指紋認証などのセキュリティ機能を搭載し、外勤端末を展開：住友信託銀行の事例に学ぶ（2/2 ページ）

[堀哲也，ITmedia]

　住友信託銀行が実際に選択したのは、日本ヒューレット・パッカード（日本HP）のPDA「HP iPAQ hx2750 Pocket PC」。標準で指紋認証システムを搭載しており、モバイル用途で求められるセキュリティ機能を重視した設計がされている。実際には今年1月に発表された製品だが、共同開発したイーシステムと日本HPの協力もあり、事前に同端末の情報が得られた。これをベースにしてカスタマイズを行っていくことにした。

　デバイスの選択に際してはノートPCも考慮に入れた。しかし、ノートPCはPDAに比べれば汎用化が進んでいるため、セキュリティの観点からはPDAほどに適していなかったこと。外勤担当者は依然、商品を提案するため目論見書など紙で持ち運ばないといけないものも多く、「鞄を重くしたくなかった」ことを配慮した結果の選択だったという。

導入した外勤端末のデモ。指紋認証でログインすると顧客情報が見られる。名前をクリックすると顧客の資産状況など詳細な情報が閲覧できる

　「実際にはHPが搭載させている標準機能部分はまったくと言っていいほど使用できなくしてあります」（岩田氏）。カードスロットや無線LAN通信機能などをすべて使えなくし、使用できるアプリケーションも同社専用のものに絞った。1台のPDAで持ち運べる顧客情報は40件までという制限もかけているという。利用できる機能を限定させるうえからもノートPCよりPDAの方が適してもいた。

　データがやり取りできるのは、同社CRMシステム「i-Ships」と接続したときだけで、金融庁ガイドラインに準拠するため、ダウンロードに関するログはすべて記録、管理されるシステムも同時に開発した。

情報の流出はありえない？

　「もし外勤端末を紛失したとしても、本人の指紋でしかログインできないし、そもそもデータは暗号化されていて取り出せない。指紋認証が他人を受け入れることは、わずかとはいってもありえないとはいえません。そこでデータは自動で消去される機能も搭載しています。3段階のセキュリティを施したわけです」（業務管理部調査役 米川敦氏 CISSP、公認情報システム監査人）

　外勤端末の導入に当たっては、運用ルールを徹底すべく、従業員の教育にも力を入れている。本部から全国の支店に出向いて、個人情報に対する考え方や操作方法を講習する方法をとった。eラーニングでは、受講者のセキュリティ意識によって効果が異なるため、一律の効果を得ることは難しい。面倒でもあえて本部の人間が直接研修を行ったほうが良いと判断した。

　ちなみに、同社が定めた外勤端末の運用ルールでは、使用者として登録したもののみが管理者から許可を受け、初めて持ち出せ、必ずその日のうちに社に持ち帰り、管理者に返却しなければならない。これらはすべて記録簿で管理される仕組みになっているという。

　全店配布と外勤担当者すべての研修が終わり次第、新外勤端末が全国で活躍することになる。