ブルームバーグ LP 顧客データ管理方針／手続き：最新報告書 -1- 提案事項ホーガン・ロヴェルズ／プロモントリー審査に基づく提案事項ジャーナリストのアクセスニュース部門は、適切な研修を行い、顧客のプライバシー保護に係る期待に関連する方針や主な問題を再検証するための正式な計画を策定すべきである。完了ニュース部門研修チームは、すべての記者、編集者、ニュース部門管理職による受講が義務付けられる「ニュース部門向け情報セキュリティ」研修コースを立ち上げた。同研修は、データや情報の保護、コンプライアンス、管理方針に特化した内容で、プライバシー保護の期待に関する諸事項も含まれる。現時点での受講修了者は 1200 名を超え、今年第 1 四半期末までには対象者全員による受講が完了する。更新：記者、編集者、ニュース部門管理職の全員が、受講を義務付けられている「ニュース部門向け情報セキュリティ」研修を完了した。研修内容は、データや情報の保護、コンプライアンス、管理方針に特化したもので、プライバシー保護の期待に関する事項も含まれる。同研修は今後も継続的に行われ、ニュース部門の新従業員全員も受講を義務付けられる。ブルームバーグは、ジャーナリストによる ADSK チケットへのアクセスを引き続き制限すべきである。但し、ジャーナリストは、自分が執筆した記事に関連する ADSK での問い合わせを閲覧し、それに回答することを許容されるべきである。 ADSK（ヘルプ・デスク）への問い合わせは、ヘルプ・デスク・チームが内容を確認した上で、フォローのために適切な部門へと転送される。現在、このような様々なバケット内のチケットへのアクセス権は、職域ベースの許可制に基づいて細分化されたため、ニュース・ヘルプ・チームの従業員は、記事に関する苦情や質問、ブルームバーグ・ニュースに関する情報の要求など、ニュースの題材に関するチケットにしかアクセスできなくなっている。 -2- 完了ニュース部門は、適切な研修を行い、顧客のプライバシー保護に係る期待に関連する方針や主な問題を再検証するための正式な計画を策定すべきである。ブルームバーグは、パスワードで保護されたモーゲージ証券に関する情報へのアクセスおよび使用の制限について、担当者が理解できるよう研修プログラムを強化すべきである。この提案の趣旨は、ジャーナリストによるアクセスを適宜特定すること及びアクセス問題に関する質問や懸念をいかに上層部へ伝えるかを従業員に教育することである。2013 年 8 月の報告書で述べたとおり、過去にこのようなアクセスを可能にしてきた機能は、ニュース部門において除去された。さらに広く見れば、職域ベースの許可制を採用することで、顧客の完了利用に供されているデータに対するジャーナリストのアクセスが制限されることになった（人事や出張などの内部分野は含まれない）。全世界の当社ニュース部門の従業員を対象とした情報セキュリティに関する研修には、ジャーナリストがもはやアクセスを有するべきではないあらゆる機能やデータに関する説明や、そのようなアクセスの除去理由に関するディスカッションも含まれている。また、様々なシナリオを用いて、どのような場合にどのような方法で顧客データのアクセスに関する質問や懸念を上層部に伝えるか、ニュース部門以外の従業員による顧客データの要求の禁止についても検討される。これらの点は、2013 年 8 月に行われたエグゼクティブ・エディターを対象とした研修でも取り上げられた。ブルームバーグは、ジャーナリストに対してブルームバーグの匿名チャットルームへのアクセスを認めると決定する場合、自社のジャーナリストがチャットを閲覧している可能性があることを端末ユーザーに明示的に通知すると共に、どのような行為が許可されているかをジャーナリストに明確に書面で指示すべきである。スタンダード・アンド・プラクティシズ委員会は、ニュース部門の従業員による匿名チャットルームへの参加について検討し、当社のジャーナリストが当社営業部門により設けられた常設チャットルームやその他のあらゆる匿名チャットルームに参加することを禁止する新たな方針をジャーナリスト全員に配布した。この新たな方針は、2014 年の当社の研修でも明示的に取り上げられ、技術的にも対策が取られている。 -3- 完了更新：倫理セクションを増補した「ブルームバーグ・ウェイ」の新版が出版され、ブルームバーグ・ニュースの従業員全員に配信のうえ、ニュース部門の研修資料に追加された。顧客への回答において声明を明確にするための手順ブルームバーグは、従業員に対して、顧客データの機密保持義務をより定期的に確認する慣行を採用すべきである。当社は顧客データの機密保持義務の重要性を常に重視している。そのような認識をさらに強化するため、次の措置を取った：・従業員は、情報セキュリティに関するオンライン研修（小テストを含む）の受講を修了した。従業員は、今後も毎年、研修修了資格を更新せねばならない。・当社は、顧客データ方針／手続きを社内ポータル（{POLY＜GO>}）において掲載・発表した。すべての従業員はこれらの方針に同意した。・当社のコーポレート・コミュニケーション・アンド・インターナル・マーケティングチームは、電子掲示板、電子メール、ビデオ、従業員への他の連絡文書など、様々なリマインダー手段を用いて、顧客データの機密保持義務の遵守の強化を図っている。・顧客データの機密保持の重要性を重視すべく、当社の新入社員研修にコンテンツが追加された。・更新：全従業員は、チーフ・リスク・アンド・コンプライアンス・オフィスから、適切な行動規範の再周知の通知と共に、最善の慣行に重点を置いた研修および情報メモを定期的に受領する。・更新：社内の管理方針、行動、手続きに関するあらゆる問題の対応や、更なるガイダンスや教育の継続的な提供を一元的に担当する新たな部署 -4- 完了をチーフ･リスク･アンド･コンプライアンス部門内に設置した。経営陣の姿勢ブルームバーグは、上級経営陣が定めた姿勢を他者に対しても伝え続け、リスクやコンプライアンスに関する文化を強化するための社内の取り組みを支援すべきである。この点は特にニュース業務において重要である。リスクやコンプライアンスに係る義務の理解は、これまでも当社の最重要事項とされてきたが、当社は、それ以上に、全従業員が同分野における各人の責任を理解できるよう更なる措置を取った。このような取り組みにおいても、多面的なアプローチが採用された。・顧客データ・コンプライアンス部門を新設した。・当社会長のピーター・グラウアーとダン・ドクトロフの出演によるデータ・アクセスに係る規則の遵守や機密性に関するビデオを全従業員に配信した。・情報セキュリティの重要性に関する対面研修が管理職全員に対して行われた。同研修では、顧客データの管理に係る機密性の高まりを部下に伝えること、および懸念が発生した場合における上層部への伝達方法を全従業員に知らせることの重要性に重点が置かれた。