BPO BPOを利用する際に必要なセキュリティとは?企業を選定するポイントも解説

BPOセキュリティ

 
BPOを利用する際に必要なセキュリティとは?企業を選定するポイントも解説

BPOに依頼する業務によっては自社の重要な情報を共有する必要があるため、選定には細心の注意が必要です。

そのため、セキュリティ対策が万全な企業であれば安心ですが、不十分であれば重大な事故に繋がる可能性は否めません。

そこで今回は、BPOを利用する際に必要なセキュリティについて解説します。また、委託する企業を選定する際に重要となるポイントにも触れていくため、ぜひ参考にしてみてください。

BPOでセキュリティが重要な理由

BPOでは自社の業務プロセスを外部の企業に任せることになります。そのため、中には外部に流出してはいけない情報が含まれている場合があります。

例えば、顧客や従業員の個人情報、事業計画や財務データなどの自社の機密情報などが挙げられます。BPO企業に委託する際はNDA(秘密保持契約)を締結しますが、重要情報が適切に管理されているかまでは分かりません。

実際に、「委託先企業から個人情報が漏洩した」という事件をニュース等で耳にしたことはあるのではないでしょうか。

重大な事故を起こさないためにも、BPOの導入を検討する際は情報漏洩といったセキュリティリスクの存在を認識して、対策を講じた上で依頼しなければなりません。

BPO導入時におけるセキュリティ面での注意点

BPO導入時に、セキュリティ面で注意したい項目は次の3つです。

security_PC
  1. 情報管理は徹底されているか

    まず、最も重要なことは委託先企業の情報管理が徹底されているかです。顧客や従業員、取引先の重要な情報を含む業務プロセスを委託する場合、相手企業の情報管理体制が不十分であれば、情報漏洩が発生するリスクは高まります。

    そして、業務プロセスの委託先を決める際はコスト削減を重視しがちですが、低単価な業者ではセキュリティ体制が不十分な可能性が懸念されます。よって、扱うデータの種類や委託する業務の内容によっては、単価よりも情報管理の体制を重視してください。

  2. 警備体制は万全か

    委託先が業務に必要なデータを丁重に扱っていても、その企業の建物に不審者が侵入すれば漏洩に繋がりかねません。そのため、BPO企業の警備体制は万全かを確認する必要があります。

    実際に、委託先企業に盗難目的で侵入した者が業務に使用するPCなどのデバイスを持ち出したり、破壊したりするケースはあり得ます。

    また、重要な情報を扱っていると知られると、データを盗む ため犯行に及ぶこともあるでしょう。

    他にも、アルバイトとして働く人がPCにUSBメモリを挿し込み、顧客情報を盗んだ事件もあります。このような被害を防ぐためにも、防犯カメラや警備員の配置など物理的なセキュリティ体制もチェックする必要があります。

  3. データの暗号化など厳重に取り扱われているか

    業務に必要なデータを扱うときは、暗号化をはじめ講じている対策を確認しましょう。重要なデータが暗号化されていれば、仮に盗まれたとしても内容の把握は困難です。

    あってはならないことですが、外部からの攻撃だけでなく社内のヒューマンエラーが原因で情報漏洩が発生するケースもあります。

    そのため、外部からの侵入者だけでなく、万が一情報が漏れてしまったときの対策も必要になります。

    よって、ネットワークセキュリティだけでなくデータを厳重に取り扱う体制が整ったBPO企業であれば、安心して委託できるでしょう。

セキュリティ面でのBPO企業の選び方

情報漏洩をはじめ重大事故を防ぐためには、まず安心できるBPO企業を選ばなければなりません。なお、セキュリティ面を重視したBPO企業の主な選び方は次の7つです。

  • セキュリティポリシーを確認する
  • プライバシーマークを取得しているか
  • ISMS認証を取得しているか
  • BPOの実績があるか
  • 委託業務を専門に扱っているか
  • レスポンスが迅速か
  • BPOに関わる全事業者のセキュリティ体制を確認する
  1. セキュリティポリシーを確認する

    security_icon

    BPOの委託先と契約する前に、まずはその企業のセキュリティポリシーを確認しなければなりません。セキュリティポリシーとはその企業、組織が実施している情報セキュリティ対策全般のことです。

