ブルームバーグ LP 顧客データ管理方針/手続き:最新

ブルームバーグ LP
顧客データ管理方針/手続き:最新報告書
-1-
提案事項
ホーガン・ロヴェルズ/プロモントリー審査に基づく提案事項
ジャーナリストのアクセス
ニュース部門は、適切な研修を行い、顧客のプライバシー保護に係る期待
に関連する方針や主な問題を再検証するための正式な計画を策定すべき
である。
完了
ニュース部門研修チームは、すべての記者、編集者、ニュース部門管理職
による受講が義務付けられる「ニュース部門向け情報セキュリティ」研修
コースを立ち上げた。同研修は、データや情報の保護、コンプライアンス、
管理方針に特化した内容で、プライバシー保護の期待に関する諸事項も含
まれる。現時点での受講修了者は 1200 名を超え、今年第 1 四半期末まで
には対象者全員による受講が完了する。
更新:記者、編集者、ニュース部門管理職の全員が、受講を義務付けられ
ている「ニュース部門向け情報セキュリティ」研修を完了した。研修内容
は、データや情報の保護、コンプライアンス、管理方針に特化したもので、
プライバシー保護の期待に関する事項も含まれる。同研修は今後も継続的
に行われ、ニュース部門の新従業員全員も受講を義務付けられる。
ブルームバーグは、ジャーナリストによる ADSK チケットへのアクセス
を引き続き制限すべきである。但し、ジャーナリストは、自分が執筆した
記事に関連する ADSK での問い合わせを閲覧し、それに回答することを
許容されるべきである。
ADSK(ヘルプ・デスク)への問い合わせは、ヘルプ・デスク・チームが
内容を確認した上で、フォローのために適切な部門へと転送される。現在、
このような様々なバケット内のチケットへのアクセス権は、職域ベースの
許可制に基づいて細分化されたため、ニュース・ヘルプ・チームの従業員
は、記事に関する苦情や質問、ブルームバーグ・ニュースに関する情報の
要求など、ニュースの題材に関するチケットにしかアクセスできなくなっ
ている。
-2-
完了
ニュース部門は、適切な研修を行い、顧客のプライバシー保護に係る期待
に関連する方針や主な問題を再検証するための正式な計画を策定すべき
である。ブルームバーグは、パスワードで保護されたモーゲージ証券に関
する情報へのアクセスおよび使用の制限について、担当者が理解できるよ
う研修プログラムを強化すべきである。
この提案の趣旨は、ジャーナリストによるアクセスを適宜特定すること及
びアクセス問題に関する質問や懸念をいかに上層部へ伝えるかを従業員
に教育することである。2013 年 8 月の報告書で述べたとおり、過去にこ
のようなアクセスを可能にしてきた機能は、ニュース部門において除去さ
れた。さらに広く見れば、職域ベースの許可制を採用することで、顧客の
完了
利用に供されているデータに対するジャーナリストのアクセスが制限さ
れることになった(人事や出張などの内部分野は含まれない)。全世界の
当社ニュース部門の従業員を対象とした情報セキュリティに関する研修
には、ジャーナリストがもはやアクセスを有するべきではないあらゆる機
能やデータに関する説明や、そのようなアクセスの除去理由に関するディ
スカッションも含まれている。また、様々なシナリオを用いて、どのよう
な場合にどのような方法で顧客データのアクセスに関する質問や懸念を
上層部に伝えるか、ニュース部門以外の従業員による顧客データの要求の
禁止についても検討される。これらの点は、2013 年 8 月に行われたエグ
ゼクティブ・エディターを対象とした研修でも取り上げられた。
ブルームバーグは、ジャーナリストに対してブルームバーグの匿名チャッ
トルームへのアクセスを認めると決定する場合、自社のジャーナリストが
チャットを閲覧している可能性があることを端末ユーザーに明示的に通
知すると共に、どのような行為が許可されているかをジャーナリストに明
確に書面で指示すべきである。
スタンダード・アンド・プラクティシズ委員会は、ニュース部門の従業員
による匿名チャットルームへの参加について検討し、当社のジャーナリス
トが当社営業部門により設けられた常設チャットルームやその他のあら
ゆる匿名チャットルームに参加することを禁止する新たな方針をジャー
ナリスト全員に配布した。この新たな方針は、2014 年の当社の研修でも
明示的に取り上げられ、技術的にも対策が取られている。
-3-
完了
更新:倫理セクションを増補した「ブルームバーグ・ウェイ」の新版が出
版され、ブルームバーグ・ニュースの従業員全員に配信のうえ、ニュース
部門の研修資料に追加された。
顧客への回答において声明を明確にするための手順
ブルームバーグは、従業員に対して、顧客データの機密保持義務をより定
期的に確認する慣行を採用すべきである。
当社は顧客データの機密保持義務の重要性を常に重視している。そのよう
な認識をさらに強化するため、次の措置を取った:
・
従業員は、情報セキュリティに関するオンライン研修(小テストを
含む)の受講を修了した。従業員は、今後も毎年、研修修了資格を更新せ
ねばならない。
・
当社は、顧客データ方針/手続きを社内ポータル({POLY<GO>})
において掲載・発表した。すべての従業員はこれらの方針に同意した。
・ 当社のコーポレート・コミュニケーション・アンド・インターナル・
マーケティングチームは、電子掲示板、電子メール、ビデオ、従業員への
他の連絡文書など、様々なリマインダー手段を用いて、顧客データの機密
保持義務の遵守の強化を図っている。
・ 顧客データの機密保持の重要性を重視すべく、当社の新入社員研修に
コンテンツが追加された。
・ 更新:全従業員は、チーフ・リスク・アンド・コンプライアンス・オ
フィスから、適切な行動規範の再周知の通知と共に、最善の慣行に重点を
置いた研修および情報メモを定期的に受領する。
・ 更新:社内の管理方針、行動、手続きに関するあらゆる問題の対応や、
更なるガイダンスや教育の継続的な提供を一元的に担当する新たな部署
-4-
完了
をチーフ・リスク・アンド・コンプライアンス部門内に設置した。
経営陣の姿勢
ブルームバーグは、上級経営陣が定めた姿勢を他者に対しても伝え続け、
リスクやコンプライアンスに関する文化を強化するための社内の取り組
みを支援すべきである。この点は特にニュース業務において重要である。
リスクやコンプライアンスに係る義務の理解は、これまでも当社の最重要
事項とされてきたが、当社は、それ以上に、全従業員が同分野における各
人の責任を理解できるよう更なる措置を取った。このような取り組みにお
いても、多面的なアプローチが採用された。
・
顧客データ・コンプライアンス部門を新設した。
・ 当社会長のピーター・グラウアーとダン・ドクトロフの出演によるデ
ータ・アクセスに係る規則の遵守や機密性に関するビデオを全従業員に配
信した。
・
情報セキュリティの重要性に関する対面研修が管理職全員に対して
行われた。同研修では、顧客データの管理に係る機密性の高まりを部下に
