プライバシーの管理・取扱いについて

ARIGATOBANK 取締役/CCO(Chief Compliance Officer)の山崎(@masa08205)です。
iOSのkifutownがローンチされて、約3ヶ月が経過し、また直近ではAndroidでのサービスがローンチされ、合わせて約85万件(10月11日時点)のダウンロードを頂き、誠にありがとうございます。

まずはじめに当社のコンプライアンスチームをご紹介させていただければと思います。

私を含めて金融機関出身者のコンプライアンス経験者が多く、各種法改正の制度対応、FATF審査、AML/CFT対策、個人情報管理、外部委託管理等の経験があり、一人一人が幅広いコンプイアンス業務をカバーできるメンバー構成されているチームです。

コンプライアンスチームの採用も行っておりますのでご応募をお待ちしております。

さて本日の本題に入ります。

今般、前澤のみならず、皆様が寄付できる機能を提供したことに伴い、新規のお客様(寄付者・被寄付者)も継続的に増えていく中で、安心してサービスをご利用いただくにあたり、大手企業でも個人情報の流出が発生して悪用されるケースもあり、個人情報保護に対する世間の関心が年々高まってきているという外部環境を感じております。

このような外部環境の中、個人情報管理は大丈夫か?と気になる方も多いのではないでしょうか。

当社では、お客様に安心してサービスをご利用いただくために、ローンチ前から個人情報管理を重要課題の1つに設定し、必要に応じて専門家への相談を行いながら、プライバシーの管理・取り扱いの整備・運用体制の構築を行っておりますので 本日は、当社の個人情報に関する考え方や取組みの一部についてご説明、ご紹介したいと思います。

(1)基本方針
① 個人情報保護法その他関係法令・ガイドラインを遵守します。
② 個人情報の漏えい等が生じないよう十分な安全管理措置を実施します。
③ お客様から取得する個人情報は、プライバシーポリシーで定める利用目的の達成に必要な最小限度の範囲となるよう配慮します。
④ 個人情報の売却等の情報ビジネスは行いません。

(2)安全管理のための主な取組み
個人情報(氏名、メールアドレス等のお客様を直接識別できる情報をいいます。以下本項において同じ)の管理を行う上では、セキュリティ対策も非常に重要であり、当該対策も含めた当社での主な取組みについてご紹介します。

①取扱環境
執務室内に入室する場合、セキュリティカードが必要です。
また、執務室内でも個人情報を取り扱うエリアは明確に区分しています。

②端末分離
個人情報を取り扱う業務を行うときは、一般的な業務端末とは別に専用の端末を用いて業務を行います。

③ネット利用
個人情報を取り扱う専門端末でのネット利用等は、全てセキュリティ責任者への事前申請を行い、問題ないことが確認されてから利用を開始しています。

④ログ
どの従業員がどの情報にアクセスしているかのログを残し、万が一問題が発生した場合でもトレースができるように管理しています。

⑤印刷不可
個人情報を取り扱う業務端末では印刷はできません。

⑥保護シート
個人情報を取り扱う業務端末の場合、保護シートを使用して覗き見防止の対策を行っています。

⑦外部委託審査
個人情報等の取扱いを外部に委託する場合、個人情報の管理体制、セキュリティ管理体制について審査を実施し、問題ないことを確認できた先に委託しています。

⑧クラウドサービス利用審査
クラウドサービスを利用する場合、外部委託審査と同様の審査ルールを定めています。個人情報等が関係する場合は、当該クラウドのサーバーの場所を確認しております。そのサーバー場所が原則は国内場所であることが目線にありますが、海外の場合は、日本における個人情報保護と同等以上の保護が担保されているかを審査しております。

⑨セキュリティ脆弱性診断
サービスリリース前に、大手セキュリティ会社の大規模診断を行い、脆弱性の混入が検知できないことを確認してからリリースしております。
また、リリース後にも必要に応じて診断を実施することでセキュリティ対策の維持・強化を図っています。
※セキュリティ脆弱性診断とは、システムに対して攻撃者の視点から様々な疑似攻撃を考察・試行することで、サイバー攻撃のリスクがある脆弱性を見つけ出し、サイバー攻撃への対策を進めるものです。

⑩研修・訓練
定期な研修(テストを含みます)の実施や、抜き打ち訓練を実施して、ルールの浸透具合を確認しています。

(3)個人情報等の利用目的
当社が取り扱う個人情報等の利用目的はプライバシーポリシーに記載しておりますが、本記事ではkifutown上での利用目的の例についてご説明します。

①サービス等の提供および安全な運営のため
利用例:寄付金の振込みに用いられる銀行口座情報とお客様の登録情報との照 合、お客様からのお問い合わせへの対応等

②サービス等の改善および新規サービス・商品の企画、開発、改善等の為
利用例:kifutownのサービス向上を目的とした、利用状況の分析等

③当社または当社と提携する第三者の商品やサービス、イベント等のご案内・実施の為
利用例:当社からの電子メールやkifutownアプリ内での通知によるキャンペーン等のお知らせ(※2021年10月11日現在で第三者と提携はしておりません。)

(4)個人情報の削除

  • 退会の申出があった場合、氏名、メールアドレス等のお客様を直接識別できる情報は、退会に伴い削除されます。
  • ただし、お客様がkifutown上で公開したコンテンツや情報(プロジェクトへの応募情報、ユーザーID、ニックネーム、寄付者へのメッセージ、Twitterのフォロワー数等が含まれます)は、上記の削除対象外となります。

最後に、当社は今後も継続してプライバシー保護のための体制強化や、プロジェクトの審査や、モニタリングの強化に取り組んでまいりますので安心してkifutownをご利用いただければと思います。

--

--

ARIGATOBANKエンジニアが書き綴るテクニカル記事集。思想や技術選定、課題や取り組みなどについて発信していきます。

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store