    文面上問題ないからと言って、安心して業務を委託できるわけではありません。セキュリティポリシーに書いてあることを、あえて担当者に質問してみるのも有効です。例えば、外部からの攻撃の対策やヒューマンエラー防止に関する内容について、きちんとした回答が得られるかしっかりと確認してください。

  2. プライバシーマークを取得しているか

    security_icon

    委託先企業の安全性を確認する一つの指標に「プライバシーマーク」があります。通称「Pマーク」は個人情報を適切に管理していると評価された事業者が使用できるマークで、委託する業務プロセスの中に個人情報を含む場合は取得が必須といえるでしょう。

    また、Pマークの有効期間は2年間であるため、失効する前に更新手続きをしなければなりません。そのため、委託先がPマークをどれくらいの期間保有しているかも確認しましょう。

  3. ISMS認証を取得しているか

    security_icon

    ISMS認証は企業や組織が構築している情報セキュリティマネジメントシステムが適切に構築・運用されているかを認証機関が審査する、国際的な基準の認証です。

    ISMS認証は情報資産を適切に管理できることの証明です。Pマークよりも保護する情報の範囲は広く、114項目にも及ぶ詳細な管理策が求められ、維持コストも高額になります。情報管理にそれだけのコストをかけているという安心感が含まれています。

    また、個人情報は扱わないものの、企業にとって重要なデータを委託先と共有する場合は確認しておきたい項目の一つです。

  4. BPOの実績があるか

    BPOの経験・実績が乏しい場合、企業間のやり取りの中でデータ流出の可能性が懸念されます。

    例えば、業務プロセスに関する知識・技術がある企業でも、外部企業の情報管理実績が少なければ不安が残るでしょう。

    その点、BPOの実績があり評価されている企業であれば、お互いの情報の取り扱い方を把握していることからヒューマンエラーなどのミスも起りにくいと考えられます。

  5. 委託業務を専門に扱っているか

    委託する業務によって、必要なリソースは異なります。データ入力は得意でも顧客対応の不得意なBPO企業にそれを任せてしまうと事故が起こる可能性は高まるため、委託する業務を専門的に扱うBPO企業に依頼してください。

    専門的に扱っていることで知見・技術・実績がある企業であれば、業務を安心して任せられます。

  6. レスポンスが迅速か

    企業間のやり取りではそのスピードが求められますが、セキュリティを意識する際はレスポンスの迅速さも重要といえます。これは、万が一トラブルが発生した際の対応スピードに影響するためです。

    一般的に、セキュリティ事故が発生した際は対応スピードによって被害の拡大具合が異なり、迅速に対応できれば被害を最小限に留められます。

  7. BPOに関わる全事業者のセキュリティ体制を確認する

    一つの業務だけでなく複数のプロセスをいくつかのBPO企業に委託する場合、その全ての事業者のセキュリティ体制を確認しましょう。できる限り現地を視察し、実際の作業をどのように行なっているのか確認してください。

    仮にセキュリティ対策が万全な企業に依頼できたとしても、それ以外の事業者の対応が不十分であれば意味がありません。

    複数の企業に業務を委託する場合は、情報の取り扱いについて統一した基準を設け、マニュアルにして共有することをおすすめします。

まとめ

この記事では、BPOを利用する際に必要なセキュリティについて解説しました。BPOでは顧客や従業員の個人情報や取引先の重要情報を扱う可能性があり、これらの情報が漏洩したり盗まれたりすると企業としての信用は失墜するでしょう。

このようなリスクへの対策として、情報を適切に扱うセキュリティ意識が高い企業を選ぶ必要があります。また、複数の企業に委託する場合は、統一したセキュリティの基準を設けるとよいでしょう。

POINT
POINT
業務効率化を考える上で、まずノンコア業務から見直そう!

TOP