伝えること、および懸念が発生した場合における上層部への伝達方法を全
従業員に知らせることの重要性に重点が置かれた。
・ 顧客データの機密保持、顧客データに係る方針・原則・手続きを遵守
する責任、リスクを特定し、経営陣やコンプライアンス担当者へ報告する
義務に関する評価基準が、全従業員の業績評価に追加された。かかる評価
基準は、2013 年度の業績評価から採用されている。
・ 更新:ブルームバーグのグローバル・マネジメントの従業員は、2014
年 5 月に開催されたリーダーシップ・フォーラムの一環として行われた特
別なリスクフレームワーク研修に参加した。
・ 更新:チーフ・リスク・アンド・コンプライアンス・オフィス(CRCO)
は、引き続き上級幹部の直属下に置かれ、充分な人員を付与されている。
・ 更新:当社は、従業員全員が起業家精神、迅速性、革新性を維持しな
がらもリスクやコンプライアンスに係る要因を完全に理解できるよう、新
たに設置されたチーフ・リスク・アンド・コンプライアンス機関や、ポール・
ウッドらが提示したビジョンに対して、今後も多大なリソースや努力を投
-5-
完了
じる。
ブルームバーグは、今後もリスクおよびコンプライアンス専門家に敬意を
示し、強力な内部監査部門の必要性を維持すべきである。
進行中
当社では、取締役会により内部監査部門の設立が認められたことを受け、2014 年第 4 四
半期に完了予
現在、同部の従業員を募集している。
定
更新:当社は、CRCO により管理され、会長および監査・リスク・コンプラ
イアンス委員会の直属となる共同監査モデルの運用を決定した。
ガバナンス
ブルームバーグは、監査・リスク・コンプライアンス委員会の委員の過半
数が今後も社外の人物で占められるようにすべきである。
完了
取締役会の監査委員会の義務には、リスク管理やコンプライアンスに関す
る問題の精査も含まれるようになった。監査・リスク・コンプライアンス
委員会の委員の過半数は社外の人物であり、四半期毎に委員会が開催され
る。
進行中
ブルームバーグは、監査・リスク・コンプライアンス委員会の委員が、委
2014 年第 4 四
員会を効果的なものとする上で必要な時間、経験、リソースを有している
半期に完了予
かの判断も含め、同委員会の有効性と権限を定期的に評価すべきである。
定
取締役会は、監査・リスク・コンプライアンス委員会の設立条件に基づい
て、同委員会の任務遂行に係る効果を少なくとも年に 1 度見直しする。
-6-
ブルームバーグは、新たに設けられたチーフ・リスク・アンド・コンプラ
イアンス・オフィサーの職責に有資格の者を充て、同職に対して十分な人
員と予算、組織内の地位と権限、そして、顧客データの管理状態の評価に
必要なデータおよび他のリソースへのアクセスを提供すべきである。
完了
今年 1 月中旬、チーフ・リスク・アンド・コンプライアンス・オフィサー
として、30 年以上も官民両部門でのセキュリティ/リスク管理に携わっ
てきたポール・ウッド(Paul Wood)が任命された。セキュリティ・オフ
ィスと顧客データ・コンプライアンス・オフィス(CDCO)は同氏の直属
機関となり、同氏はダン・ドクトロフの直属部下となる。
更新:ボアズ・ジェルボード(Boaz Gelbord)をチーフ・インフォメーシ
ョン・セキュリティ・オフィサーに任命し、CRCO の指揮下に置いた。同
氏は、情報保護分野において 15 年以上の経験があり、複合的な組織にお
いて実用的な情報セキュリティープログラムを策定・実施してきた実績を
もつ。さらに、当社は現在、同氏と緊密に連携しながら社内全体のビジネ
スリスク体制を推進する「企業リスク統括責任者」の適任者を積極的に探
している。
ブルームバーグは、CDCO を過渡期プログラムの 1 機関から「通常業務
(business as usual)」部門へ移行するための計画を策定すべきである。
CDCO は、チーフ・リスク・アンド・コンプライアンス・オフィサーであ
るポール・ウッドの直属機関であり、40 名以上のスタッフと十分な資金
によって運営されている。また、ピーター・グラウアーとダン・ドクトロ
フに対する月次報告義務を負うと共に、取締役会や監査・リスク・コンプ
ライアンス委員会に定期的に最新情報を提供する。
更新:CRCO 部門の業務は、当社が直面するセキュリティー上、データ保
護上、経営上のリスクをすべて 1 ヶ所に集約し、総合的に検討することで
ある。CDCO の機能は同部門に統合されている。同部門は、ブルームバー
グが 30 年以上にわたり他をリードしてきた顧客データ保護の実績を礎と
して、サイバーセキュリティーやデータ保護問題から、事業の耐久性や計
-7-
完了
画、企業コンプライアンスに至るあらゆる事項を積極的に検討する。
ブルームバーグは、情報セキュリティ方針のうちガバナンス関連の部分、
とりわけ情報セキュリティのリスク評価の実施を完了すべきである。リス
ク評価は同社による審査過程で実行された検査に基づいて行われるべき
である。ブルームバーグは、リスク評価の結果を用いて情報セキュリティ
のリスク管理プログラムを強化すべきである。
完了
情報セキュリティ・グループ(ISG)は 2013 年 12 月末までに、情報セキ
ュリティ方針に従い、情報セキュリティ・リスク評価に関するものを含め
た 24 の手続きを加筆修正し完成させた。これらの手続き、および検査と
報告結果に対する要件は、特定の部署の社内ポータル{POLY<GO>}にお
いて閲覧できる。
更新:当社の情報保護制度は、米国標準技術局(NIST)が定める最良の
慣行に基づいて強化される。
ブルームバーグは、質と量の両面で適切なリソースを備えた独立的な内部
監査部門を設立すべきである。
進行中
2014 年第 4 四
半期に完了予
更新:当社は、CRCO により管理され、会長および監査・リスク・コンプラ
定
当社は現在、同職責の採用基準に見合う人物を検討している。
イアンス委員会の直属となる共同監査モデルの運用を決定した。
-8-
ブルームバーグは、今後、監査・リスク・コンプライアンス委員会に対し
て、当報告書で承認された提案事項が完全に実行されていることを検証す
る任務を課すべきである。
監査・リスク・コンプライアンス委員会の義務の 1 つは、承認された提案
事項を当社が完全に実行していることを検証することである。同委員会の
委員であるピーター・グラウアーは、承認された提案事項の実施状況につ
いて月次報告を受け、また、CDCD からの報告書も、提案事項や他の作業
の進捗に関する委員会の会議において提出される。
ブルームバーグは、同報告書の提案事項の実行を含む、外部および内部か
完了
完了
らの提案事項を追跡しフォローアップするためのより良い仕組みを備え
るべきである。
提案事項が順調に実行されていることについての検証は非常に重要であ
り、当社では、その実行に必要なあらゆる作業を含む詳細なロードマップ
を有している。また、進捗状況を確認するための会議が毎週開催され、プ
