨げないための工夫も求められます。
- オペレーターが顧客の情報にスムーズにアクセスでき、円滑な顧客対応ができる体制
- 顧客が必要なときに、いつでも問い合わせできる営業体制
上記は迅速・確実な対応を行い、顧客満足度を保つ上で重要なポイントです。コールセンターの運営には、セキュリティと利便性のバランスが求められます。
ぜひ知っておきたい「ISMS」の制度を解説
情報を守りつつスムーズな事業運営を行う上で、ISMSの認証を受けることは重要です。どのような制度なのか、詳しく解説していきましょう。
そもそも、ISMSとは何か?
ISMSとは組織が事業運営を行う上で、どのようにセキュリティ対策を行い組織の運営を行うのか、また有事の際にはどのような方針で対応するのかを定めたものです。この基準は、ISO/IEC 27001により定められています。
情報マネジメントシステム認定センターでは、ISMSを以下のように定義しています。
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
引用元:一般社団法人情報マネジメントシステム認定センター ISMS(情報セキュリティマネジメントシステム)とは
上記の通り、ISMSは単に「ウィルス対策を行った」「オフィスに指紋認証を設置した」などの措置を行えば済むものではありません。企業が持つ情報資産を守るためにはどう行動すべきか、指針を示すものです。このため業務全体を把握した上で、方針を決定することが重要です。
認証を受ける企業数は、5年間で32%増加
ISMSを策定した団体は、ISMS認証機関に申請し審査に合格することでISMS認証を取得できます。社会の要請もあり、ISMSの認証企業数は年々増加を続けています。2015年度末から2020年度末までの5年間で、ISMS認証登録数は約1,500社、32%増加しました。
| 年度 | 年度末の登録数 | 備考 |
|---|---|---|
| 2015 | 4827 | |
| 2016 | 5152 | |
| 2017 | 5497 | |
| 2018 | 5797 | |
| 2019 | 6018 | 2019年11月11日時点 |
| 2020 | 6373 | 2021年4月9日時点 |
参考:一般社団法人情報マネジメントシステム認定センター ISMS認証登録数 6,000件突破のお知らせ、ISMS認証取得組織検索
貴社もISMS認証を得ることで、社会からの信頼が増す効果が期待できます。
ISMSで求められる5つのポイント
コールセンターがISMSの認証を受けようとする場合、どのようなことが求められるのでしょうか。ここでは5つのポイントに分けて、詳しく解説していきます。
保有する情報資産について、機密性・完全性・可用性の観点から重要度や影響範囲を検討する
コールセンターは、さまざまな情報資産を持っています。一例として、以下のものが挙げられます。
- 顧客に関するデータ
- 業務マニュアル
- 各種ソフトウェア
- 設備や機器
- オペレーターなど働く方
それぞれの情報資産について以下の観点を検討し、重要度や影響範囲を検討する必要があります。
| 観点 | 主なポイント | 区分の例 |
|---|---|---|
| 機密性 | どこまで公開できるか | 一般公開可、社外秘、部外秘など |
| 完全性 | データの整合性が取れなくなった場合の影響範囲 | 大、中、小など |
| 可用性 | システム停止の許容範囲 | 原則24時間365日運用、深夜のみ停止可、予告すれば日中でも停止可能など |
膨大な情報資産一つひとつに対し、検討を進める作業は骨が折れます。しかし、セキュリティ事故を防ぐ上で、この作業を怠るわけにはいきません。緻密かつ丁寧に検討を進めていきましょう。
情報セキュリティポリシーを定め、セキュリティ対策を確実に実行する
組織において正しく情報セキュリティ対策を遂行するためには、指針が必要です。このため、情報セキュリティポリシーとして、以下の3項目を定めることが求められます。
- 基本方針
- 必要となる対策やルール(対策基準や管理規定)
- 具体的な実施手順やマニュアル、ガイドライン
上記の項目は、実際には別々の文書で作られる場合が多いです。具体的な実施手順を策定する際は、オペレーターが迷わず実行できるかという点も考慮しましょう。
もちろん情報セキュリティポリシーを定めただけでは、情報の保護は実現できません。PDCAサイクルを回し、定めた内容を確実に実行することが必須です。その際は単に機械的に行うのではなく、より良い方法で遂行できないか工夫することも重要です。
プライバシーマークを取得し、プライバシーポリシーを定める
ISMSを適切に運用するならば、個人情報の保護は避けて通れません。プライバシーポリシー(個人情報の保護方針)を定め、コールセンター内外に対し宣言することが求められます。加えてプライバシーマークの取得により、企業の信用が高まります。
法令の遵守
事業の運営において、法令遵守は常識です。しかしISMSにおいては、知らなかったがゆえに法令に触れてしまう事態が起こり得ます。一例として、以下の法令があります。
- 不正競争防止法
- 不正アクセス禁止法
情報セキュリティマネジメントに関わる法令をチェックし、その要件を満たすことも重要なポイントです。
いざという時に備えて、業務継続計画(BCP)を定めておく
