〜属人的な管理から引き起こされるリスク〜(銀行)
・重要文書の管理について、総務部門は、組織変更等による管理担当者の変更を担当部署任せとし、状況を確認していないことから、変更がなされないままとなっている。このため、管理担当者が不明の文書や、文書管理システムで管理担当者を設定していないため入出庫や廃棄ができなくなっている文書が認められる。また、こうした状況に対し、同部門は改善策を講じていない。さらに、コンプライアンス統括部門は、総務部門の文書管理に対する役割や総務部門に対する報告体制を具体的に定めていない。
(平成22検査事務年度)
金融機関において、文書管理は法令遵守・コンプライアンス・情報セキュリティインシデントの防止において、非常に重要です。維持管理のために、文書管理担当者の専任・文書管理システム担当者の設置などは必須です。文書管理が出来ていない状況をシステム導入したからといって、改善できるものではありません。総務部門だけに文書管理を任せるのではなく、全社的にどのように文書管理に取り組むのかルール作りから始めたほうが良いでしょう。文書管理コンサルティングをおすすめいたします。
〜文書管理状況の把握不足〜(銀行)
顧客保護を担当する事務リスク管理部門が営業店における文書管理状況の実態把握を行っていないことや、所管部署等が外部委託先へのモニタリングを十分に行っていないことなどから、以下のような問題点が認められる。
・ 事務リスク管理部門は、前回検査の指摘を受けて、営業店の書類保管状況の把握を行ったとしているが、営業店毎に異なっている問題点を把握しないまま、保存文書台帳の整備を中心とした対応を進めてきている。このため、一部の営業店においては、個人情報の特定を行わないまま、個人情報を保管している事例等が今回検査でも認められている。
(平成22検査事務年度)
管理部門が文書管理の実態把握を行い、現状分析が必要です。また、導入する文書管理システムに関しては、単にパッケージソフトを導入するのでなく、営業店ごとに介在する問題点を解決できる、柔軟性のあるシステム導入が必要です。文書管理コンサルティング・文書管理システム導入を検討してみてはいかがでしょうか。
~顧客情報の管理不足による、未施錠の倉庫での個人情報の放置~(信用金庫、信用組合)
顧客情報管理部門は、各営業店の顧客情報を含む文書の管理状況について、実態を把握するなどの取組を行っていないことから、顧客情報管理台帳に掲載されていない伝票や自己査定資料等が未施錠の倉庫等に放置されている。
(平成21検査事務年度)
おおむね、保管文書(活用文書)は「金融分野における個人情報保護に関するガイドライン」に従っての管理を意識していると思いますが、使用期間が終了した保存文書となると、とたんに管理レベルが低下し、意識が希薄となります。
本来は、保存文書になっても廃棄されるまでの厳格な管理を要求され、あるべきものがあるべきところにあるのが求められます。
保管文書は電子データへのシフトが比較的普及していますが、保存文書の紙文書の管理も目を向け、行員作業負荷軽減の為にも何らかのシステム化が必要と考えます。
もし金庫室など施錠がかかるセキュアなスペースに空きがない場合は、自社の文書管理センターや外部の専門会社に文書保管の活用を検討されたほうが良いでしょう。
~管理台帳の正確性が確保されていない~(信用金庫、信用組合)
顧客情報管理部門は、顧客情報管理態勢に係る問題点を把握するため一斉点検を行い、その際に営業店が保有している個人データの申告を受け、顧客情報管理台帳を整備している。しかしながら、同部門は、文書管理規程を踏まえた個人データの申告を行うよう営業店に示していない。このため、当該営業店からの申告において、一部の個人データが漏れており、同申告をもって作成された顧客情報管理台帳の正確性が確保されていない。
(平成21検査事務年度)
いくらルールを策定したとしても、実行に移されなければ意味がありません。営業店が台帳整備をしやすく、また管理部門が全営業店を一括で管理できるシステム化をオススメします。
~顧客情報のアクセス履歴管理~(銀行)
顧客情報管理部門は、個人データ管理規程において、情報を外部に持ち出す際には記録表に記載することとしているが、記載すべき内容を明確に定めていないため、持ち出す情報が記録表に正確に記載されていない。このため、複数の営業店において、渉外担当者の持ち出した情報を特定できない事例が認められる。
