ゆうちょ銀行の増え続ける外部タグ管理をwebtru(ウェブトゥルー)で自動化。部署間の連携を簡略化でき、より迅速で安全な対応が可能に
株式会社ゆうちょ銀行 荻野氏・生馬氏
外部サービスを自動的に検出し、増えていくタグの把握に役立てる
どんな課題を感じていたかお伺いしてもいいですか?
荻野氏 はい。ゆうちょではこれまでも個人情報保護法改正を踏まえて、クッキーを取得して得た個人関連情報を、第三者の外部サービス(※1)に提供していることをウェブサイト上に載せていました。
閲覧者に対して「こういった外部サービスに提供しています」と記載はしていたのですが、しかし、提供している先をすべて、しかも常に把握し続けるのは難しいという実情がありまして、それをどう解決するかが問題でした。
DataSignのwebtru(ウェブトゥルー)では月一のクロールで、こちらが把握しきれない外部サービス情報の提供先も検知していただけるとの事で我々の課題としていた所とピッタリだなと感じ、利用を開始しました。
なるほど。以前は社内体制的には、どのように進められていたのでしょうか?
外部通信先やクッキーの許諾など、それでもある程度社内でアップデートしようとされていたとは思うのですが…。
生馬氏 ゆうちょにはコーポレートサイトを更新する我々広報部と、広告配信タグの設置を依頼する営業部門、あとはセキュリティを所管する部門があります。
クッキーや個人関連情報を取得しようというタグを設置するときには三者間でどういった情報を取得し、どういった外部サービスに提供するのか等を都度確認していました。しかし、追加が1件、また1件と新しいウェブサービスのタグが増えていく中で、情報が貯まっていく一方、不要になったタグや、タグにより取得した個人関連情報等の整理が負担となっていました。
現状を改めて洗い直してみたところ、これまでの進め方では難しい状況だったと感じました。
そうですね。DataSignではさまざまな企業さまのセキュリティに対する課題を伺ってきました。やはりどの企業でもそのような課題をお持ちであるように見えます。
厳しいセキュリティチェックの後、webtruの導入を開始
ゆうちょ様では最初にDataSignの「外部通信先の洗い出し」を受けていただいんたんですよね。そしてその後、Webtruと同様のサービスを提供している他のツールを検討されていたと思うんですが。
生馬氏 はい、調査をしていただいた後に、競合ツールの導入事例を見たりしました。もちろん、サービスの作りによって同じようにいかないのは承知でしたが、webtruでの「通信先を検知する」というのが一番確実かと思い、決めさせていただきました。
ありがとうございます。社内では他のツールも検討項目に挙がっていたと思うのですが、webtruが特許を取得している事も採用理由になりましたか?あんまり関係ないかな(笑)
いやー、あはははは。(一同笑)
生馬氏 導入にあたり、社内で話を進める上で説得力を持たせることができたというのはあると思います。
調査した事で把握しきれていないタグを検出できた
DataSignにて行った外部通信先の洗い出しをする調査で、いろんな通信先が検出されましたが、意外に思われましたか?
荻野氏 当初把握していたよりも多くのタグが出てきていました。
先程申し上げた通り、新たなタグを埋め込む際はちゃんと「どこにどういう情報を取得しているのか」とかそういったセキュリティー審査をやっているんですが、正直、それだけでは賄いきれてなかったです。
タグがタグを呼び出したりするケースもあるんでやっかいですよね。
生馬氏 はい。ビックリしましたね。ゆうちょ側には広告配信の仕組みに明るい人間があまり多くありません。ですので、二次的、三次的に参照されるケースでは、どのように把握するべきかを確立していませんでした。
広告配信に詳しい方がいてもそのようです。全部把握されているという企業様はあまり多くはないようですね。
webtruで誰でもタグの概要が把握できるようになり、部署間の連携が簡略化できた
導入して1週間以上経っていますが、社内での評判とか…あったりしますか?お客様からの評判はさすがに無いとは思うのですが。
あー…。 (一同笑)
荻野氏 正直ひっそりと始めているので、まだ社内からの声は届いていないのですが…。
個人的に、すごい個人的なんですけれども、調査いただいた結果を自身でも確認していたのですが、導入開始後に自動で新しいサービスが検出されていたので、webtruを導入することで精緻化できてるんだなという実感があります。
ちなみにタグの設置はどのようにされているのですか?
生馬氏 タグ導入は、営業部門が用意をし、それを我々広報が設置するというオペレーションです。
なるほど、これまでは営業部門がタグを用意し、そのタグがどこと通信しているかなどを、広報部とセキュリティ部門の三者で行っていました。しかしそれがwebtruで通信先を検知し、どの部署でも把握しやすくなった事で簡略化ができたという事ですね。
厳しくなるトラッキング対応について相談が増えていきている
2022年4月1日に施行される改正個人情報保護法に対して、ゆうちょ様が今後どのようなアクションを考えておられるかお伺いしてもいいですか?
荻野氏 OPN(オンラインプライバシー通知)と合わせて、同意管理ツール(※2)についても案内いただきまして、段階的な導入を検討してみようとしているところです。
公表されたガイドラインの内容を踏まえて、さらにセキュリティ環境を整えなきゃいけない場合には導入するかもしれません。
Appleは、IDFA識別子を利用して閲覧者の行動をトラッキングする際には必ず同意を得るように変更すると発表されましたね。
生馬氏 (閲覧者へのトラッキングは)厳しくなってきているので、広告出稿元の部署も対応に苦心しているという話は聞いています。
現在はすでに設置していたタグも使えなくなるかもしれないので、営業部門から広報部へそれらをどのように対応すれば良いかという相談や、法令や個人情報保護法の改正について、関連部署が影響調査、確認を進めている中で広報部へヒアリングを求められたりなど、「設置したい側」「リスクを管理したい側」両方から話を聞かれる事が増えてきました。
そういった状況なので同意管理ツールやそれに類するサービスの導入は考えているところです。
ありがとうございます。あ、そろそろいい時間になってきましたね。では、最後にゆうちょさんのアピールがあればお願いいたします。
生馬氏 現在、どの企業もセキュリティや情報管理について非常に敏感になっていると思います。我々ゆうちょもそこを万全にしていくためにツールや体制の検討を重ねていって、「お客様の情報を守る、安心安全に使えるサービス」を提供しつづけていきたいと思っています。
僕もゆうちょ銀行ユーザーですので(笑)、DagaSignのプロダクトでお力になれたら嬉しいです。
(一同笑)
本日はお時間をいただきありがとうございました。
※1 サイトの運用・分析のためにウェブサイトに埋め込まれるJavaScriptタグ。ウェブサイト運営者自身が用意したものではなく、第三者機関の提供する解析、広告配信を利用するために埋め込まれる。
※2 webtruで提供されるツールの名称。利用者がどの外部サービスを受け入れるかを自分で設定できるようになる。