・顧客データの機密保持、顧客データに係る方針・原則・手続きを遵守する責任、リスクを特定し、経営陣やコンプライアンス担当者へ報告する義務に関する評価基準が、全従業員の業績評価に追加された。かかる評価基準は、2013 年度の業績評価から採用されている。・更新：ブルームバーグのグローバル・マネジメントの従業員は、2014 年 5 月に開催されたリーダーシップ・フォーラムの一環として行われた特別なリスクフレームワーク研修に参加した。・更新：チーフ・リスク・アンド・コンプライアンス・オフィス（CRCO）は、引き続き上級幹部の直属下に置かれ、充分な人員を付与されている。・更新：当社は、従業員全員が起業家精神、迅速性、革新性を維持しながらもリスクやコンプライアンスに係る要因を完全に理解できるよう、新たに設置されたチーフ･リスク・アンド･コンプライアンス機関や、ポール･ウッドらが提示したビジョンに対して、今後も多大なリソースや努力を投 -5- 完了じる。ブルームバーグは、今後もリスクおよびコンプライアンス専門家に敬意を示し、強力な内部監査部門の必要性を維持すべきである。進行中当社では、取締役会により内部監査部門の設立が認められたことを受け、2014 年第 4 四半期に完了予現在、同部の従業員を募集している。定更新：当社は、CRCO により管理され、会長および監査･リスク･コンプライアンス委員会の直属となる共同監査モデルの運用を決定した。ガバナンスブルームバーグは、監査・リスク・コンプライアンス委員会の委員の過半数が今後も社外の人物で占められるようにすべきである。完了取締役会の監査委員会の義務には、リスク管理やコンプライアンスに関する問題の精査も含まれるようになった。監査・リスク・コンプライアンス委員会の委員の過半数は社外の人物であり、四半期毎に委員会が開催される。進行中ブルームバーグは、監査・リスク・コンプライアンス委員会の委員が、委 2014 年第 4 四員会を効果的なものとする上で必要な時間、経験、リソースを有している半期に完了予かの判断も含め、同委員会の有効性と権限を定期的に評価すべきである。定取締役会は、監査・リスク・コンプライアンス委員会の設立条件に基づいて、同委員会の任務遂行に係る効果を少なくとも年に 1 度見直しする。 -6- ブルームバーグは、新たに設けられたチーフ・リスク・アンド・コンプライアンス・オフィサーの職責に有資格の者を充て、同職に対して十分な人員と予算、組織内の地位と権限、そして、顧客データの管理状態の評価に必要なデータおよび他のリソースへのアクセスを提供すべきである。完了今年 1 月中旬、チーフ・リスク・アンド・コンプライアンス・オフィサーとして、30 年以上も官民両部門でのセキュリティ／リスク管理に携わってきたポール・ウッド（Paul Wood）が任命された。セキュリティ・オフィスと顧客データ・コンプライアンス・オフィス（CDCO）は同氏の直属機関となり、同氏はダン・ドクトロフの直属部下となる。更新：ボアズ・ジェルボード（Boaz Gelbord）をチーフ・インフォメーション・セキュリティ・オフィサーに任命し、CRCO の指揮下に置いた。同氏は、情報保護分野において 15 年以上の経験があり、複合的な組織において実用的な情報セキュリティープログラムを策定･実施してきた実績をもつ。さらに、当社は現在、同氏と緊密に連携しながら社内全体のビジネスリスク体制を推進する｢企業リスク統括責任者｣の適任者を積極的に探している。ブルームバーグは、CDCO を過渡期プログラムの 1 機関から「通常業務（business as usual）」部門へ移行するための計画を策定すべきである。 CDCO は、チーフ・リスク・アンド・コンプライアンス・オフィサーであるポール・ウッドの直属機関であり、40 名以上のスタッフと十分な資金によって運営されている。また、ピーター・グラウアーとダン・ドクトロフに対する月次報告義務を負うと共に、取締役会や監査・リスク・コンプライアンス委員会に定期的に最新情報を提供する。更新：CRCO 部門の業務は、当社が直面するセキュリティー上、データ保護上、経営上のリスクをすべて 1 ヶ所に集約し、総合的に検討することである。CDCO の機能は同部門に統合されている。同部門は、ブルームバーグが 30 年以上にわたり他をリードしてきた顧客データ保護の実績を礎として、サイバーセキュリティーやデータ保護問題から、事業の耐久性や計 -7- 完了画、企業コンプライアンスに至るあらゆる事項を積極的に検討する。ブルームバーグは、情報セキュリティ方針のうちガバナンス関連の部分、とりわけ情報セキュリティのリスク評価の実施を完了すべきである。リスク評価は同社による審査過程で実行された検査に基づいて行われるべきである。ブルームバーグは、リスク評価の結果を用いて情報セキュリティのリスク管理プログラムを強化すべきである。完了情報セキュリティ・グループ（ISG）は 2013 年 12 月末までに、情報セキュリティ方針に従い、情報セキュリティ・リスク評価に関するものを含めた 24 の手続きを加筆修正し完成させた。これらの手続き、および検査と報告結果に対する要件は、特定の部署の社内ポータル{POLY＜GO＞}において閲覧できる。更新：当社の情報保護制度は、米国標準技術局（NIST）が定める最良の慣行に基づいて強化される。ブルームバーグは、質と量の両面で適切なリソースを備えた独立的な内部監査部門を設立すべきである。進行中 2014 年第 4 四半期に完了予更新：当社は、CRCO により管理され、会長および監査･リスク･コンプラ定当社は現在、同職責の採用基準に見合う人物を検討している。イアンス委員会の直属となる共同監査モデルの運用を決定した。 -8- ブルームバーグは、今後、監査・リスク・コンプライアンス委員会に対して、当報告書で承認された提案事項が完全に実行されていることを検証する任務を課すべきである。監査・リスク・コンプライアンス委員会の義務の 1 つは、承認された提案事項を当社が完全に実行していることを検証することである。同委員会の委員であるピーター・グラウアーは、承認された提案事項の実施状況について月次報告を受け、また、CDCD からの報告書も、提案事項や他の作業の進捗に関する委員会の会議において提出される。ブルームバーグは、同報告書の提案事項の実行を含む、外部および内部か完了完了らの提案事項を追跡しフォローアップするためのより良い仕組みを備えるべきである。提案事項が順調に実行されていることについての検証は非常に重要であり、当社では、その実行に必要なあらゆる作業を含む詳細なロードマップを有している。また、進捗状況を確認するための会議が毎週開催され、プロジェクト・マネージメント・ツールや経営陣への報告も、すべての提案事項を追跡しフォローアップする上で大変有益な手段となっている。