従業員の個人情報を守る 人事データ管理の3つのポイント

大切な個人情報が詰まった人事データ。その管理は意外とずさんだ。専門家が語る適切な管理方法を紹介する。

[Brian Eastwood，HR Dive]

　企業であれば必ず持っているのが人事データ。これが今、サイバー犯罪の標的になっているという。「人事担当者はサイバーセキュリティを仕事の一部と考えるべき」と専門家は忠告するが、人事データはどのように管理するのが適切なのだろうか。

狙われる人事データ

　医療や金融サービスに携わる人なら、情報がどれほど貴重で、どれほど保護が必要かを知っているはずだ。しかし人事データについては、全ての組織がそれを保有しているにもかかわらず、その重要性があまり知られていない。

　Akin Gumpのパートナーで、同社のデータ保護分野の共同リーダーであるミシェル・リード氏によれば、ほぼ全ての企業が、人事データが「サードパーティーのアプリケーションに保存され、暗号化されている」という理由だけで「保護できている」と考えているという。

　2021年12月に発生した勤怠管理ソフトウェアKronosへのランサムウェア攻撃が示したように、これらのアプリケーションは侵入される可能性がある（注1）。さらに、データが暗号化されていても、従業員がそのデータを使ってレポートを作成したり、電子メールやメッセージングアプリで共有したりする場合は安全ではない。

　「企業が注意できていないのは、従業員がデータをエクスポートして、あらゆる場所に保存できることだ」とリード氏は述べる。同氏によれば、犯罪者は人事部の共有ドライブのデータを入手できることを知っているため、人事部のデータはダークウェブによく出回っているという。

　さらに問題なのは、全ての企業が必要以上の人事データを持っているということだ。リード氏によれば、企業は従業員の退職後も個人情報を保持しているため、人事データの侵害があった際の通知先は、現在の従業員数の4倍になることもあるという。「人事担当者はサイバーセキュリティを自分の仕事の一部と考える必要がある」と同氏は述べている。

　では、担当者はどのように人事データを守ればいいのか。アクセス管理、データ管理、デバイス管理の三点に分けて解説していく。

専門家が語る適切な管理方法

　Sheppard Mullin知的財産グループのカリ・ロリンズ氏は「個人情報の収集と保存には企業全体として責任がある」と述べる。同氏によれば、人事チームは法務、IT、情報セキュリティなどサイバーセキュリティに関連する他部署と連携し、アクセス管理、データ管理、デバイス管理という3つの分野でポリシーを策定する必要があるという。

アクセス管理

　「人事データには『最小権限の原則』を適用する必要がある」とロリンズ氏は言う。日々の業務で従業員の機密情報にアクセスする必要がある人だけが、その情報を必要とするタスクでのみアクセスできるようにすべきだ。

　アクセス管理における人事のもう一つの重要な役割は、従業員の役割の変化をIT部門に知らせることだ。新しい部署に異動する従業員は、以前の役割に関連するアプリケーションへのアクセスを維持すべきではない。同様に、従業員が退職する際はすぐにアクセスを停止すべきだ。これは、企業システムの悪用を防ぐためでもあり、攻撃者が利用する抜け穴をふさぐためでもある。

データ管理

　リード氏はデータ管理ポリシーを以下の4点に整理した。

• 必要なものだけを収集する
• 必要な期間だけ保管する
• 保管場所を暗号化する
• 他の場所に移動して使用される可能性を制限する

　不適切なデータ収集による不祥事が増えている。イリノイ州生体情報プライバシー法に基づく訴訟は増加傾向にあり（注2）、陪審員は先月、BNSF鉄道に対して、書面による許可なく収集された4万5600件の指紋スキャンについて2億2800万ドルの賠償を命じる判決を下した（注3）。

　ロリンズ氏は次のように忠告する。「データを持ち続けることは大きなリスクだ。データ保持の期限を過ぎたら、人事部、IT部門、セキュリティ部門は、シュレッダーやデジタル記憶装置からの完全消去など、個人情報の破棄を確実に行う必要がある」。

デバイス管理

　コロナ禍によって仕事とプライベートの境界線が曖昧になっているため、仕事で使用するデバイスに関して厳格なポリシーを採用するか、緩やかなポリシーを採用するかを迷う企業は少なくない。

　もし、企業のノートPCで個人的なメールをチェックしたら、フィッシング詐欺に遭ってしまうかもしれない。あるいは、個人のスマートフォンに企業のデータが保存されており、企業から提出を求められた場合、従業員は自分のスマートフォンを手放すことに同意するだろうか？

　「（ポリシーの採用には）人事部も巻き込む必要がある。情報セキュリティは企業を守るためのものだが、効率的な作業を妨げたり、企業が運営できなくなるようなやり方であってはならない」とロリンズ氏は述べる。

人事部もセキュリティ戦略に関与すべき？

　リード氏とロリンズ氏によれば、人事部はアクセス管理、データ管理、デバイス管理のポリシーを守るだけでなく「サイバーセキュリティ戦略においてさらに積極的な役割を果たすべきだ」という。

　その一例が、従業員情報を扱うサードパーティーソフトウェアの評価だ。そのソフトウェアが機能やセキュリティの要件を満たしていることを確認する必要がある。

　また、人事担当者をセキュリティ演習に参加させ、企業のネットワーク内にある従業員データの場所を特定したり、事故が発生した際に従業員と一貫したコミュニケーションが取れるようにすることも重要だ。

　ロリンズ氏は次のように述べる。「機密情報を保護し、伝達するためには、多くのトレーニングが必要だ。このトレーニングは、法務、IT、人事部門が協力して実施すべきだ。多要素認証やエンドポイント検出ツールをどれだけ導入しているかということではない。たった一人が間違ったリンクをクリックするだけで、ビジネスメールは危険にさらされるのだ」。

出典：HR data is sought after on the dark web. How can employers protect worker info？（HR Dive）

注1：‘All hands on deck’ for HR teams as Kronos outage drags on

注2：A new lawsuit ‘every single day’: Employers see legal action over use of biometric info

注3：First Ever BIPA Trial Results in $228 Million Judgment Against BNSF Railway