顧客情報管理台帳の管理不足(銀行)
事務リスク管理部門は、顧客情報管理について、既存の「顧客情報管理台帳」を再整理することを、顧客情報管理委員会に報告している。 しかしながら、同部門は、当該台帳の再整理を行う際に、顧客情報の管理方法の適切性について十分に検討を行っていない。 こうした中、同部門は、当該台帳を営業店に対して還元していないことから、営業店が保有する顧客情報と当該台帳との照合・点検を行っていない。
(平成23検査事務年度)
事務リスク管理部門において、台帳整備や顧客情報管理について専門知識を持っていない、もしくはリソース不足から手をつけられていないと思われます。リソース不足が要因の場合、文書管理や情報管理の専門知識を持つ会社へアウトソーシングの検討をおすすめします。
~顧客保護等管理態勢の不備~(銀行)
顧客情報管理について、顧客情報管理部門は、規程を定め、個人データの管理台帳(以下、「台帳」という。)の整備を行うとし、個人情報漏えいについては、再発防止策等を含め個別事案を経営会議に報告している。こうした中、同部門は、営業店に対し、重要保管物である帳票等の保管期間が満了した場合は、使用済文書の保存に係る台帳に登録するよう指示しているものの、その他の帳票及び記録媒体における顧客情報の管理・点検を指示していない。
また、経営会議は、個人情報漏えい事故が多数発生しているにもかかわらず、当行全体の管理状況について点検指示を行っていない。このため、営業店においては、顧客情報の紛失等が発生しても、その帳票等を台帳において特定できない状況となっている。さらに、営業店の管理責任者は、渉外担当者が各自のパソコン等に保存・利用をしている個人データについても何ら管理していない。
(平成 22 検査事務年度前期版)
個人情報管理を徹底するためにも、営業店で扱っている個人情報を棚卸作業が必要でしょう。その上で、各帳票の保存年限を設定し、台帳管理・運用のシステム化が望まれます。
~管理台帳の正確性が確保されていない~(信用金庫、信用組合)
顧客情報管理部門は、顧客情報管理態勢に係る問題点を把握するため一斉点検を行い、その際に営業店が保有している個人データの申告を受け、顧客情報管理台帳を整備している。しかしながら、同部門は、文書管理規程を踏まえた個人データの申告を行うよう営業店に示していない。このため、当該営業店からの申告において、一部の個人データが漏れており、同申告をもって作成された顧客情報管理台帳の正確性が確保されていない。
(平成21検査事務年度)
いくらルールを策定したとしても、実行に移されなければ意味がありません。営業店が台帳整備をしやすく、また管理部門が全営業店を一括で管理できるシステム化をオススメします。
~個人データ管理台帳の管理不足~(信用金庫・信用組合)
顧客情報管理部門は、前回検査指摘事項を踏まえ、本部各部門及び営業店に対し、個人データ管理台帳を整備するよう指示しているものの、対応状況の報告を受けるにとどまり、各部門等における同台帳整備の実態について検証を行っていない。このため、同部門は、各部門等において、個人データの保管状況が同台帳と相違しているという不適切な管理実態を把握していない。
(平成21検査事務年度)
指摘を受けているにも関わらず、改善出来ていない状況というのは管理部門に専門知識を持っていない、もしくはリソース不足から手をつけられていないと思われます。文書管理コンサルティング・文書管理システムの導入をおすすめいたします。
~顧客情報データベース台帳の未整備~(銀行)
当該金融機関は、前回検査において、「顧客情報データベース台帳が未整備である」との指摘を受けているにもかかわらず、顧客情報管理部門は、営業店に対し、台帳整備に係る指示を十分に徹底していない。このため、営業店において、依然として一部の情報が台帳に記載されていない。
(平成21検査事務年度)
顧客情報や文書管理を主幹する管理部門が、台帳管理に関するルール・運用方法を営業店に示すことが求められます。ただし、管理方法自体を見なおさなければ継続して運用出来ず、さらに営業店の負担を増す結果となります。営業店の負担を軽減しながら、ルールの徹底・運用管理ができるシステム導入をおすすめします。
~保存台帳の管理不足、実態調査不足~(銀行)
顧客情報を含む文書の保存及び廃棄は、内部規程において、保存台帳により管理を行うことが定められている。しかしながら、顧客情報管理部門は、臨店指導時に保存台帳の作成状況や、文書の保存状況の確認を行っていないほか、コンプライアンス委員会においても、文書管理の実態調査の検討が行われていない。
(平成21検査事務年度)
文書管理の規定だけ策定したとしても実行しなければ意味がありません。営業店での顧客情報での保存台帳管理は、システム化なしでは非常に手間と時間がかかり、なおかつ管理側も確認が難しくなります。全営業店を含めた、社内文書管理システムの導入をおすすめします。
~台帳管理の不備~(信用金庫・信用組合)
顧客情報管理部門は、個人データ管理台帳への登載を紙ベース及び外部記録媒体に保存されているデータに限定しているため、コンピュータ・システム内に記録されているデータが同管理台帳に登載されておらず、管理対象となっていない実態が認められる。 また、同部門は、アクセス制限を必要とする顧客情報の保存場所を明確にしていないため、顧客情報の一部がイントラネットを通じてアクセス権限を有しない者により閲覧できる状態となっている。
(平成21検査事務年度)
顧客情報を含む機密扱い情報に関しては、誰がアクセスしたのかを把握するために履歴管理が必要です。同時に、それらの文書のステータス(状況)を把握できる仕組みが必要になります。 自社の課題を解決できる、柔軟性を持った文書管理システムの導入をおすすめいたします。
~顧客情報管理台帳の管理~(信用金庫・信用組合)
顧客情報管理部門は、内部監査等から、「保有している顧客情報が管理台帳に登録されていない」と指摘されているにもかかわらず、営業店が作成した同台帳の精査を行っていない。また、同部門は、営業店に対して見直しの指示を行っていないことなどから、保有している顧客情報の洗出しが十分に行われておらず、顧客情報を正確に把握していない。
(平成21検査事務年度)
指摘を受けているにも関わらず、改善出来ていない状況というのは管理部門に専門知識を持っていない、もしくはリソース不足から手をつけられていないと思われます。文書管理コンサルティング・文書管理システムの導入をおすすめいたします。