保険代理店のための情報セキュリティ知識と対策23

CRMの活用にはくれぐれもご注意を

「セールスフォース」をご存知でしょうか。いわゆるCRM（顧客管理システム）で、世界シェアでトップのシステムであり、保険業界では保険会社や代理店の多くが利用しているかと思われます。

さて、この「セールスフォースを利用する企業での情報流出が止まらない」と話題になっています。著名な企業での流出した恐れのあるデータ件数は、ペイペイ（約2007万件）や楽天（約148万件）、イオン（859件）など、今や生活になくてはならないサービスを提供する企業が顧客情報を流出した恐れがあると発表していました。

他にもクラウド会計ソフト大手のfreeeでは、顧客が支払方法等を問い合わせた際の内容が外部から閲覧可能状態だったことや、両備システムズが納入する約20の自治体などでも住民の個人情報が外部から閲覧されていたことが発覚しました。セールスフォース導入企業は全世界にわたりますし、日本では日本郵政など大手も多数利用しているそうなので、これらの事例は本当に氷山の一角のようで今後のニュースが非常に気がかりです。

今回の原因としては、セールスフォースが自社のサービスの機能を拡張（アップデート）する中で、顧客データベースの内容を誰もが見える状態になってしまっていたからといわれています。また、日本語サイトで、情報漏洩は「当社製品の脆弱性に起因するものではない。」とコメントし、導入企業の設定が適切に行われていないことが原因だと責任回避をしています。こういったどちらが原因なのか釈然としないまま、楽天の場合、2016年にセールスフォースがアップデートした際に、正しく設定変更していなかったため、5年間に亘り閲覧可能状態だった不備を解消後に公表して謝罪しました。

開発元であるセールスフォース・ドットコムは弊社と同業者になりますが、その様なリスクがある大事な設定であれば、強制的に設定が変わるアップデートの実施や事前通知など、最大限のことをなぜできていなかったのかと疑問に思うところです。ましてや楽天やfreeeといった国内最前線かつ大手のIT企業でさえ、その設定をおろそかにしてしまうほど分かりにくい仕組みやマニュアルであったという事実が浮き彫りになったため、果たして一般的な中小企業が使いこなせるのかという点も疑問です。

弊社としても、「保険事業にとって顧客データベースがいかに大切であるか」は重々承知のうえ、セキュリティには最新の注意を払っていますが、明日は我が身として、この事案を真剣に捉えたいです。皆さまもCRMのご採用とご活用にはくれぐれもご注意ください。弊社ではこのような事態を起こさないようアップデートはテストを重ねた上で慎重に実施し、重要なことはお知らせやメールマガジン、お電話等にてしっかりと情報提供のうえサポートさせていただきます。

▼エムアイシーは、クラウド型の顧客管理システムの提供により、IT及びセキュリティリテラシーの底上げのフォローもさせていただきます。
https://www.viewsystem.info/

第3159号（週刊）　新日本保険新聞[生保版]2021年4月12日