みずほ証券株式会社様

みずほ証券は、2000年10月の設立以来、みずほフィナンシャルグループのポートフォリオ戦略における、「グローバルコーポレートグループ」の中核をなす証券会社として、国内外の機関投資家や事業法人・金融法人・公共法人を中心とした幅広い顧客との取引を有している。「1通の誤送信メールが与える影響は計り知れない」と、ヒューマンエラーによる送信ミスの撲滅に注力している。

誤送信防止への投資は当然の経営投資

みずほ証券は、国内外の機関投資家や事業法人、金融法人、公共法人を中心としたお客さまに最適なソリューションを提供するホールセール証券だ。投資銀行部門においては、お客さまの幅広いニーズにお応えするという原点に立ち、株式や債券などの引受、株式公開支援、各種財務・資本政策アドバイザリー、M&Aアドバイザリーやストラクチャード・ファイナンスなどのサービスを提供している。市場・商品部門においては、株式・債券などのトレーディング、リサーチレポート、運用商品などを提供している。
「私たちセキュリティ部門が提供するシステムは、“また足かせが増えた”なんて社員から揶揄されることが少なくないんですよね」
そう苦笑するのは、インターナルコントロールグループ コンプライアンス統括部 情報管理室の内田豊氏。日々社内の情報セキュリティに腐心している同氏、もちろんそれには理由がある。
「ファイナンス情報、M＆Aに関する情報等、とにかく私たち証券会社のビジネスで扱う内容は機密事項が多いのです。メールにしてもたった1通の誤送信で甚大な被害が及びかねません。さらに業務上、1通のメールを何百という宛先に送ることもあります。もしもお互いに知られてはいけない複数のアドレスをToやCcに入れていたらそれだけで個人情報の漏えいになります。また、添付ファイルミスによって重要な顧客情報が不特定多数に漏れてしまう可能性もあります。万が一、このような事態が起きた場合は、会社への信用を揺るがしかねません」
信頼を裏切ることの代償、ビジネスが停止することのリスク。トータルで考えれば、誤送信防止のために投資することは何ら問題なく、むしろ経営判断としては当然のこと、それが同社の考えだった。

人為的ミスがどうしてもなくならなかった

情報漏えい対策のためにさまざまな取り組みを行ってきたみずほ証券であるが、その中でどうしても無くならなかったのが、メールの誤送信であった。これまで何度も社員教育を重ねてきたが、ゼロにはならなかったという。
誤送信ゼロにするためには、ヒューマンエラー、つまり人為的ミスを撲滅することが課題となった。故意ではなく過誤の発生を防止したかったと内田氏は言う。原因を調査したところ、以下の3つに集約された。
1. 宛先のミス
2. 添付ファイルのミス
3. Bcc に入力すべきアドレスをTo、Cc に誤入力
「3は別の解決策で対応する予定でしたので、問題は1と2でした。私としても頭の痛い問題でしたしリサーチはしていたのですが、意外にこの2つのニーズを満たすパッケージがない。私の知る限り、今回導入したCipherCraft/Mailがもっとも優位な製品でしたね」
実は当初、自社開発で対応するという選択肢もあったという。
だが、結果的にパッケージを導入してよかったと内田氏は振り返る。導入までのスピード性、運用後の仕様変更への柔軟性など多くのメリットがあったからだ。

パッケージならではのスピード性、柔軟性

例えばこんなエピソードがあった。
導入して1ヵ月、順調に効果を上げていたが、ひとつのボタン機能が、誤送信のきっかけとなることが判明した。
「送信前の手続きは、CipherCraft/Mailがポップアップを表示して、宛先、添付ファイルの確認を促し、確認後、チェックボックスにチェックを入れるという流れになっています。でも実はこのチェック、“すべてに入れる”というボタンがありました。もちろんこのボタンを乱用しないようにという注意喚起をしていましたが、やはり面倒になってこのボタンを使用してしまう社員がいたようです」
きちんと確認せず、全てにチェックできてしまえば、せっかく導入したツールも意味をなさなくなってしまう。早速NTTソフトウェアに相談し、原則この機能は利用できないよう、仕様を変更することにした。
「もちろんメール送信先が何百になるといったケースもありますので、その際は例外的に使えるようにしました。100個ものアドレスをチェックしていたら手が腱鞘炎になってしまいますから。例外ケースではほかのリスク軽減策と組み合わせ、セキュリティを担保しました」
自社開発で対応していたら最初に決めた仕様に縛られ、臨機応変に変更できなかったかもしれない、そう内田氏は考える。標準ポリシーと例外ポリシーをうまく組み合わせることで、セキュリティレベルを落とさず業務の効率性を維持できた。パッケージながらも自由度の高いCipherCraft/Mailだからこそのメリットだともいえる。
「ほかにも、これまでラインナップされていなかった英語版にも対応してくださって、本当に助かりました。こうした製品は1ヵ所でもバグがあると意味がなくなってしまう。そのあたりの保証もきちんとしてくださいました」

昨年同時期と比べて誤送信の数は確実に減少

導入後約4ヵ月を経て、状況はどうだろうか。
「すこぶるいいです。2008年4月～11月の数を昨年同時期と比べてみると、誤送信の数は確実に減少しております。社員教育の強化をはじめとした総合的な対策の成果だと思いますが、人為的ミスの削減に関してはこの製品がなければこのような結果は、実現できなかったと思います」
また社員からの反応も上々だという。
「最初に申し上げたとおり、こうしたセキュリティツールは余計な手間が増えると敬遠されがちなのですが、これは思った以上に評判がいいですね。実際に“誤送信寸前だったけれど、CipherCraft/Mailのおかげで救われた”といった声も耳にします」
みずほ証券は2009年5月、新光証券との合併を予定している。投資銀行業務におけるプラットフォームを持つみずほ証券の強みと全国規模の顧客基盤、総合証券ネットワークを持つ新光証券の強みを融合し、お客さまに最高のプロフェッショナルサービスの提供を目指していく。
「合併後においても、情報管理は重要なテーマとなります。もちろん、CipherCraft/Mailを引き続き使っていきたいですね」