(平成21検査事務年度)
顧客情報の持ち出しは、情報漏洩や紛失などの情報セキュリティインシデントにつながるため、厳重な管理が必要です。アクセス管理・履歴管理を厳格に行える業務のシステム化をオススメします。
~文書管理、廃棄ルールの未整備~(保険会社)
顧客情報管理部門が、文書管理や廃棄ルールを明確に定めていないことから、一部営業店において、顧客情報管理台帳に記載漏れが認められるなど、営業店間で取扱が異なっているほか、顧客情報を含む廃棄予定の文書等を営業店内の通路等に放置している実態が認められる。
(平成21検査事務年度)
営業店間で取扱が異なっているという事は、文書管理規程の問題であるか、規程を遵守しなくてよい環境であることとなります。
営業店間でしっかりした取扱方法が定まっていない場合の弊害としては、人事異動による移動先での作業効率低下と共に、不慣れな運用から派生する紛失・誤廃棄などが高まります。
規程見直し、運用見直し、システムの導入・刷新・改善が早急に望まれます。
廃棄予定文書の放置を防ぐためにも、廃棄システムの導入も検討されたほうが良いでしょう。
~取引書類の管理不足~(信用金庫・信用組合)
理事会は、理事長が特定顧客との取引を専決し、取引の関係書類も保管しているといった実態を看過しているほか、営業担当理事の主導によるいわゆる「企業舎弟」への融資を何ら審議もすることなくしており、牽制機能を発揮していない事例。
(平成19検査事務年度)
ルールに基づいた原本管理が必要です。誰がどの文書にアクセスしたか、ログを取る必要もあります(アクセス管理・履歴管理)
~請求書類受付管理簿の未整備~(保険会社)
支払管理部門は、保険金の請求書類の受付管理簿を整備しておらず、支払事務の進捗管理を支払部門の担当者任せとしており、実態を把握していない。このため、支払部門において、請求書類を受け付けてから長期間未払いのまま放置している事例。
文書管理のガバナンス不足と管理の属人性が課題でしょう。支払管理部門の業務フローの見直しと管理部門が業務状況を確認できるようシステム化が必要です。
~廃棄すべき書類の大量保管~(銀行)
遺言信託業務における遺言書等重要書類の管理について、所管部署の営業店に対する指導が不十分であることから、営業店において、廃棄すべき遺言書の写しを担当者が大量に保管している事例
(平成19検査事務年度)
営業店や当該業務担当者の認識不足が原因と思われます。アクセスした個人情報は不要になった時点で廃棄することが重要です。不要な文書をすぐに廃棄することを習慣化するためにも、シュレッダーより運用が楽であり、簡単に運用できるセキュリティボックスをおすすめします。重要文書へのアクセス管理も不十分かと思われます。
~ATMジャーナルの誤廃棄~(信用金庫・信用組合)
顧客情報が記入された帳票等を含む保存文書の廃棄について、顧客情報管理部門は、文書等廃棄計画を策定していないほか、各部店長も廃棄文書目録を作成していないなど、規程に定める手続きを行っておらず、各職員の判断により随時廃棄を行っていたことから、大量のATMジャーナルを誤廃棄している事例が認められる。
(平成20検査事務年度)
誤廃棄は、文書の年限管理ができていなく、年に数回行う廃棄の際に間違って捨ててしまうということが多いです。文書を廃棄する際には、ワークフローにより複数関係者や上長の確認を取り、廃棄したことを確認するためにもログ管理が必要です。アナログ的な管理では、再発するリスクが高いです。文書が発生したときに年限登録できる仕組みを導入し、廃棄に関しても管理できるシステムが必要です。文書の発生から廃棄までを管理できる、文書管理システムの導入をおすすめいたします。
~保存台帳の管理不足、実態調査不足~(銀行)
顧客情報を含む文書の保存及び廃棄は、内部規程において、保存台帳により管理を行うことが定められている。しかしながら、顧客情報管理部門は、臨店指導時に保存台帳の作成状況や、文書の保存状況の確認を行っていないほか、コンプライアンス委員会においても、文書管理の実態調査の検討が行われていない。
(平成21検査事務年度)
文書管理の規定だけ策定したとしても実行しなければ意味がありません。営業店での顧客情報での保存台帳管理は、システム化なしでは非常に手間と時間がかかり、なおかつ管理側も確認が難しくなります。全営業店を含めた、社内文書管理システムの導入をおすすめします。