ロジェクト・マネージメント・ツールや経営陣への報告も、すべての提案
事項を追跡しフォローアップする上で大変有益な手段となっている。
更新:CRCO は、ブルームバーグの企業リスクプログラムの一環として、
上級経営陣と共同でリスク・レジストリの作成および監視を行う。
方針および手続きの作成および内容
ブルームバーグは、顧客データ方針の支援に必要な手続きを取りまとめる
べきである。
完了
当社の顧客データおよび情報セキュリティ方針は 2013 年 12 月、59 項目
の追加的な手続きの導入により強化され、その詳細は当社端末上の
POLY<GO>で発表されている。新たな手続きについては全従業員に通知
されている。
更新:POLY<GO>機能は継続して精査されており、定期研修や品質保証
管理も実施されている。
ブルームバーグは、各従業員の職責に対応した一連の方針および手続きを
端末経由で各人に提供する計画を完了すべきである。
-9-
完了
当社は、各従業員向けのカスタマイズされた一連の手続きを提供するた
め、職域ベースの許可制と文書管理システムを統合した。これにより、示
される手続きは各従業員の職責に適合するうえ、職域ベースの許可制を従
業員のライフサイクルと連動させたことから、その内容は各従業員の社内
での職責の変更に応じて変わるものとなる。
ブルームバーグは、最近正式化された方針/手続きの審査に対する見直し
作業が 1 年かけて行われるよう、作業をずらして配分するべきである(こ
れには、審査開始から 1 年が経過する前に、最近正式に作成された方針の
一部を見直すことが必要となる)。
完了
すべての顧客データ方針/手続きの見直しの予定表が作成され、方針の保
有者と共有されている。あらゆる方針およびその支援手続きは、作成後 1
年が経過する前に見直しされ、その後は直近の見直し日から 1 年毎に見直
しされる。
主要な管理機能の実行
―
データの分類、暗号化および保存
ブルームバーグは、記録保持規則を支援するためのデータ保存手続きを完
成させるべきである。
完了
記録保保持規則を支援するための記録保存手続きを作成した。
進行中
ブルームバーグは、記録保持規則(およびそれを支援する手続きが作成さ
2016 年第 2 四
れている場合にはその手続き)に基づいて、適切なデータ削除手続き(data
半期に完了予
end of life procedures)を強化するため、技術上の管理機能を実行し、
定
CDCO および法務部に追加的なリソースを割り当てるべきである。
当社法務部は現在、更新された企業記録保存プログラムを実行するため社
内の各部署のメンバーと協働中である。最終的な実施の予定表は現在作成
中であり、更新された記録保存プログラムの実行に必要な技術上の管理機
能を追加で配置することも検討される。
- 10 -
進行中
ブルームバーグは、顧客データ分類方針が従業員に関するデータや専有デ 2014 年第 4 四
ータなどのデータにも適用されるよう、その内容を拡張すべきである。 半期に完了予
定
顧客データについてはすでに分類済である。当社は現在、社内のデータ分
類体系に含めるべく、追加するデータの種類について分析しているところ
である。
主要な管理機能の実行 ― チェンジ・マネージメント(変革管理)/
SDLC(システム開発ライフサイクル)
ブルームバーグは、開発、テスト、および実稼働の環境をそれぞれ隔離す
るための機能を強化する計画を策定すべきである。
完了
プロダクション・マシンへのアクセスには以前から経営陣の承認が必要で
あったが、当社は、開発者が任務の遂行に必要なプロダクション・マシン
以外へのアクセスを要求できないように、プロダクション・マシンのカテ
ゴリーをさらに細分化するようアクセス管理システムを強化した。
さらに、実稼働環境と開発環境を隔離するための計画も現在策定してい
る。システムのデザインは、2014 年第 2 四半期末までに完了する見込み
で、研究開発部門も同計画の実施に必要と予測される構造上の変更作業に
着手している。
進行中
ブルームバーグは、開発環境およびテスト環境が実稼働環境にさらに近づ
2014 年第 4 四
くよう、それらを強化すべきである。
半期に完了予
定
研究開発部門は、プロダクションシステムおよび開発システムの両方につ
いて包括的な分析を行なった。それにより特定された諸問題への対応案
は、年次資本予算決定手続き中に提出され、必要な予算が 2014 年 1 月に
承認された。研究開発部門は、新たな開発システムのプロビジョニングや
配置を計画しているところである。
ブルームバーグは、変更追跡システムをソフトウェア・コードに統合すべ
きである。
- 11 -
進行中
2014 年第 4 四
承認済のコードレポジトリのリストが狭められ、レポジトリのセントラ
半期に完了予
ル・オーナーシップが明確に定義されている。また、他のレポジトリとの
定
コードの統合計画も策定されているところである。
ブルームバーグは、承認されたアプローチの透明性や一貫した適用性を提
供し、適切なグループがプロセス全体に関わっているかが判断できるよ
う、チェンジ・マネージメントおよびシステム開発ライフサイクル・プロ
セスを文書化すべきである。
完了
機密性の高いデータの複製や実稼働環境へのアクセスの要求は、すべて変
更理由を明記したチケット・プロセスを通して行われるため、変更が関連
プロジェクトに関わるものであると保証される。このような要求には経営
陣の承認が必要となる。
ブルームバーグは、プロダクション・アクセス・チケッティング・システ
ムが方針に準拠するよう、システムの定期的な見直しや検証を行うべきで
ある。
完了
ISG チームは、適切な手続きが取られているか確認するため、プロダクシ
ョン・アクセス・チケッティング・システムを定期的に見直している。さ
らに、適切な承認やセキュリティの見直しが要求に応じて行われているか
確認するため、プログラム上の管理機能が同システムに組み込まれてい
る。
ブルームバーグは、開発者のアクティビティ・ログを監視し、異常または
不適切な活動がないか調査すべきである。
完了
セキュリティ・オペレーション・センター(SOC)のチームは、開発者が
データ/プロダクションシステムへのアクセスを得るために使用するチ
ケットを精査し、疑わしい行為をすべて調査する。
主要な管理機能の実行
―
アプリケーション・セキュリティ
ブルームバーグは、異常を探知し経営陣に適時に報告して対策を取れるよ
う、自動化されたとトリガーとシステムおよびアプリケーション管理者へ
のアラートを用いて、ユーザーのアクティビティ・ログを監視すべきであ
- 12 -
完了
る。
アプリケーションへのアクセスに係るアクセス管理機能が遵守されるよ
う、ISG は職域ベースの許可制を見直す。これにより、アクセス管理チー
ムやその他の参加者が確立された手続きを遵守されることを、また適切な
アクセス要求書が作成され、適切な承認が得られることを保証する。
また、問題となりうる行為が発生した場合には自動的に報告書が作成さ