更新：CRCO は、ブルームバーグの企業リスクプログラムの一環として、上級経営陣と共同でリスク･レジストリの作成および監視を行う。方針および手続きの作成および内容ブルームバーグは、顧客データ方針の支援に必要な手続きを取りまとめるべきである。完了当社の顧客データおよび情報セキュリティ方針は 2013 年 12 月、59 項目の追加的な手続きの導入により強化され、その詳細は当社端末上の POLY<GO>で発表されている。新たな手続きについては全従業員に通知されている。更新：POLY<GO>機能は継続して精査されており、定期研修や品質保証管理も実施されている。ブルームバーグは、各従業員の職責に対応した一連の方針および手続きを端末経由で各人に提供する計画を完了すべきである。 -9- 完了当社は、各従業員向けのカスタマイズされた一連の手続きを提供するため、職域ベースの許可制と文書管理システムを統合した。これにより、示される手続きは各従業員の職責に適合するうえ、職域ベースの許可制を従業員のライフサイクルと連動させたことから、その内容は各従業員の社内での職責の変更に応じて変わるものとなる。ブルームバーグは、最近正式化された方針／手続きの審査に対する見直し作業が 1 年かけて行われるよう、作業をずらして配分するべきである（これには、審査開始から 1 年が経過する前に、最近正式に作成された方針の一部を見直すことが必要となる）。完了すべての顧客データ方針/手続きの見直しの予定表が作成され、方針の保有者と共有されている。あらゆる方針およびその支援手続きは、作成後 1 年が経過する前に見直しされ、その後は直近の見直し日から 1 年毎に見直しされる。主要な管理機能の実行 ― データの分類、暗号化および保存ブルームバーグは、記録保持規則を支援するためのデータ保存手続きを完成させるべきである。完了記録保保持規則を支援するための記録保存手続きを作成した。進行中ブルームバーグは、記録保持規則（およびそれを支援する手続きが作成さ 2016 年第 2 四れている場合にはその手続き）に基づいて、適切なデータ削除手続き（data 半期に完了予 end of life procedures）を強化するため、技術上の管理機能を実行し、定 CDCO および法務部に追加的なリソースを割り当てるべきである。当社法務部は現在、更新された企業記録保存プログラムを実行するため社内の各部署のメンバーと協働中である。最終的な実施の予定表は現在作成中であり、更新された記録保存プログラムの実行に必要な技術上の管理機能を追加で配置することも検討される。 - 10 - 進行中ブルームバーグは、顧客データ分類方針が従業員に関するデータや専有デ 2014 年第 4 四ータなどのデータにも適用されるよう、その内容を拡張すべきである。半期に完了予定顧客データについてはすでに分類済である。当社は現在、社内のデータ分類体系に含めるべく、追加するデータの種類について分析しているところである。主要な管理機能の実行 ― チェンジ・マネージメント（変革管理）／ SDLC（システム開発ライフサイクル）ブルームバーグは、開発、テスト、および実稼働の環境をそれぞれ隔離するための機能を強化する計画を策定すべきである。完了プロダクション・マシンへのアクセスには以前から経営陣の承認が必要であったが、当社は、開発者が任務の遂行に必要なプロダクション・マシン以外へのアクセスを要求できないように、プロダクション・マシンのカテゴリーをさらに細分化するようアクセス管理システムを強化した。さらに、実稼働環境と開発環境を隔離するための計画も現在策定している。システムのデザインは、2014 年第 2 四半期末までに完了する見込みで、研究開発部門も同計画の実施に必要と予測される構造上の変更作業に着手している。進行中ブルームバーグは、開発環境およびテスト環境が実稼働環境にさらに近づ 2014 年第 4 四くよう、それらを強化すべきである。半期に完了予定研究開発部門は、プロダクションシステムおよび開発システムの両方について包括的な分析を行なった。それにより特定された諸問題への対応案は、年次資本予算決定手続き中に提出され、必要な予算が 2014 年 1 月に承認された。研究開発部門は、新たな開発システムのプロビジョニングや配置を計画しているところである。ブルームバーグは、変更追跡システムをソフトウェア・コードに統合すべきである。 - 11 - 進行中 2014 年第 4 四承認済のコードレポジトリのリストが狭められ、レポジトリのセントラ半期に完了予ル・オーナーシップが明確に定義されている。また、他のレポジトリとの定コードの統合計画も策定されているところである。ブルームバーグは、承認されたアプローチの透明性や一貫した適用性を提供し、適切なグループがプロセス全体に関わっているかが判断できるよう、チェンジ・マネージメントおよびシステム開発ライフサイクル・プロセスを文書化すべきである。完了機密性の高いデータの複製や実稼働環境へのアクセスの要求は、すべて変更理由を明記したチケット・プロセスを通して行われるため、変更が関連プロジェクトに関わるものであると保証される。このような要求には経営陣の承認が必要となる。ブルームバーグは、プロダクション・アクセス・チケッティング・システムが方針に準拠するよう、システムの定期的な見直しや検証を行うべきである。完了 ISG チームは、適切な手続きが取られているか確認するため、プロダクション・アクセス・チケッティング・システムを定期的に見直している。さらに、適切な承認やセキュリティの見直しが要求に応じて行われているか確認するため、プログラム上の管理機能が同システムに組み込まれている。ブルームバーグは、開発者のアクティビティ・ログを監視し、異常または不適切な活動がないか調査すべきである。完了セキュリティ・オペレーション・センター（SOC）のチームは、開発者がデータ／プロダクションシステムへのアクセスを得るために使用するチケットを精査し、疑わしい行為をすべて調査する。主要な管理機能の実行 ― アプリケーション・セキュリティブルームバーグは、異常を探知し経営陣に適時に報告して対策を取れるよう、自動化されたとトリガーとシステムおよびアプリケーション管理者へのアラートを用いて、ユーザーのアクティビティ・ログを監視すべきであ - 12 - 完了る。アプリケーションへのアクセスに係るアクセス管理機能が遵守されるよう、ISG は職域ベースの許可制を見直す。これにより、アクセス管理チームやその他の参加者が確立された手続きを遵守されることを、また適切なアクセス要求書が作成され、適切な承認が得られることを保証する。また、問題となりうる行為が発生した場合には自動的に報告書が作成され、報告された問題はチームのメンバーによって調査される。