サイバー攻撃で人事に求められる意外な責務

企業がサイバー攻撃を受けた際に、人事部門がやるべきことが幾つかある。その意外な責務とは。

[Caroline Colvin，HR Dive]

　ロシアによるウクライナ侵攻によりサイバー攻撃のリスクが高まる中、人事部門は業務に支障をきたす脅威への警戒を強めるべきだと専門家は指摘する。

　フィッシング攻撃に対する意識向上トレーニングやランサムウェア対策としてのサイバーセキュリティ教育以外では、人事部門はサイバーセキュリティの懸念から切り離されたように感じるかもしれない。しかし、障害や攻撃が発生した場合、人事のオペレーションを管理する担当者は、IT部門と一般従業員の橋渡し役としてスムーズに対応を進めることになるため、その準備が重要になる。

　Sherman & Howardのアソシエイト、エリザベス・チルコート氏は、「人事部門は歴史的に、職責が明文化されていなくても、企業の方針や業務上の期待事項を従業員に伝える責任を担っている。これは、サイバーセキュリティを効果的に実装するために不可欠なことだ」と述べる。「社内の平静さを保つため、そしてコンプライアンス上の理由から、攻撃後の手順を平易な言葉で説明することが人事の仕事だ」と同氏は続ける。

　チルコート氏とFoley & Lardner LLPのシニアカウンセルであるケビン・ジャクソン氏は、HR Diveに対して、ロシア・ウクライナ戦争によるリスクの高まりを踏まえ、緊急時の手順を再評価、改訂する際に人事担当者が留意すべき点が幾つかあると述べている。留意すべき点とは何か。

プランBを用意する

　「弁護士の立場で、雇用主がやるべきことは完全にリスクを回避することだと述べるのは簡単だ。だが、紙のタイムカードと手計算による業務に戻ることは現実的ではない。リスクはビジネスの現場で起こり得ることだ。企業に必要なのは、最悪の事態にどう対処するかを準備しておくことだ」とチルコート氏は言う。

　2021年12月、米人事管理ソリューション大手のKronosの親会社UKG関連のランサムウェア攻撃により、勤怠管理ソフトウェア「Kronos」がダウンし、人事部門は最悪の事態に陥った。「企業の給与計算業務に大きな支障をきたすことが判明した。クラウドに存在するシステムが機能しなくなり、従業員が入力した時刻にアクセスできなくなった」とジャクソン氏は話す。

　「その結果、企業は毎日または毎週、時刻を記録した簡単なデータをバックアップし、クラウドに保存する必要があることに気付いた。企業が依存しているベンダーが攻撃されても、人事は重要な業務を継続しなければならない」（ジャクソン氏）

従業員へ状況を説明する

　攻撃を受けた場合、その直後は「何をすべきか正確にはわからない」とチルコート氏は言う。ここで最初に知る必要があるのは、「どのデータが影響を受けたか」である。次に「データが影響を受けたという報告に関して、自分にどのような義務があるのか」を考えなければならない。

　人事部門は、引き金となる事象を見極め、対策を講じることが可能かどうかを判断する必要がある。さらに、人事部門は、攻撃を受けた後で従業員に警告を発するタイミングを知っておかなければならない。影響を受ける従業員だけに通知する場合もあれば、全従業員に知らせる必要がある場合もある。また、州によっては雇用主が司法長官事務所などの政府機関に連絡することを義務付けている。

　「州によって規則が異なるので注意が必要だ」とチルコート氏は述べる。パンデミックの間は従業員が地理的に分散しているため、コンプライアンスに関する疑問が生じる可能性がある。

　「一般的に、これらの法律は消費者保護を念頭に置いて制定されたものだ」とジャクソン氏は付け加える。

　「セキュリティ侵害の通知に関する規則は、特定の州の消費者を対象としている傾向がある。テレワークの場合は通常、雇用主は従業員の居住地と拠点がある州で義務を果たすことになる」（ジャクソン氏）

　ジャクソン氏は、雇用主が何らかの行動を起こす前に、データプライバシー専門の弁護士に相談するよう促している。

状況をトリアージしてから進める

　人事部門は、情報漏えいの際にどの程度の機密データがあったのか、またハッカーがどの程度のデータを漏えいさせたのかを把握する必要がある。「ハッカーが私の名前がエリザベスで弁護士であることを知っているのと、私のファーストネームやミドルネーム、ラストネーム、住所、社会保障番号、銀行の支店コードなどを知っているのでは、漏えいの度合いが全く異なる」とチルコート氏は説明する。

　人事部門が扱う情報の範囲は広い。個人情報とともに、企業秘密、業務記録、その他の機密情報が危険にさらされている。特に従業員が個人のデバイスからアクセスできるようになったため警戒が必要だ。それでも、チルコート氏はHR Diveに、「システムを攻撃から守る唯一の方法は、誰もアクセスできないようにすることだ。だがそれは現実的ではない」と話す。

　だからこそ対応策が非常に重要になる。社会保障番号を紛失した場合、雇用主は従業員に無料の監査サービスを提供する方法もある。また、フォレンジックの専門家を雇って詳細を解析することもチルコート氏は勧める。会社が状況を把握すれば、人事部門（people operations teams）は従業員が事態を収拾する手助けができる。

冷静に判断する

　ここで人事の「人」の部分に目を向ける。従業員が情報漏えいの範囲を理解し始めたら、人事部は従業員が感情的にならないよう準備をしなければならない。「パニックにならないように、そして険悪にならないように」とチルコート氏は述べる。

　危機の状況下では、明確で正直であることが重要だ。「信頼性を維持することが大切だ。質問に答えられないときでも、できるだけ早く回答すると従業員に伝えることをお勧めする」とチルコート氏は話す。そして、人事は臆測を避けるべきだと同氏は付け加えた。

　大まかに言えば、最近のサイバーセキュリティに関する話題は、永続的な変化をもたらすきっかけになるとジャクソン氏は見ている。

　「ロシアのサイバー攻撃について特に懸念していないとしても （現在の危機的状況においては、おそらく懸念は少ないと思われるが）、これは留意すべきことだ。現代経済では、このような形で戦争が行われることがあるのだ。企業の人事とITチームがこれらの問題を優先する必要があることを覚えておくべきだ。システムを保護するためのプロセス、トレーニング、ポリシーを、手遅れになる前に整備しておかなければならない」（ジャクソン氏）

出典：How HR can prepare for a cybersecurity attack 'before it's too late'