れ、報告された問題はチームのメンバーによって調査される。
更新:ブルームバーグは専属のセキュリティ・オペレーション・センター
(SOC)を設置し、サイバーセキュリティー事由の監視、発見、対応を実
施している。SOC は、適切な人材や、監視ニーズを満たすリソースおよ
びツールを備えており、今後も発展し続ける。
ブルームバーグは、新たに設置された作業グループを用いて、パスワード
によって PVF レベルの制限が除去される可能性のある事例を確認するた
め、残りのコードを調査すべきである。
完了
当社は昨夏、各ビジネスでのアクセス管理要件を明確にするため、ビジネ
ス部門、研究開発部門、CDCO のメンバーで構成される作業グループをビ
ジネスごとに設置した。これらの作業グループのメンバーである研究開発
部門の代表者は、パスワードの使用により従業員が PVF レベルの制限を
除去しえた事例を当社のコードベースから検索し、そのような可能性があ
る場合には PVF レベルの保護措置を再導入することでアクセスレベル管
理機能を修正する。
ブルームバーグは、最近リリースされた RBP システムの実装について定
期的に検査すべきである。
職域ベースの許可制(RBP)の検査は、2013 年 11 月と 12 月に実施され
た。今後、同制度が適切に機能しているかを確認するため、セキュリティ・
チームによって定期的に検査が行われ、その結果は関連部署に報告され
る。
- 13 -
完了
更新:内部検査制度に加え、現行の第三者による精査制度を拡充し、当社
の中核事業である端末事業のアーンスト&ヤングによるサービス組織管
理報告 3(SOC3)も精査対象に組み入れる。この作業は 2015 年 6 月 1
日に完了予定で、当社の顧客の要求に応じて、当報告書を提供する。
ブルームバーグは、機能に対する PVF レベルが他の関連機能のユーザー
に認められた許可にどのような影響を与えるかを把握するため、機能の相
互関連を一元化し、文書化すべきである。
完了
アクセス管理レベルに関する包括的な見直しが行われ、アクセス管理レベ
ル間の相互関連に係る情報をまとめた詳細な資料が作成された。その内容
は、少なくとも年に 1 度見直しされる予定で、新たに設置されたアクセス
管理レベルは、他のアクセス管理レベルとの相互関連を指摘する詳細な内
容を必要とする。
ブルームバーグは、データ分類の手順およびシステム開発ライフサイクル
を強化し、新たな PVF レベルの開発に一貫性をもたせられるようにする
べきである。また、ブルームバーグは PVF レベル・アドミニストレータ
ーを管理する文書を作成するべきである。
完了
PVF システムには、業務の流れを向上させるための大幅な変更が施され、
データ分類の要件、詳細なレベルの説明、機密性の高い顧客データ PVF
レベルの CDCO による単独管理が含まれるようになった。さらに、PVF
アドミニストレーター・アクセス、一元化されたアクセス・ガイド、職域
ベースの許可制に係るユーザーガイドに対する手続きが文書化され、発表
された。
職域別ビジネスアドミニストレーターが新たな職務として各部門におい
て設けられ、職域を定義し、業務上必要な顧客データへのアクセスの判断
を行う。同職には PVF や RBP に関する資料や研修が提供されている。
進行中
ブルームバーグは、「ライブ」状態の顧客データと研修/デモ用データとを
2014 年第 4 四
区別できるように、「プロダクション」データであることを表示する慣行
半期に完了予
を拡大すべきである。
定
- 14 -
当社は現在、端末上で従業員が機密性の高い顧客データを閲覧していると
のメッセージが適宜表示されるよう、顧客データへのアクセスに係る情報
をアプリケーション・サーバーへ送り返すよう社内のサービス指向アーキ
テクチャ(SOA)を強化しているところである。
ブルームバーグは、疑わしい行動を検出・防止するため、許可されていな
い機能へのユーザーのログインの試みについて、より系統的な見直しを実
施すべである。
完了
ISG は、ユーザーによるアクセスや関連データが閲覧されたことを示す異
なる機能の様々なアクティビティ・ログを特定した。これらのログは、現
在開発中で 2014 年第 1 四半期末に完成予定のソリューションにおいて一
元的に管理される。ISG はまた、変則的な行為が探知された場合に警告す
る、権限と許可に関する統計モデルを作成中である。
ブルームバーグは、PVF アドミニストレーターが、機能レベルの権限を
有する、または当該権限を要求する全ユーザーの許可設定の適切性につい
て合理的な判断を下すために必要なすべての事実を把握できるよう、すべ
ての PVF 許可レベルの定義を定期的に見直すべきである。
完了
あらゆる PVF 許可レベルの説明の見直しが 2013 年 10 月に CDCO によ
って行われた。この種の見直しは毎年行われる。
主要な管理機能の実行
‐
データベース・セキュリティ
ブルームバーグは、自動トリガーおよびアラートを使用してシステムおよ
びアプリケーション管理者にアクティビティ・ログをモニターさせ、異常
を適時に探知し、経営陣へ上申できるようにすべきである。
ISG チームは、機密性の高い顧客データを含むデータベースの一覧表を用
いて、日常的にアクティビティ・ログの調査を行なっている。機密性の高
いデータベースへのアクセスが発見された場合、そのアクセス権を行使し
た開発者が当社保有のデータベース所有者リストから割り出される。所有
者リストに該当の従業員が含まれていない場合、アクセスの詳細をさらに
調査するためチケットが発行される。今のところ、このモニタリングには
手作業による見直しが必要となるが、その自動化に向けた作業が現在進め
られている。
- 15 -
完了
―
主要な管理機能の実行
ネットワーク・セキュリティ
ブルームバーグは、セキュリティ方針の違反や異常なアクティビティの監
視を一元化するため、技術の開発やライセンス付与を含む計画を実行すべ
きである。
完了
ISG チームは、複数の担当者のアクティビティ・ログを日常的に監視する
ことで、担当者による方針違反や異常行為の発見に努めている。具体的に
は、それらの発見目的において、ブルームバーグ・メッセージ・システム、
インターネット・トラフィック、その他のシステムを監視している。
ブルームバーグは、担当者およびインフラストラクチャ(例、施設、ソフ
トウェア、ハードウェア)を含めた、年中無休 24 時間体制のセキュリテ
ィ監視機能を設けるべきである。
完了
年中無休 24 時間体制の監視を可能にするため、担当者が増員された。
主な管理機能の実行
―
インシデント対応
ブルームバーグは、侵入テストプロセスについて説明した手順書を作成す
べきである。
完了
侵入テスト(ペンテスト)は、擬似攻撃を行うことで、アプリケーション、
サービス、システムのセキュリティを評価するものである。このテストの
手順は、商品またはサービスのセキュリティ検査において当社が用いる手