更新：ブルームバーグは専属のセキュリティ・オペレーション・センター（SOC）を設置し、サイバーセキュリティー事由の監視、発見、対応を実施している。SOC は、適切な人材や、監視ニーズを満たすリソースおよびツールを備えており、今後も発展し続ける。ブルームバーグは、新たに設置された作業グループを用いて、パスワードによって PVF レベルの制限が除去される可能性のある事例を確認するため、残りのコードを調査すべきである。完了当社は昨夏、各ビジネスでのアクセス管理要件を明確にするため、ビジネス部門、研究開発部門、CDCO のメンバーで構成される作業グループをビジネスごとに設置した。これらの作業グループのメンバーである研究開発部門の代表者は、パスワードの使用により従業員が PVF レベルの制限を除去しえた事例を当社のコードベースから検索し、そのような可能性がある場合には PVF レベルの保護措置を再導入することでアクセスレベル管理機能を修正する。ブルームバーグは、最近リリースされた RBP システムの実装について定期的に検査すべきである。職域ベースの許可制（RBP）の検査は、2013 年 11 月と 12 月に実施された。今後、同制度が適切に機能しているかを確認するため、セキュリティ・チームによって定期的に検査が行われ、その結果は関連部署に報告される。 - 13 - 完了更新：内部検査制度に加え、現行の第三者による精査制度を拡充し、当社の中核事業である端末事業のアーンスト＆ヤングによるサービス組織管理報告 3（SOC3）も精査対象に組み入れる。この作業は 2015 年 6 月 1 日に完了予定で、当社の顧客の要求に応じて、当報告書を提供する。ブルームバーグは、機能に対する PVF レベルが他の関連機能のユーザーに認められた許可にどのような影響を与えるかを把握するため、機能の相互関連を一元化し、文書化すべきである。完了アクセス管理レベルに関する包括的な見直しが行われ、アクセス管理レベル間の相互関連に係る情報をまとめた詳細な資料が作成された。その内容は、少なくとも年に 1 度見直しされる予定で、新たに設置されたアクセス管理レベルは、他のアクセス管理レベルとの相互関連を指摘する詳細な内容を必要とする。ブルームバーグは、データ分類の手順およびシステム開発ライフサイクルを強化し、新たな PVF レベルの開発に一貫性をもたせられるようにするべきである。また、ブルームバーグは PVF レベル・アドミニストレーターを管理する文書を作成するべきである。完了 PVF システムには、業務の流れを向上させるための大幅な変更が施され、データ分類の要件、詳細なレベルの説明、機密性の高い顧客データ PVF レベルの CDCO による単独管理が含まれるようになった。さらに、PVF アドミニストレーター・アクセス、一元化されたアクセス・ガイド、職域ベースの許可制に係るユーザーガイドに対する手続きが文書化され、発表された。職域別ビジネスアドミニストレーターが新たな職務として各部門において設けられ、職域を定義し、業務上必要な顧客データへのアクセスの判断を行う。同職には PVF や RBP に関する資料や研修が提供されている。進行中ブルームバーグは、｢ライブ｣状態の顧客データと研修／デモ用データとを 2014 年第 4 四区別できるように、「プロダクション」データであることを表示する慣行半期に完了予を拡大すべきである。定 - 14 - 当社は現在、端末上で従業員が機密性の高い顧客データを閲覧しているとのメッセージが適宜表示されるよう、顧客データへのアクセスに係る情報をアプリケーション・サーバーへ送り返すよう社内のサービス指向アーキテクチャ（SOA）を強化しているところである。ブルームバーグは、疑わしい行動を検出・防止するため、許可されていない機能へのユーザーのログインの試みについて、より系統的な見直しを実施すべである。完了 ISG は、ユーザーによるアクセスや関連データが閲覧されたことを示す異なる機能の様々なアクティビティ・ログを特定した。これらのログは、現在開発中で 2014 年第 1 四半期末に完成予定のソリューションにおいて一元的に管理される。ISG はまた、変則的な行為が探知された場合に警告する、権限と許可に関する統計モデルを作成中である。ブルームバーグは、PVF アドミニストレーターが、機能レベルの権限を有する、または当該権限を要求する全ユーザーの許可設定の適切性について合理的な判断を下すために必要なすべての事実を把握できるよう、すべての PVF 許可レベルの定義を定期的に見直すべきである。完了あらゆる PVF 許可レベルの説明の見直しが 2013 年 10 月に CDCO によって行われた。この種の見直しは毎年行われる。主要な管理機能の実行 ‐ データベース・セキュリティブルームバーグは、自動トリガーおよびアラートを使用してシステムおよびアプリケーション管理者にアクティビティ・ログをモニターさせ、異常を適時に探知し、経営陣へ上申できるようにすべきである。 ISG チームは、機密性の高い顧客データを含むデータベースの一覧表を用いて、日常的にアクティビティ・ログの調査を行なっている。機密性の高いデータベースへのアクセスが発見された場合、そのアクセス権を行使した開発者が当社保有のデータベース所有者リストから割り出される。所有者リストに該当の従業員が含まれていない場合、アクセスの詳細をさらに調査するためチケットが発行される。今のところ、このモニタリングには手作業による見直しが必要となるが、その自動化に向けた作業が現在進められている。 - 15 - 完了 ― 主要な管理機能の実行ネットワーク・セキュリティブルームバーグは、セキュリティ方針の違反や異常なアクティビティの監視を一元化するため、技術の開発やライセンス付与を含む計画を実行すべきである。完了 ISG チームは、複数の担当者のアクティビティ・ログを日常的に監視することで、担当者による方針違反や異常行為の発見に努めている。具体的には、それらの発見目的において、ブルームバーグ・メッセージ・システム、インターネット・トラフィック、その他のシステムを監視している。ブルームバーグは、担当者およびインフラストラクチャ（例、施設、ソフトウェア、ハードウェア）を含めた、年中無休 24 時間体制のセキュリティ監視機能を設けるべきである。完了年中無休 24 時間体制の監視を可能にするため、担当者が増員された。主な管理機能の実行 ― インシデント対応ブルームバーグは、侵入テストプロセスについて説明した手順書を作成すべきである。完了侵入テスト（ペンテスト）は、擬似攻撃を行うことで、アプリケーション、サービス、システムのセキュリティを評価するものである。このテストの手順は、商品またはサービスのセキュリティ検査において当社が用いる手法の内容となるもので、チーフ・リスク・アンド・コンプライアンス・オフィサーにより承認された担当者のみ閲覧することができる。