コールセンターの運営中は、事業に重大な影響を及ぼす事態が起こる可能性があります。その一例を以下に示しました。
- 台風や地震など、自然災害に遭う
- 停電に見舞われ、IT機器や電話、照明、空調が利用できない
- 不正アクセスにより、データの改ざんや消去の被害を受けた
- サーバーの故障や、ネットワークに接続できない状況が発生した
このような事態に遭遇した場合にどう対応するか、BCPで方針を定めておく必要があります。
もっとも、どのような事態が起こるか事前に把握することは難しいものです。ある程度「走りながら考える」ことは当然求められます。しかし、事前にBCPを定めておけば、いざという時にスピーディーに動けることは大きなメリットです。復旧も早まり、多くの方から評価されることでしょう。
ISMSの認証を受けた後にも、心がけるべきポイントがある
ISMSの認証を受けたら、セキュリティ対策が十分なコールセンターとして広く認知されることになります。しかし、その真価が試されるのは、認証後の運用にあることを忘れてはなりません。セキュリティの遵守をおざなりにしてしまい、社会からの信用を失う事態は回避する必要があります。
ここからはISMSの認証を受けた後に心がけるべきポイントを3点取り上げ、解説していきます。
セキュリティインシデントが発生したら、迅速かつ確実な対応が重要
コールセンターは人が重要な役割を果たす部門である一方で、ヒューマンエラーが発生する可能性もあります。従って、セキュリティに関するリスクをゼロにすることはできません。リスクの内容は、情報の持ち出しから、紛失や宛先の文字を間違えたといううっかりミスまで、さまざまなものがあります。
運営側としては、「セキュリティインシデントは必ず起きる」という認識を持ち、対応方針を決めておくことが求められます。異常を検出できるシステムの導入は、おすすめできる手法の1つです。
もし発生した場合は、迅速かつ確実な対応、丁寧な説明が重要です。暫定的な対応を行い、少しでも早く復旧する手法はよく選択されます。あわせて組織内外への報告も確実に行いましょう。
適切に運用されているかチェックし、教育を行う
業務に従事するすべての方が愚直にISMSを遵守すればよいのですが、現実はなかなかそういきません。放置したままだと自己流の方法で、ルールを逸脱した業務を進める方も現れがちです。このため、適切な運用が行われているか、随時チェックすることが重要です。
加えてISMSの認証後、一定期間経つと新人が入ってくるものです。この新人に適切な教育を行い、現場でセキュリティ事故を起こさせない取り組みも求められます。
変化に対応し、適宜ルールや運用方法を見直す
職場を取り巻く環境は、常に変化しています。実態にそぐわないルールがあると守らない方が増えてしまい、セキュリティ事故につながりかねません。
このため、変化をウォッチし、定期的にルールや運用方法を見直すことが必要です。不適切な内容は積極的に変更する行動が、貴社の情報と信頼を守ります。
ISMSに準拠した対応は、コールセンターへの信頼を守ることにつながる
ISMSはセキュリティを守ることと、業務を円滑に実施することの両方を求めています。顧客からの信頼も守ることができる点で、コールセンターで実施するメリットは大いにあります。さまざまなルールの策定には手間がかかりますが、得られるものは大きいといえるでしょう。
実際にISMSに準拠したセキュリティ対策を行うためには、認証機関に相談しながら進めるとスムーズに行えます。また、ISMSに関する書籍を参考に進めることも、1つの方法です。
「CallConnect」は、 ISMS の認証を取得した合同会社 selfree が運営しているサービスです。 PCとインターネット、ヘッドセットの3つがあれば最短即日でコールセンターを立ち上げられます。 「セキュリティ対応のしっかりしたコールセンターシステムを使いたい」という方は、無料トライアルをお試しください。
参考:
税所哲郎: 現代組織の情報セキュリティ・マネジメント【改訂版】. 白桃書房, 東京, 2020.
一般社団法人情報マネジメントシステム認定センター「ISMS認証登録数 6,000件突破のお知らせ」:https://isms.jp/topics/news/20191112.html
一般社団法人情報マネジメントシステム認定センター「ISMS(情報セキュリティマネジメントシステム)とは」:https://isms.jp/isms/index.html
一般社団法人情報マネジメントシステム認定センター「情報セキュリティマネジメントシステム(ISMS)適合性評価制度の概要」:https://isms.jp/isms/about.html
一般社団法人情報マネジメントシステム認定センター「ISMS認証取得組織検索」:https://isms.jp/lst/ind/
一般財団法人日本品質保証機構「ISO/IEC 27001(情報セキュリティ) 概要」:https://www.jqa.jp/service_list/management/service/iso27001/
一般財団法人日本品質保証機構「ISO/IEC 27001(情報セキュリティ) 認証取得・維持の流れ」:https://www.jqa.jp/service_list/management/service/iso27001/flow.html