法の内容となるもので、チーフ・リスク・アンド・コンプライアンス・オ
フィサーにより承認された担当者のみ閲覧することができる。
ブルームバーグは、侵入テストおよび脆弱性評価の結果を、トレンドとパ
ターンを特定するために経営陣が定期的かつより頻繁に見直せる形式で
集計すべきである。
ISG チームは、当社の商品について侵入テストおよび脆弱性評価を実施
し、セキュリティ保護されている当社のレポジトリにおいて保存される報
告書を作成する。同報告書は経営陣への報告やトレンド分析の目的におい
て毎月使用される。
主要な管理機能の実行
―
物理的なセキュリティ
- 16 -
完了
ブルームバーグは、データセンターへの不正侵入を防止するための追加的
な仕組みを設けるべきである。
完了
当社施設のうち機密性の高いエリアへのアクセスは、各人に付与され従業
員 ID バッジに付けられる許可証によって管理されている。施設内の機密
性の高いエリアの入り口には、そのエリアへの従業員のアクセス権限を確
認するためのバッジリーダーが常時設置されている。さらに、「便乗」アク
セスのリスクの軽減するため、当該エリアの警備員を増員した。
主要な管理機能の実行
―
ベンダー管理
ブルームバーグは、一元化されたセキュリティ・リスク評価プロセスを通
して、ベンダーの選定、契約および監督時のリスクに基づく枠組みを提供
するため、全社的なベンダー管理プログラムを実行すべきである。
完了
規則に基づくリスク評価モデルが、ベンダー・レベルおよびエンゲージメ
ント・レベルの両方について確立されている。既存ベンダーの評価が行わ
れ、ハイリスクと認定されたベンダーについては、現在、同評価モデルと
の照合作業が行われている。今後、新たなベンダーとのエンゲージメント
には、ベンダーリスク評価やその結果生じる関連手続きの実行が必要とな
る。そのための手順が作成・公開され、ベンダー管理プロセスに関与する
従業員向けの研修も提供されている。
ブルームバーグは、採用と一貫性の確保に資するよう、全社的なベンダー
管理プログラムの管理および監督を一元化すべきである。
完了
ベンダー管理プログラムは、購買部門内のベンダー管理チームにより運営
されている。同チームはプログラムの監督と、管理機能の実行、文書作成
手順、コンプライアンス上の監査を担当する。
ブルームバーグは、第三者ベンダー・セキュリティリスク評価に用いられ
るシステムの数を整理すべきである。
セキュリティ部門は、第三者ベンダーのリスク評価の実施において様々な
業務部門と協働する。各評価の結果、および、評価結果からビジネス部門
および購買部門に対して行われた承認・提案は、セキュリティ部門が所有
する一元的なレポジトリにおいて保存される。同一の第三者ベンダーの再
評価においては、記録されている従前の評価結果が用いられる。
- 17 -
完了
主要な管理機能の実行
―
プライバシー
ブルームバーグは、既存の個人顧客データ・プライバシー規則を支える統
一的な手順を文書化し、適宜、コンプライアンスに係る既存の慣行および
資料を更新すべきである。
完了
個人顧客データ・プライバシー規則を支える手順が文書化され、全従業員
に配布されている。
ブルームバーグは、個人顧客データ・プライバシー規則を支える全社的な
取り組みを拡大かつ支援すべきである。
完了
配布された個人顧客データ・プライバシー規則およびその手順に加え、同
文書の中核をなすコンセプトは、全従業員に提供された広範なオンライン
研修にも含まれていたほか、年間を通した研修ではさらに詳細が含まれる
予定である。
ブルームバーグは、プライバシー担当者を増員する現計画を実行すべきで
ある。
完了
法務部は、個人顧客データ・プライバシー規則を支えるための担当者を増
員した。また、今後も年間を通して、継続的に増員する予定がある。
研修
ブルームバーグは、現在のセキュリティおよびプライバシー研修のロード
マップに引き続き従うべきである。
完了
全従業員は、情報セキュリティに関する復習のための研修を年 1 度受講す
る。情報セキュリティは、採用時のオリエンテーションにおいて常に取り
上げられてきた。情報セキュリティに関する 2014 年の新規採用者研修は、
オリエンテーション後に修了すべき同分野に特化したオンライン研修が
含まれるよう強化された。さらに、2014 年には、ベンダーリスク、順調
な業務の遂行、データの遠隔アクセスなどに関する一連の新たな研修プロ
グラムが予定されている。
ブルームバーグは、研修の要点に関する従業員の理解度を確認するため
に、全従業員向けに予定されている研修に小テストを含めるべきである。
- 18 -
完了
全従業員を対象とした必須研修の最後には小テストが含まれるようにし
た。単位を修得するにはこのテストに回答することが義務付けられてい
る。テストにおける問題の不正解率を検討し、学習すべき事項が従業員に
適切に伝わるよう研修内容を更新した。
ブルームバーグは、現在計画されているプログラム評価基準に代わり、同
社の顧客データ方針および手続きの現在の認知度を経営陣に知らせ、現行
の研修プログラムを改善する機会を評価するために使用可能な一連の「通
常の業務」評価基準を策定すべきである。
完了
管理職向けの対面研修および全従業員向けのオンライン研修の両方に関
するフィードバックが集められ、現在、現行プログラムの改善に向けて評
価作業が行われている。経営陣には研修を提供した結果が報告されてい
る。
また、当社では、インシデント対応レジストリを用いて、その他の従業員
研修の機会の特定に努めている。
責任
ブルームバーグは、リスクおよびコンプライアンスの目標に対する従業員
の貢献度をより完全に検討するため、業績評価手順を強化すべきである。
全従業員に対する業績評価手順に新たな評価基準が追加された。この評価
基準は、顧客データの尊重や保護、同データの原則・方針・手続きの遵守、
リスクの特定、経営陣への上申、その他のコンプライアンス資質を明示的
に対象としたものである。2013 年の業務評価手順において、全従業員が
この新たな評価基準によって評価された。
ブルームバーグは、内部告発ホットラインが設けられていることをより良
い方法で公表すべきである。
完了
完了
内部告発ホットラインの存在は、あらゆる情報セキュリティ研修、新規採
用者研修、担当者向けの個別的なやりとりにおいて公表されている。
強化計画の見直し
ブルームバーグは、強化計画の実行を追跡するための統合的なプロセスを
採用すべきである。
- 19 -
完了
更新:プログラム・マネージャーが CDCO 内において任命されている。
同職は、提案事項の実行に取り組むあらゆる社内組織の一元的な窓口であ
り、提案事項の実行に必要なすべての作業の詳細な一覧表を管理する。各
作業項目は、進捗状況や追加要件が記載されるよう毎週更新される。上級
経営陣に対しては、進捗状況を伝えるための月次報告が行われている。
ブルームバーグは、特定された問題を含む、監視、検査、内部監査、およ