ブルームバーグは、侵入テストおよび脆弱性評価の結果を、トレンドとパターンを特定するために経営陣が定期的かつより頻繁に見直せる形式で集計すべきである。 ISG チームは、当社の商品について侵入テストおよび脆弱性評価を実施し、セキュリティ保護されている当社のレポジトリにおいて保存される報告書を作成する。同報告書は経営陣への報告やトレンド分析の目的において毎月使用される。主要な管理機能の実行 ― 物理的なセキュリティ - 16 - 完了ブルームバーグは、データセンターへの不正侵入を防止するための追加的な仕組みを設けるべきである。完了当社施設のうち機密性の高いエリアへのアクセスは、各人に付与され従業員 ID バッジに付けられる許可証によって管理されている。施設内の機密性の高いエリアの入り口には、そのエリアへの従業員のアクセス権限を確認するためのバッジリーダーが常時設置されている。さらに、｢便乗｣アクセスのリスクの軽減するため、当該エリアの警備員を増員した。主要な管理機能の実行 ― ベンダー管理ブルームバーグは、一元化されたセキュリティ・リスク評価プロセスを通して、ベンダーの選定、契約および監督時のリスクに基づく枠組みを提供するため、全社的なベンダー管理プログラムを実行すべきである。完了規則に基づくリスク評価モデルが、ベンダー・レベルおよびエンゲージメント・レベルの両方について確立されている。既存ベンダーの評価が行われ、ハイリスクと認定されたベンダーについては、現在、同評価モデルとの照合作業が行われている。今後、新たなベンダーとのエンゲージメントには、ベンダーリスク評価やその結果生じる関連手続きの実行が必要となる。そのための手順が作成・公開され、ベンダー管理プロセスに関与する従業員向けの研修も提供されている。ブルームバーグは、採用と一貫性の確保に資するよう、全社的なベンダー管理プログラムの管理および監督を一元化すべきである。完了ベンダー管理プログラムは、購買部門内のベンダー管理チームにより運営されている。同チームはプログラムの監督と、管理機能の実行、文書作成手順、コンプライアンス上の監査を担当する。ブルームバーグは、第三者ベンダー・セキュリティリスク評価に用いられるシステムの数を整理すべきである。セキュリティ部門は、第三者ベンダーのリスク評価の実施において様々な業務部門と協働する。各評価の結果、および、評価結果からビジネス部門および購買部門に対して行われた承認・提案は、セキュリティ部門が所有する一元的なレポジトリにおいて保存される。同一の第三者ベンダーの再評価においては、記録されている従前の評価結果が用いられる。 - 17 - 完了主要な管理機能の実行 ― プライバシーブルームバーグは、既存の個人顧客データ・プライバシー規則を支える統一的な手順を文書化し、適宜、コンプライアンスに係る既存の慣行および資料を更新すべきである。完了個人顧客データ・プライバシー規則を支える手順が文書化され、全従業員に配布されている。ブルームバーグは、個人顧客データ・プライバシー規則を支える全社的な取り組みを拡大かつ支援すべきである。完了配布された個人顧客データ・プライバシー規則およびその手順に加え、同文書の中核をなすコンセプトは、全従業員に提供された広範なオンライン研修にも含まれていたほか、年間を通した研修ではさらに詳細が含まれる予定である。ブルームバーグは、プライバシー担当者を増員する現計画を実行すべきである。完了法務部は、個人顧客データ・プライバシー規則を支えるための担当者を増員した。また、今後も年間を通して、継続的に増員する予定がある。研修ブルームバーグは、現在のセキュリティおよびプライバシー研修のロードマップに引き続き従うべきである。完了全従業員は、情報セキュリティに関する復習のための研修を年 1 度受講する。情報セキュリティは、採用時のオリエンテーションにおいて常に取り上げられてきた。情報セキュリティに関する 2014 年の新規採用者研修は、オリエンテーション後に修了すべき同分野に特化したオンライン研修が含まれるよう強化された。さらに、2014 年には、ベンダーリスク、順調な業務の遂行、データの遠隔アクセスなどに関する一連の新たな研修プログラムが予定されている。ブルームバーグは、研修の要点に関する従業員の理解度を確認するために、全従業員向けに予定されている研修に小テストを含めるべきである。 - 18 - 完了全従業員を対象とした必須研修の最後には小テストが含まれるようにした。単位を修得するにはこのテストに回答することが義務付けられている。テストにおける問題の不正解率を検討し、学習すべき事項が従業員に適切に伝わるよう研修内容を更新した。ブルームバーグは、現在計画されているプログラム評価基準に代わり、同社の顧客データ方針および手続きの現在の認知度を経営陣に知らせ、現行の研修プログラムを改善する機会を評価するために使用可能な一連の｢通常の業務｣評価基準を策定すべきである。完了管理職向けの対面研修および全従業員向けのオンライン研修の両方に関するフィードバックが集められ、現在、現行プログラムの改善に向けて評価作業が行われている。経営陣には研修を提供した結果が報告されている。また、当社では、インシデント対応レジストリを用いて、その他の従業員研修の機会の特定に努めている。責任ブルームバーグは、リスクおよびコンプライアンスの目標に対する従業員の貢献度をより完全に検討するため、業績評価手順を強化すべきである。全従業員に対する業績評価手順に新たな評価基準が追加された。この評価基準は、顧客データの尊重や保護、同データの原則・方針・手続きの遵守、リスクの特定、経営陣への上申、その他のコンプライアンス資質を明示的に対象としたものである。2013 年の業務評価手順において、全従業員がこの新たな評価基準によって評価された。ブルームバーグは、内部告発ホットラインが設けられていることをより良い方法で公表すべきである。完了完了内部告発ホットラインの存在は、あらゆる情報セキュリティ研修、新規採用者研修、担当者向けの個別的なやりとりにおいて公表されている。強化計画の見直しブルームバーグは、強化計画の実行を追跡するための統合的なプロセスを採用すべきである。 - 19 - 完了更新：プログラム・マネージャーが CDCO 内において任命されている。同職は、提案事項の実行に取り組むあらゆる社内組織の一元的な窓口であり、提案事項の実行に必要なすべての作業の詳細な一覧表を管理する。各作業項目は、進捗状況や追加要件が記載されるよう毎週更新される。上級経営陣に対しては、進捗状況を伝えるための月次報告が行われている。ブルームバーグは、特定された問題を含む、監視、検査、内部監査、および第三者が特定した問題を含む調査結果を追跡するための統合的な手順およびシステムを採用すべきである。