マイナビ全社を守る セキュリティチームの取り組み：「攻めの姿勢」で取り組む個人データ保護

マイナビには、「攻めの姿勢」で個人データ保護に取り組むセキュリティエンジニアとプライバシーガバナンス担当者がいる。ともすると「守りの姿勢」になりがちな業務のどのような面にやりがいや面白さを感じているのだろうか。

[PR／ITmedia]

PR

　個人データの保護は企業だけでなくサービス利用者にとっても大きな関心事項だ。情報セキュリティや個人データ保護に関わる業務の重要性は年々高まっている。

　一般的にセキュリティやプライバシーガバナンスの担当部署というと「事故を起こさないこと」を求められて守りの一辺倒になりがちだ。だが、海外事業の拡大に伴う体制づくりなど、ビジネスの変化に対応して「攻め」の姿勢で仕事をしているセキュリティエンジニアや個人データ保護担当者がいる企業も存在する。その一つがマイナビだ。

　マイナビは就職や転職、進学情報の提供や人材紹介、生活情報などのビジネスを展開している。ユーザーの個人データはビジネスの源泉であるとともに、確実に守らねばならない信頼の要でもある。

　「個人データ保護の取り組みは、当社のサービスを安心して利用してもらうための貢献につながります」とマイナビの福嶋岳史氏（デジタルテクノロジー戦略本部　IT企画推進統括本部　情報セキュリティ・ガバナンス部 プライバシーガバナンス課　課長）は話す。

　「マイナビは裁量の大きさ故のやりがいがあります」と同社の下別府 遼氏（デジタルテクノロジー戦略本部　IT企画推進統括本部　情報セキュリティ・ガバナンス部　部長）は言う。

　マイナビは具体的にどのような取り組みで個人データを守っているのか。そこにはどのような面白さがあるのか。

事故を起こさないだけじゃない　事業拡大に伴う「攻めの姿勢」

　マイナビは2022年、全社横断のデジタル分野を一手につかさどる組織としてデジタルテクノロジー戦略本部を発足させた。従来は事業部ごとに情報管理やセキュリティ対策を実施していたが、対応レベルや取り組み度合いが統一されておらず、セキュリティ事故が起こった際の通報窓口も分散しているといった課題があった。同本部が発足したことで高度なセキュリティ対策や迅速な事故対応が可能になり、窓口やオペレーションを一元化できた。

　デジタルテクノロジー戦略本部で個人データを守る仕組みの整備や方針の策定、社内での啓発活動を担うのがプライバシーガバナンス課だ。事業部ごとにバラバラだった個人データ保護のレギュレーションを統一し、各サービスの趣旨に照らし合わせてポリシーを再設定して全社の方針に合わせた運用をしている。

　プライバシーガバナンス課の特徴的な取り組みに「ゲートキーパー」の設置がある。各事業部でゲートキーパーと呼ばれるメンバーを選出。事故の一歩手前のヒヤリハット事例を収集し、部署を越えて原因や対策を共有・展開している。業務内容を熟知しており発信力のあるリーダー格の従業員や事業部長をゲートキーパーに充てることで、改善策を部署内に浸透させる役割も担う。

情報セキュリティを“見える化”せよ

　デジタルテクノロジー戦略本部の中でマイナビ全社のセキュリティ対策を統括し、監視や事故対応を担当するのがサイバーセキュリティ課だ。以前は事業部ごとにセキュリティ対策を実施していたものの、セキュリティ専任者がいなかったり取り組みに温度差があったりした。「誰が責任を取るのか、セキュリティ施策を誰がどう決めるのかなどが曖昧でした」と下別府氏は振り返る。

マイナビの下別府 遼氏

　数年前に外部から攻撃を受けたことをきっかけに、セキュリティ体制の一元化や攻撃を受けることを前提とした仕組みを全社で構築すべく2021年にサイバーセキュリティ課を設立した。それに先駆けて2017年に発足した「Mynavi-CSIRT」もサイバーセキュリティ課が主導することになり、活動が活発化したという。

　下別府氏がマイナビのセキュリティ施策で重視しているのは「可視化」だという。「システムの稼働状況が見えていること、脆弱（ぜいじゃく）性が見えていること、攻撃が見えていること――。社内のセキュリティ全体を可視化することが大切です」（下別府氏）

　これは単にシステムだけの話ではないという。

　「事故発生時には、いわゆる情報セキュリティのシステム面だけでなく個人データの取り扱いに関するオペレーション面でも対応が必要です。オペレーショナルなことはプライバシーガバナンス課に、テクノロジーや機械的な部分はサイバーセキュリティ課に、それぞれ報告するというのは現実的ではありません。現場の従業員にはその区別は付きにくいからです。だからこそ、当社ではプライバシーガバナンス課と連携し、セキュリティ事故発生時の報告窓口を統一しました」（下別府氏）