び第三者が特定した問題を含む調査結果を追跡するための統合的な手順
およびシステムを採用すべきである。
完了
すべての ISG チームは、週次報告書をセキュリティ部門のチーフ・オブ・
スタッフに提出している。報告の際に用いられる予め承認された報告書テ
ンプレートには、問題点、検査の詳細、関連チケットおよび部門、対応を
要する問題解決の影響を軽減する措置の詳細が含まれている。第三者評価
やインシデント・リポートに加え、このような審査も、あらゆる調査結果
の追跡、監視、報告目的において一元化された全社的な情報システムに統
合されている。
更新:当社の管理機能の有効性を検査すべく、保証管理部門が CRCO 内
に新たに設置された。
クラーク・ホイトによる提案事項
ニュース部門とブルームバーグ端末との関係
ジャーナリストは端末から隔離されるべきではない。ニュース、データ、
アナリティクスは顧客とブルームバーグの利益のため、完全に相互関連し
ている。情報が適切に保護された場合、端末は、ブルームバーグ・ニュー
スに適切な競争上の利益をもたらし、またブルームバーグの契約者が事業
上の決断を行うために必要な情報をタイムリーに提供できる、強力なレポ
ーティング・ツールとなる。
- 20 -
完了
適切な情報保護手段が実装されたことによって、ジャーナリストは現在も
当社端末へアクセスできる。
ニュースルーム・スタンダーズ・アンド・プラクティシズ・タスクフォース
ブルームバーグ・ニュース(「BN」)およびニュース取材・報道業務に
従事するその他のすべての部門(「メディア部門」)の代表者を含むクロ
ス・プラットフォームの「スタンダーズ・アンド・プラクティシズ・タス
クフォース」を設置する。同タスクフォースは、最高水準の報道規範を反
映した最新版の倫理ガイドライン、基準および慣行を作成すべきである。
同タスクフォースの作業の結果は、Bloomberg Way(ニュース部門で使
完了
用される研修用マニュアル) の冒頭に記載の、強化された倫理に関する
章に組み込むべきである。その信条に関する研修を、ニュース部門および
メディア部門の従業員全員に共通して義務付けるべきである。
当社は、ニュース部門およびメディア部門の代表者を含む「スタンダー
ズ・アンド・プラクティシズ委員会」(「SPC」)を設置した。SPC は、独立
シニア・エディターおよびスタンダーズ・エディターを委員長に据えてお
り、ニュースルームの方針・手続きの見直しや必要とされるあらゆる変更
を行うことができる。SPC は、The Bloomberg Way の新版に含まれる倫
理に関する新たな章を審査・承認し、第三者のカンファレンスコールや匿
名チャットルームなど、主要な事柄に係る方針や手順についても承認し
た。Bloomberg Way の新版は 2014 年 3 月に公開される予定であり、公開
と同時にニュース部門に配布され、2014 年度のニュースルーム用研修資
料に組み込まれる。
営業成績に係る全社的なコミュニケーションに、具体的な会社名や顧客名
を入れることをやめる。顧客関連情報は、報道で使用されることがないよ
う、こうしたコミュニケーションではすべて「伏せられる」べきである。
営業成績に係る社内のコミュニケーションには、顧客関連情報が含まれな
いようになった。その例として、重要な営業成績を称えた最近の従業員向
け社内コミュニケーションでは、その対象顧客が「東京に拠点を置く中堅
の資産運用会社・・・」と示された。
- 21 -
完了
ニュース部門のスタッフが社内の営業会議に出席し、製品イニシアチブに
ついて話し合い、「市場概況」を述べる際には、まずその者らの参加が会
議の冒頭に設定されるよう予定を組む。プレゼンテーションの後は、ニュ
ース部門の人間を直ちに退席させ、ニュース部門の人間がいない状態で営
業担当者が顧客情報について話し合えるようにする。
完了
記者の営業会議への出席は禁止されている。ニュース部門の従業員が営業
会議に出席する必要がある場合は、その者の参加を会議の冒頭に設定し、
その業務が完了次第、退席するよう手配する。
同社の営業部門の従業員による会議への出席の可否をニュース部門のス
タッフが判断できるようなブルームバーグの社内カレンダー機能を変更
して、ニュース部門のスタッフが同僚のアポイントメント状況の詳細を見
ることができないようにする。
完了
2013 年 8 月以降、営業部門の従業員のカレンダーのうち限定的な情報の
みが、ニュース部門およびメディア部門の従業員の閲覧に供されている。
この限定的な情報は、その営業部門の従業員はその日に予定が詰まってい
るかまたは空いているか、という点のみを示すものである。予定に係るあ
らゆる詳細はニュース部門およびメディア部門が見ることができないよ
うに編集されている。
ニュース研修チームがヘルプ・デスクからの報道に関する問い合わせに対
応する場合、チームは記者と問い合わせについて解決する過程において、
顧客の身元を明らかにするべきではない。
完了
ニュース研修チームは、顧客から提起された報道に関する問題の解決にお
いてニュース部門の従業員とやり取りする際、その顧客の身元を明かすこ
とはない。また、ニュース部門の従業員も、フィードバックの提供や報道
に関する問題の解決において、顧客の名前や詳細を開示することを禁止さ
れている。
顧客関連情報が(不注意かどうかによらず) 不適切に開示されないよう
保護する必要性についての認識を高めるため、Global Core Guide を更
新し、自分のデスクに着いている際であっても、知る必要のない人物に立
ち聞きされないよう注意するなど、裁量を発揮する必要性を強調する。
- 22 -
完了
当社の Global Core Guide は、雇用に影響する方針を含む様々な事項を従
業員に通知するための資料で、POLY<GO>上で全従業員の閲覧に供され
ている。その内容は、オープンな場所で機密情報を議論する際の裁量の発
揮の重要性を強調した文言が含まれるよう更新され、新版が全従業員に公
開されている。また、全従業員向けのオンライン研修にも、裁量の必要性
を強調する具体例が含まれている。
営業部門、ニュース部門、施設部門から成る作業グループを設け、共用施
設についての明確な指針を作成し頒布する。共用オフィスにおいて顧客情
報が意図されない形で共有されてしまうリスクを軽減するため、同グルー
完了
プは、必要に応じた変更点についてオフィスごとにプランを作成するべき
である。同時に、同グループは、2 つのグループ間での適切な情報共有を
制限しないよう配慮すべきである。この作業グループは、最高執行責任者
の監督下とすべきである。
ニュース部門、営業部門、施設部門の代表者らは共用施設に関する指針
(Shared-Use Facilities Guidelines)を共同で作成した。これは、2013 年
11 月にニュース部門と営業部門に配布され、両部門での新規採用者研修
の内容に組み込まれた。また、COO の直属である施設部門は、必要に応