完了すべての ISG チームは、週次報告書をセキュリティ部門のチーフ・オブ・スタッフに提出している。報告の際に用いられる予め承認された報告書テンプレートには、問題点、検査の詳細、関連チケットおよび部門、対応を要する問題解決の影響を軽減する措置の詳細が含まれている。第三者評価やインシデント・リポートに加え、このような審査も、あらゆる調査結果の追跡、監視、報告目的において一元化された全社的な情報システムに統合されている。更新：当社の管理機能の有効性を検査すべく、保証管理部門が CRCO 内に新たに設置された。クラーク・ホイトによる提案事項ニュース部門とブルームバーグ端末との関係ジャーナリストは端末から隔離されるべきではない。ニュース、データ、アナリティクスは顧客とブルームバーグの利益のため、完全に相互関連している。情報が適切に保護された場合、端末は、ブルームバーグ・ニュースに適切な競争上の利益をもたらし、またブルームバーグの契約者が事業上の決断を行うために必要な情報をタイムリーに提供できる、強力なレポーティング・ツールとなる。 - 20 - 完了適切な情報保護手段が実装されたことによって、ジャーナリストは現在も当社端末へアクセスできる。ニュースルーム・スタンダーズ・アンド・プラクティシズ・タスクフォースブルームバーグ・ニュース（「BN」）およびニュース取材・報道業務に従事するその他のすべての部門（｢メディア部門」）の代表者を含むクロス・プラットフォームの「スタンダーズ・アンド・プラクティシズ・タスクフォース」を設置する。同タスクフォースは、最高水準の報道規範を反映した最新版の倫理ガイドライン、基準および慣行を作成すべきである。同タスクフォースの作業の結果は、Bloomberg Way（ニュース部門で使完了用される研修用マニュアル）の冒頭に記載の、強化された倫理に関する章に組み込むべきである。その信条に関する研修を、ニュース部門およびメディア部門の従業員全員に共通して義務付けるべきである。当社は、ニュース部門およびメディア部門の代表者を含む「スタンダーズ・アンド・プラクティシズ委員会」(｢SPC｣)を設置した。SPC は、独立シニア・エディターおよびスタンダーズ・エディターを委員長に据えており、ニュースルームの方針・手続きの見直しや必要とされるあらゆる変更を行うことができる。SPC は、The Bloomberg Way の新版に含まれる倫理に関する新たな章を審査・承認し、第三者のカンファレンスコールや匿名チャットルームなど、主要な事柄に係る方針や手順についても承認した。Bloomberg Way の新版は 2014 年 3 月に公開される予定であり、公開と同時にニュース部門に配布され、2014 年度のニュースルーム用研修資料に組み込まれる。営業成績に係る全社的なコミュニケーションに、具体的な会社名や顧客名を入れることをやめる。顧客関連情報は、報道で使用されることがないよう、こうしたコミュニケーションではすべて「伏せられる」べきである。営業成績に係る社内のコミュニケーションには、顧客関連情報が含まれないようになった。その例として、重要な営業成績を称えた最近の従業員向け社内コミュニケーションでは、その対象顧客が｢東京に拠点を置く中堅の資産運用会社・・・｣と示された。 - 21 - 完了ニュース部門のスタッフが社内の営業会議に出席し、製品イニシアチブについて話し合い、「市場概況」を述べる際には、まずその者らの参加が会議の冒頭に設定されるよう予定を組む。プレゼンテーションの後は、ニュース部門の人間を直ちに退席させ、ニュース部門の人間がいない状態で営業担当者が顧客情報について話し合えるようにする。完了記者の営業会議への出席は禁止されている。ニュース部門の従業員が営業会議に出席する必要がある場合は、その者の参加を会議の冒頭に設定し、その業務が完了次第、退席するよう手配する。同社の営業部門の従業員による会議への出席の可否をニュース部門のスタッフが判断できるようなブルームバーグの社内カレンダー機能を変更して、ニュース部門のスタッフが同僚のアポイントメント状況の詳細を見ることができないようにする。完了 2013 年 8 月以降、営業部門の従業員のカレンダーのうち限定的な情報のみが、ニュース部門およびメディア部門の従業員の閲覧に供されている。この限定的な情報は、その営業部門の従業員はその日に予定が詰まっているかまたは空いているか、という点のみを示すものである。予定に係るあらゆる詳細はニュース部門およびメディア部門が見ることができないように編集されている。ニュース研修チームがヘルプ・デスクからの報道に関する問い合わせに対応する場合、チームは記者と問い合わせについて解決する過程において、顧客の身元を明らかにするべきではない。完了ニュース研修チームは、顧客から提起された報道に関する問題の解決においてニュース部門の従業員とやり取りする際、その顧客の身元を明かすことはない。また、ニュース部門の従業員も、フィードバックの提供や報道に関する問題の解決において、顧客の名前や詳細を開示することを禁止されている。顧客関連情報が（不注意かどうかによらず）不適切に開示されないよう保護する必要性についての認識を高めるため、Global Core Guide を更新し、自分のデスクに着いている際であっても、知る必要のない人物に立ち聞きされないよう注意するなど、裁量を発揮する必要性を強調する。 - 22 - 完了当社の Global Core Guide は、雇用に影響する方針を含む様々な事項を従業員に通知するための資料で、POLY<GO>上で全従業員の閲覧に供されている。その内容は、オープンな場所で機密情報を議論する際の裁量の発揮の重要性を強調した文言が含まれるよう更新され、新版が全従業員に公開されている。また、全従業員向けのオンライン研修にも、裁量の必要性を強調する具体例が含まれている。営業部門、ニュース部門、施設部門から成る作業グループを設け、共用施設についての明確な指針を作成し頒布する。共用オフィスにおいて顧客情報が意図されない形で共有されてしまうリスクを軽減するため、同グルー完了プは、必要に応じた変更点についてオフィスごとにプランを作成するべきである。同時に、同グループは、2 つのグループ間での適切な情報共有を制限しないよう配慮すべきである。この作業グループは、最高執行責任者の監督下とすべきである。ニュース部門、営業部門、施設部門の代表者らは共用施設に関する指針（Shared-Use Facilities Guidelines）を共同で作成した。これは、2013 年 11 月にニュース部門と営業部門に配布され、両部門での新規採用者研修の内容に組み込まれた。また、COO の直属である施設部門は、必要に応じた変更措置を決定するため、当社の各オフィスの調査を実施した。