　この「一本化」こそがデジタルテクノロジー戦略本部設立の狙いの一つだ。ゲートキーパープロジェクトを通じて情報を全社横断で共有しつつ、CSIRTの役割の明確化や事故報告のルートを整備し、個人データを強固に守る組織が実現した。

マイナビの「ガードレール」を作る　同意の取り方にも工夫

　個人情報の取り扱いの厳格化がEU（欧州連合）をはじめ世界的な潮流となる中、プライバシーガバナンス課はさまざまな部署やグループ会社と連携しつつ、常に新しい対応策に取り組んでいる。

　マイナビでは職歴やスキルなど、ユーザーの人生を大きく左右しかねない情報を扱っているため、「ユーザーが安心できる情報の取り扱い方」を刷新し続けることでプライバシーガバナンスを強化している。

　「単に、ユーザー登録時に個人情報の利用規約の同意が取れればいいというわけではありません。『ユーザーはこういう使われ方はしたくないだろう』というところを私たちがいち早くキャッチして、ユーザーが不利になるような取り扱い方はしないようにグループ全社で取り組んでいます」（福嶋氏）

マイナビの福嶋岳史氏

　事業部門が考案した施策が「ユーザーが利用目的に同意した内容」でも、ユーザーに不安を与える懸念があればプライバシーガバナンス課が反対することもあるという。

　「事業部から見ると、ある意味ブレーキ役にならざるを得ない場合もあります」（福嶋氏）。しかし事業部の視点だけで進めるとプライバシー保護に配慮が足りないサービスが生まれる可能性はゼロではない。プライバシーガバナンス課は、そういったサービスの提案に対して、プライバシー保護の要件を提示し、落としどころを探す。同課はマイナビのサービスにおけるガードレールの役割を果たしているとも言える。

　ユーザーの同意の取り方にも留意している。「ユーザーがサービス登録のために個人情報を入力した後で規約への同意を取るのか、最初に規約を提示して同意した上で個人情報を登録してもらうのかで、安心感は違いますよね。ユーザーの視点に立って、納得した上で登録できるように心がけています」（福嶋氏）

　こうした業務のやりがいを福嶋氏は次のように語る。

　「世の中で認知度が高いマイナビのサービスに携わって、同意文章の作成から個人情報の取り扱い方、データがどう分析されているのかまで見られることに面白さを感じます。マイナビの全てのサービスは基本的に個人情報を取り扱うため、事業全体を見ることができるとも言えます。ユーザーが安心してマイナビを使えるようにすることで事業全体の価値向上に貢献していると考えています」（福嶋氏）

「標準化」と「オーダーメイド」の面白さ

　サイバーセキュリティ課は、セキュリティ施策の立案からデリバリーまで関与している。裁量の大きさも魅力の一つだ。今後は海外拠点のセキュリティ施策も担い、全世界のマイナビのセキュリティ面での司令塔になる計画もある。セキュリティ施策の実現に外部パートナーの協力を得ることもあるが、「外部パートナーの提案をそのまま受け入れるのではなく、自分たちで“マイナビナイズ”したシステム構成や施策を考えていく」という面白さがある。

　施策を進めるに当たっては「標準化」と「オーダーメイド」のバランスが課題になる。標準化とは、各事業部門が実施するセキュリティ対策を標準化することだ。「筋の良いもの」を設定するため、インフラやアプリ、セキュリティといった得意分野の知識を各メンバーが出し合って作り上げている。

　インシデント発生時のプロトコルは定まっているが、個々のインシデントを調査して原因を突き止め、対応策を考える際は「オーダーメイドの対応」も求められる。対応方針は社内の情報セキュリティ委員会の委員長が最終決定するが、担当者もただプロトコルに沿って業務を進めるだけではない。ここにやりがいがあるという。

　「セキュリティの方針を社内に浸透させ、運用する。その全てに関わる余地がある。これはすごく楽しいですし、非常に大きなやりがいを感じます」（下別府氏）

世界に広がるマイナビの事業　人と法制度を守り信頼されるサービスを

　マイナビは今後、海外事業の拡大に伴って海外拠点のガバナンスを強化する方針だ 。国ごとに異なる法制度や商習慣、文化にどう対応するか。ユーザーの個人データ保護に関する認識の違いも想定される。これらは大きな課題だが、下別府氏と福嶋氏は新たなやりがいを感じているという。

　「世界に事業を拡大する中で、セキュリティ体制を構築して施策を打つ。こうした裁量の大きな仕事に携わる機会はなかなかありません。テクノロジーは国境を越えてもそれほど変わりませんが、法制度や文化の違いは大きい。各国の従業員やユーザーに施策をうまく受け入れてもらえるように取り組んでいきます」（下別府氏）

　「プライバシーガバナンスはユーザーからの信頼を獲得し、安心してもらうための取り組みです。海外でもユーザーに信頼していただいた上で、安心してサービスを使ってもらえる環境を内側からどんどんつくっていきたいと考えています」（福嶋氏）