じた変更措置を決定するため、当社の各オフィスの調査を実施した。その
結果、調査された 145 ヶ所のオフィスのうち、53 ヶ所について変更が施
されることになった。現在、それらのオフィスについて、ワークスペース
内のデスクの配置換え、物理的な間仕切りの設置、ホワイトノイズマシン
の利用、場合によってはワークスペースの完全な改装を行うための計画が
策定されている。
ブルームバーグは全従業員に、雇用開始時に広範な機密保持契約に署名す
ることを求めており、新規採用者向け研修には、機密保持についてのディ
スカッションも含まれている。また、同社は、機密保持に関する任意のフ
ォローアップ研修も行っているが、現在のブルームバーグの従業員の大多
数はまだ受講していない。したがって、この研修を強化し、義務付けるべ
きである。
- 23 -
完了
機密保持に関する 3 つの新たな研修コースが新規採用者、管理職、従業員
向けに立ち上げられた。そして、新規の内容が、新規採用者の必須オリエ
ンテーションおよび既存の管理職・従業員の必須研修に追加された。研修
項目には、機密性の高いデータおよび部外秘データの認識、機密データの
保護に必要な手順や行為、関連方針や手続きの違反が招く結果、懸念や可
能性のあるインシデントの報告のためのリソースが含まれる。
更新:新従業員対象の総合オンライン研修が 2014 年 1 月から開始され、
全従業員対象の復習講座が 2014 年 7 月から開始され、完了した。
ニュース部門によるグローバルデータ部門の情報へのアクセス
グローバルデータ部門 とニュース部門との適切なやりとりは、顧客の利
益のために行われるものであり、今後も継続されるべきである。ニュース
部門の品質確認と明瞭化によって、端末から顧客が利用できるデータに有
意義な価値が付加される。グローバルデータ部門は、顧客の問い合わせに
対して行うのと同様に、ニュース部門からの問い合わせにも引き続き応じ
るべきである。
完了
グローバルデータ部門は、顧客の問い合わせに対して行うのと同様に、ニ
ュース部門からの問い合わせにも引き続き応じる。
データセキュリティの重要性を強調し、また、ニュース部門からグローバ
ルデータ部門 に情報を求めてプレッシャーをかけていると見られること
も避けるために、ブルームバーグは、端末契約者全員が利用できない情報
をニュース部門がグローバルデータ部門に対して求めてはならないとい
う点を Global Core Guide に組み入れるべきである。
完了
Global Core Guide は、許可されていない情報の要求の禁止に関する詳細
内容を追加すべく、2013 年 8 月付で更新されている。
編集の独立性
ブルームバーグ・ニュース の二つの使命および編集の独立性を確実にす
るため、ブルームバーグの経営上層部は、端末顧客や、それよりも更に広
範な BN の全世界の読者、視聴者に対して、次の点に重点を置いた確固
たる声明を発表すべきである ―
BN は厳格な報道、正確性、公平性、
- 24 -
完了
バランスを求める Bloomberg Way の要件に従って記事のすべての題材
を同様に扱う。
当社の上級経営陣は、ニュース部門の使命に関する声明書を発表した。
「当社ニュース部門は、完全なコンテクスト、観点および正確性をもって、
年中無休 24 時間体制で経済、市場、企業、産業、政府について報道する
最も影響力の強い報道機関になるよう努力する。また、公益および当社の
読者・視聴者の情報ニーズを除く、いかなる利益にも関心を示すことなく、
真実を報道することに専念し、読者から全幅の信頼を得るため、事実に基
づいた公正で偏見のない報道を行う。」
偏見のないニュース
ニュースルームにスタンダーズ・エディターの職責を設け、シニア・ジャ
ーナリストを同職に就かせる。同職は、ニュース部門が、正確性、報道の
厳格性、公平性・論調に係る Bloomberg Way の高い基準を一貫して遵
守していることを確認する責任を負うとともに、見出しが正確かつ明確
で、偏っていないことを確認することに注力する。また、日々の報道を監
視し、主な調査および企業についての報道を見直し、ニュースルームの顧
問およびシニア・エディターと定期的に協議する。
完了
2013 年 10 月、編集主幹であるマット・ウィンクラー(Matt Winkler)の
直属となる当社ニュース部門スタンダーズ・エディターに、ティム・クイ
ンソン(Tim Quinson)が任命された。同氏は、当社の記事を精査し、そ
れらが正確性、公平性、論調に係る基準を遵守していることを確認する任
務を負っている。以前ブルームバーグ EMEA のエグゼクティブ・エディ
ターを務めていた同氏に対しては、3 名の地域別スタンダーズ・エディタ
ーが直属する。
上記とは別に、独立シニア・エディターを任命する。同職は、ニュースル
ームの管理組織外で、ニュース報道に関する苦情のパイプ役となり、最善
の規範の継続的な発展および研修を支援する。また、ブルームバーグの経
営陣に対してニュース部門と同社の商業活動との関係から生じる問題に
ついても助言を行うが、ニュース部門に対する報告義務は負わない。
- 25 -
完了
2013 年 9 月、クラーク・ホイトがダン・ドクトロフの直属となる独立シ
ニア・エディターに任命された。同氏は、報道に関する意見や苦情を精査
する代替的かつ独立的なチャンネルを提供し、また、ティム・クインソン
と共同で務めるスタンダーズ・アンド・プラクティシズ委員会の責任者と
して、ニュース部門の研修プログラムの向上に研修チームと取り組んでい
る。
ニュース部門および営業部門
記者やその直属の編集者による営業会議への出席を禁止する。
完了
2013 年 8 月以降、ニュース部門の従業員は営業部員と共に顧客や見込顧
客を訪問してはならないという指示がニュース部門に対してなされた。こ
のようなガイドラインは、2013 年 11 月にニュース部門と営業部門に配布
された共用施設に関する指針においても明示的に言及されている。
商品開発のためにフィードバックを収集し、BN の価値を顧客および見込
み顧客に伝えるための顧客訪問は、ニュースルームの上級管理職のみに許
可する。
完了
新たな方針では、当社の顧客・見込顧客との商品開発会議に出席できるの
はエグゼクティブ・エディター以上の役職のみとされている。同方針は共
用施設に関する指針においても詳述されている。
BN のスタッフが顧客を訪問する際には、訪問目的や正式な訪問か否かな
ど、最初に基本原則が明確に定められていることを確認する。
完了
2013 年 8 月付でニュース部門の全従業員に対して、顧客訪問時には訪問
目的や正式な訪問か否かなど、最初に基本原則が明確に定められているこ
とを確認しなければならないという指示がなされた。
フィードバックのチャンネルを増やし、ニュース機能について顧客に研修
を行い、アラートとフィルターを設定する目的において、ニュースアプリ
ケーション専門家を世界全域において増員する。
- 26 -