その結果、調査された 145 ヶ所のオフィスのうち、53 ヶ所について変更が施されることになった。現在、それらのオフィスについて、ワークスペース内のデスクの配置換え、物理的な間仕切りの設置、ホワイトノイズマシンの利用、場合によってはワークスペースの完全な改装を行うための計画が策定されている。ブルームバーグは全従業員に、雇用開始時に広範な機密保持契約に署名することを求めており、新規採用者向け研修には、機密保持についてのディスカッションも含まれている。また、同社は、機密保持に関する任意のフォローアップ研修も行っているが、現在のブルームバーグの従業員の大多数はまだ受講していない。したがって、この研修を強化し、義務付けるべきである。 - 23 - 完了機密保持に関する 3 つの新たな研修コースが新規採用者、管理職、従業員向けに立ち上げられた。そして、新規の内容が、新規採用者の必須オリエンテーションおよび既存の管理職・従業員の必須研修に追加された。研修項目には、機密性の高いデータおよび部外秘データの認識、機密データの保護に必要な手順や行為、関連方針や手続きの違反が招く結果、懸念や可能性のあるインシデントの報告のためのリソースが含まれる。更新：新従業員対象の総合オンライン研修が 2014 年 1 月から開始され、全従業員対象の復習講座が 2014 年 7 月から開始され、完了した。ニュース部門によるグローバルデータ部門の情報へのアクセスグローバルデータ部門とニュース部門との適切なやりとりは、顧客の利益のために行われるものであり、今後も継続されるべきである。ニュース部門の品質確認と明瞭化によって、端末から顧客が利用できるデータに有意義な価値が付加される。グローバルデータ部門は、顧客の問い合わせに対して行うのと同様に、ニュース部門からの問い合わせにも引き続き応じるべきである。完了グローバルデータ部門は、顧客の問い合わせに対して行うのと同様に、ニュース部門からの問い合わせにも引き続き応じる。データセキュリティの重要性を強調し、また、ニュース部門からグローバルデータ部門に情報を求めてプレッシャーをかけていると見られることも避けるために、ブルームバーグは、端末契約者全員が利用できない情報をニュース部門がグローバルデータ部門に対して求めてはならないという点を Global Core Guide に組み入れるべきである。完了 Global Core Guide は、許可されていない情報の要求の禁止に関する詳細内容を追加すべく、2013 年 8 月付で更新されている。編集の独立性ブルームバーグ・ニュースの二つの使命および編集の独立性を確実にするため、ブルームバーグの経営上層部は、端末顧客や、それよりも更に広範な BN の全世界の読者、視聴者に対して、次の点に重点を置いた確固たる声明を発表すべきである ― BN は厳格な報道、正確性、公平性、 - 24 - 完了バランスを求める Bloomberg Way の要件に従って記事のすべての題材を同様に扱う。当社の上級経営陣は、ニュース部門の使命に関する声明書を発表した。｢当社ニュース部門は、完全なコンテクスト、観点および正確性をもって、年中無休 24 時間体制で経済、市場、企業、産業、政府について報道する最も影響力の強い報道機関になるよう努力する。また、公益および当社の読者・視聴者の情報ニーズを除く、いかなる利益にも関心を示すことなく、真実を報道することに専念し、読者から全幅の信頼を得るため、事実に基づいた公正で偏見のない報道を行う。｣偏見のないニュースニュースルームにスタンダーズ・エディターの職責を設け、シニア・ジャーナリストを同職に就かせる。同職は、ニュース部門が、正確性、報道の厳格性、公平性・論調に係る Bloomberg Way の高い基準を一貫して遵守していることを確認する責任を負うとともに、見出しが正確かつ明確で、偏っていないことを確認することに注力する。また、日々の報道を監視し、主な調査および企業についての報道を見直し、ニュースルームの顧問およびシニア・エディターと定期的に協議する。完了 2013 年 10 月、編集主幹であるマット・ウィンクラー（Matt Winkler）の直属となる当社ニュース部門スタンダーズ・エディターに、ティム・クインソン（Tim Quinson）が任命された。同氏は、当社の記事を精査し、それらが正確性、公平性、論調に係る基準を遵守していることを確認する任務を負っている。以前ブルームバーグ EMEA のエグゼクティブ・エディターを務めていた同氏に対しては、3 名の地域別スタンダーズ・エディターが直属する。上記とは別に、独立シニア・エディターを任命する。同職は、ニュースルームの管理組織外で、ニュース報道に関する苦情のパイプ役となり、最善の規範の継続的な発展および研修を支援する。また、ブルームバーグの経営陣に対してニュース部門と同社の商業活動との関係から生じる問題についても助言を行うが、ニュース部門に対する報告義務は負わない。 - 25 - 完了 2013 年 9 月、クラーク・ホイトがダン・ドクトロフの直属となる独立シニア・エディターに任命された。同氏は、報道に関する意見や苦情を精査する代替的かつ独立的なチャンネルを提供し、また、ティム・クインソンと共同で務めるスタンダーズ・アンド・プラクティシズ委員会の責任者として、ニュース部門の研修プログラムの向上に研修チームと取り組んでいる。ニュース部門および営業部門記者やその直属の編集者による営業会議への出席を禁止する。完了 2013 年 8 月以降、ニュース部門の従業員は営業部員と共に顧客や見込顧客を訪問してはならないという指示がニュース部門に対してなされた。このようなガイドラインは、2013 年 11 月にニュース部門と営業部門に配布された共用施設に関する指針においても明示的に言及されている。商品開発のためにフィードバックを収集し、BN の価値を顧客および見込み顧客に伝えるための顧客訪問は、ニュースルームの上級管理職のみに許可する。完了新たな方針では、当社の顧客・見込顧客との商品開発会議に出席できるのはエグゼクティブ・エディター以上の役職のみとされている。同方針は共用施設に関する指針においても詳述されている。 BN のスタッフが顧客を訪問する際には、訪問目的や正式な訪問か否かなど、最初に基本原則が明確に定められていることを確認する。完了 2013 年 8 月付でニュース部門の全従業員に対して、顧客訪問時には訪問目的や正式な訪問か否かなど、最初に基本原則が明確に定められていることを確認しなければならないという指示がなされた。フィードバックのチャンネルを増やし、ニュース機能について顧客に研修を行い、アラートとフィルターを設定する目的において、ニュースアプリケーション専門家を世界全域において増員する。 - 26 - 完了当社端末上のニュースアプリケーションの使用方法についてニュース部門の従業員が顧客に説明する必要性をさらに低減するため、顧客のサポート役となる追加的なニュースアプリケーションスペシャリストが 2013 年 12 月に採用された。組織内の広範な知識を持つ者が内部異動によって同職に充てられた。世界全域で 3 名のスペシャリストが配置されている。自社についての報道と自己利益ブルームバーグの商業的利益がニュース報道に不当に影響を与えているような印象を与えることさえも防ぐために、明確な方針を再確認することが必要不可欠である。同社は、ニュース部門は不偏不党なニュース報道に完了よって顧客と同社の成功に貢献するという原則およびニュース記事が同社の利益促進のために形成されることはないとする宣言を同社の方針に加筆すべきである。スタンダーズ・アンド・プラクティシズ委員会は Bloomberg Way の新版を精査し承認した。新版には、利益相反を含む様々な項目を網羅する倫理に関する章の最新版が含まれ、また、当社顧客について偏見のない報道を行う義務や、ニュース部門は当社の商業的利益が報道を支配することを認めないとする声明書も組み込まれている。Bloomberg Way の新版は 2014 年 3 月に発表される予定で、同時にニュース部門へ配布され、2014 年のニュースルーム向け研修教材にも組み込まれる。 BN とブルームバーグの上級経営陣は、自社について報道しないという慣行を見直すべきである。BN はこの慣行を一貫して守ってこなかったという点に鑑みて、ホイトは、BN が同社についての報道を開始し、報道の対象および対象外の事項を規定すると共に、ブルームバーグの伝統と文化の尊重と、報道価値のある題材を取り上げたいという意欲の均衡を取ることが望ましいと考えている。適切な取材対象には、市場を動かす可能性のある活動や、公共政策の分野での動きが含まれうる。同社に関する部外秘の財務情報および社内の人事事項は、引き続き部外秘とする。代替策として、自社についての報道を行わないという慣行が継続される場合には、例外なくその慣行を適用するべきである。同社について通常であれば大きく報道されて然るべきはずのニュース記事が発表される場合は、同社の関連性および同社が言及されない理由について完全な説明を行うべきである。 - 27 - 完了自社に関する報道の方針ガイドラインの更新版が作成され、2014 年第 1 四半期に発表される Bloomberg Way の新版に含まれた。ニュース取材時の倫理ニュースルームのスタンダーズ・アンド・プラクティシズ・タスクフォースは、第三者のコンファレンスコールに関し、何が認められ何がオフリミットかについての指針を策定すべきである。完了 SPC は第三者のコンファレンスコールに関する問題を検討し、更新された方針は Bloomberg Way の新版に組み込まれている。新たな規定は、第三者のコンファレンスコールに関する透明性および情報保護を提供するものであり、例えば、BN の従業員は、特段の事情または編集主幹からの許可がある場合を除いて、自らが報道する会社に関係する社内会議または社内コールには参加してはならないという規定が含まれている。これらの新たな方針は、更新された 2014 年の BN の研修教材に組み込まれる予定である。コンファレンスを開催する諸部門を代表するクロス・プラットフォーム・グループが形成され、方針および慣行についての作業が開始されている。同グループは次の点を取り上げるべきである：参加者が、かかるコンファレンスにおいて記者が同席していることを把握し基本原則について理解する必要性、参加者（特に報道するニュースの対象となる人物）をコンファレンスに招待するにあたってのジャーナリストの役割、ブルームバーグが講演者への謝礼を通して不注意にも「ニュースのために支払いを行っている」ように見られる状況を避けることの重要性、バランスの取れたコンファレンス議題に共催者が口を挟まないよう保証する必要性。完了 2013 年 8 月以降、コンファレンスや、ホイト報告書で取り上げられた特定の事項を見直すため、コンファレンスコールを行うあらゆる部門の代表者が含まれるクロス・プラットフォーム・タスク・フォースが形成された。同グループは、概括されている提案事項の完了に係る各事項について話合うため、これまで複数の会議を行なった。端末上での匿名のチャットルームへのジャーナリストの参加に関するホーガン・ロヴェルズ／プロモントリー社の提案は、スタンダーズ・アンド・ - 28 - 完了プラクティシズ・タスクフォースによって採用されるべきである。前述のとおり、ジャーナリストによるブルームバーグ・チャットルームへの匿名参加が禁止された。完了した追加作業端末のアイドル・タイムアウト当社では、オフィスの PC はアイドル状態になってから 15 分後にロックされるという方針を設けている。使用の必要性に鑑みて、特定の環境での完了 PC は同方針の適用から外れるよう設定されていた。このような例外的措置に係るセキュリティを強化するため、方針適用外と設定された PC や当社オフィス外で従業員がインストールしたサービスからブルームバーグプロフェッショナルサービスをロックアウトした。現在では、他のロックアウト・メカニズムが設けられていない場合は、PC がアイドル状態になってから 15 分後に端末がロックされ、パスワードで保護されるようになる。セッションを再起動するにはユーザーのパスワードを入力しなくてはならない。より高精度のアクセス管理前述のとおり、当社では職域ベースの許可制を用いたアクセス管理システムを採用している。この管理システムは、特定のデータへのアクセスをより綿密に管理するために強化された。例えば、特定のグループに属する従業員は、自身の職務を遂行する上で特定のプロダクション・データベースへのアクセスを必要とする。このようなアクセスは、これまで当社のアクセス管理システムにおいて管理され、2013 年夏に職域ベースの許可制に移行された。このようなシステムの向上は、特定のグループの従業員には特定のデータベースのアクセス権が、別のグループには別のデータベースへのアクセス権が提供されるよう、アクセスの更なる制限を可能にするものである。職域ベースの許可制と従業員のライフサイクルとの連動 - 29 - 完了完了当社が採用する職域ベース(RBP)の許可制は、従業員のデータベースと一体化しているため、従業員のライフサイクルに応じて自動的に変更される。つまり、特定の従業員に割り当てられているデータベースと職域ベース(RBP)の許可制とが連動しているため、従業員のライフサイクル、新規採用、異動、退職に応じて、情報へのアクセスが自動的に有効または無効となる。このような措置によって、当社従業員は職務の遂行において必要以上のアクセスを得られなくなる。 - 30 -