完了
当社端末上のニュースアプリケーションの使用方法についてニュース部
門の従業員が顧客に説明する必要性をさらに低減するため、顧客のサポー
ト役となる追加的なニュースアプリケーションスペシャリストが 2013 年
12 月に採用された。組織内の広範な知識を持つ者が内部異動によって同
職に充てられた。世界全域で 3 名のスペシャリストが配置されている。
自社についての報道と自己利益
ブルームバーグの商業的利益がニュース報道に不当に影響を与えている
ような印象を与えることさえも防ぐために、明確な方針を再確認すること
が必要不可欠である。同社は、ニュース部門は不偏不党なニュース報道に
完了
よって顧客と同社の成功に貢献するという原則およびニュース記事が同
社の利益促進のために形成されることはないとする宣言を同社の方針に
加筆すべきである。
スタンダーズ・アンド・プラクティシズ委員会は Bloomberg Way の新版
を精査し承認した。新版には、利益相反を含む様々な項目を網羅する倫理
に関する章の最新版が含まれ、また、当社顧客について偏見のない報道を
行う義務や、ニュース部門は当社の商業的利益が報道を支配することを認
めないとする声明書も組み込まれている。Bloomberg Way の新版は 2014
年 3 月に発表される予定で、同時にニュース部門へ配布され、2014 年の
ニュースルーム向け研修教材にも組み込まれる。
BN とブルームバーグの上級経営陣は、自社について報道しないという慣
行を見直すべきである。BN はこの慣行を一貫して守ってこなかったとい
う点に鑑みて、ホイトは、BN が同社についての報道を開始し、報道の対
象および対象外の事項を規定すると共に、ブルームバーグの伝統と文化の
尊重と、報道価値のある題材を取り上げたいという意欲の均衡を取ること
が望ましいと考えている。適切な取材対象には、市場を動かす可能性のあ
る活動や、公共政策の分野での動きが含まれうる。同社に関する部外秘の
財務情報および社内の人事事項は、引き続き部外秘とする。代替策として、
自社についての報道を行わないという慣行が継続される場合には、例外な
くその慣行を適用するべきである。同社について通常であれば大きく報道
されて然るべきはずのニュース記事が発表される場合は、同社の関連性お
よび同社が言及されない理由について完全な説明を行うべきである。
- 27 -
完了
自社に関する報道の方針ガイドラインの更新版が作成され、2014 年第 1
四半期に発表される Bloomberg Way の新版に含まれた。
ニュース取材時の倫理
ニュースルームのスタンダーズ・アンド・プラクティシズ・タスクフォー
スは、第三者のコンファレンスコールに関し、何が認められ何がオフリミ
ットかについての指針を策定すべきである。
完了
SPC は第三者のコンファレンスコールに関する問題を検討し、更新され
た方針は Bloomberg Way の新版に組み込まれている。新たな規定は、第
三者のコンファレンスコールに関する透明性および情報保護を提供する
ものであり、例えば、BN の従業員は、特段の事情または編集主幹からの
許可がある場合を除いて、自らが報道する会社に関係する社内会議または
社内コールには参加してはならないという規定が含まれている。これらの
新たな方針は、更新された 2014 年の BN の研修教材に組み込まれる予定
である。
コンファレンスを開催する諸部門を代表するクロス・プラットフォーム・
グループが形成され、方針および慣行についての作業が開始されている。
同グループは次の点を取り上げるべきである: 参加者が、かかるコンフ
ァレンスにおいて記者が同席していることを把握し基本原則について理
解する必要性、参加者(特に報道するニュースの対象となる人物)をコン
ファレンスに招待するにあたってのジャーナリストの役割、ブルームバー
グが講演者への謝礼を通して不注意にも「ニュースのために支払いを行っ
ている」ように見られる状況を避けることの重要性、バランスの取れたコ
ンファレンス議題に共催者が口を挟まないよう保証する必要性。
完了
2013 年 8 月以降、コンファレンスや、ホイト報告書で取り上げられた特
定の事項を見直すため、コンファレンスコールを行うあらゆる部門の代表
者が含まれるクロス・プラットフォーム・タスク・フォースが形成された。
同グループは、概括されている提案事項の完了に係る各事項について話合
うため、これまで複数の会議を行なった。
端末上での匿名のチャットルームへのジャーナリストの参加に関するホ
ーガン・ロヴェルズ/プロモントリー社の提案は、スタンダーズ・アンド・
- 28 -
完了
プラクティシズ・タスクフォースによって採用されるべきである。
前述のとおり、ジャーナリストによるブルームバーグ・チャットルームへ
の匿名参加が禁止された。
完了した追加作業
端末のアイドル・タイムアウト
当社では、オフィスの PC はアイドル状態になってから 15 分後にロック
されるという方針を設けている。使用の必要性に鑑みて、特定の環境での
完了
PC は同方針の適用から外れるよう設定されていた。このような例外的措
置に係るセキュリティを強化するため、方針適用外と設定された PC や当
社オフィス外で従業員がインストールしたサービスからブルームバーグ
プロフェッショナル サービスをロックアウトした。現在では、他のロッ
クアウト・メカニズムが設けられていない場合は、PC がアイドル状態に
なってから 15 分後に端末がロックされ、パスワードで保護されるように
なる。セッションを再起動するにはユーザーのパスワードを入力しなくて
はならない。
より高精度のアクセス管理
前述のとおり、当社では職域ベースの許可制を用いたアクセス管理システ
ムを採用している。この管理システムは、特定のデータへのアクセスをよ
り綿密に管理するために強化された。例えば、特定のグループに属する従
業員は、自身の職務を遂行する上で特定のプロダクション・データベース
へのアクセスを必要とする。このようなアクセスは、これまで当社のアク
セス管理システムにおいて管理され、2013 年夏に職域ベースの許可制に
移行された。このようなシステムの向上は、特定のグループの従業員には
特定のデータベースのアクセス権が、別のグループには別のデータベース
へのアクセス権が提供されるよう、アクセスの更なる制限を可能にするも
のである。
職域ベースの許可制と従業員のライフサイクルとの連動
- 29 -
完了
完了
当社が採用する職域ベース(RBP)の許可制は、従業員のデータベースと一
体化しているため、従業員のライフサイクルに応じて自動的に変更され
る。つまり、特定の従業員に割り当てられているデータベースと職域ベー
ス(RBP)の許可制とが連動しているため、従業員のライフサイクル、新規
採用、異動、退職に応じて、情報へのアクセスが自動的に有効または無効
となる。このような措置によって、当社従業員は職務の遂行において必要
以上のアクセスを得られなくなる。
- 30 -