JPEN
アクセス
お問い合わせ
資料ダウンロード
  • Facebook
  • Twitter
  • Instagram
  • YouTube

狙われる人事情報。
個人情報の保護は充分ですか?

近年サイバー犯罪が増加傾向にありますが、その中でも人事部の扱うデータはサイバー犯罪者にとって非常に魅力的なもののひとつです。そこで今回は、個人情報を多く扱う人事部でどのようにデータを搾取される危険性があるのか、また対策のためにどのような取り組みが必要かを解説します。

目次

人事部が狙われる背景

近年サイバー犯罪者が人事部を標的にして、機密データを窃取する傾向が強まっています。人事部は取り扱う機密情報量が多いことから、攻撃者にとっては魅力的な標的となります。サイバー犯罪者が社会保障情報、生年月日、職歴、従業員や会社の銀行口座番号などにアクセスして甚大な被害を与え、多額の金銭的価値の情報搾取を図ります。

情報流出は常に進化する不正アクセスによるもの、また社員が個人情報に関わるうえで避けられないヒューマンエラーなどによって起こります。個人情報流出が企業に与える影響は大きく、流出してしまった場合、事業者は刑事罰、行政指導による業務停止処分、民事損害賠償責任、原因の調査・顧客対応にともなうコスト、顧客減少による業績の悪化、また流出したデータが犯罪に利用された場合の損失、社会的信用の低下など、これまで築いてきた信頼関係を壊すことなど企業価値の損失につながります。

これまで対策を行ってきたにもかかわらず、数多くの事業者が個人情報流出事件を発生させています。
大規模な流出の事例としては、顧客の氏名・住所や口座情報が約300万件流出してしまい、個人情報が不正利用されて直接的な金銭被害につながったというケースも過去に発生しています。

【図1】個人情報流出事例

人事部で扱う個人情報

例えば、採用業務では従業員を雇い入れる場合、履歴書や面接などで単に応募してきた人のスキルがわかればよいというものではなく、実際に雇用となれば昇進や給料の支払いのみならず、税金や社会保険の手続きも代行します。そのため、どのようなデータを扱っているかを幅広い範囲で知る必要があります。
人事部で取り扱うデータは、以下のようなものがあります。

■ 基本情報:氏名・生年月日・住所・電話番号・メールアドレス・顔写真
■ スキルに関わる情報:学歴・職務経歴・趣味・特技・保有資格・大学の成績や特定試験の点数
■ 勤務形態に関わる情報:家族の介護や本人の障害の有無・子育ての状況
■ 給与の支払いに関わる情報:婚姻の有無・扶養家族の有無・マイナンバー・基礎年金番号・住宅ローン・生命保険  等

人事部ではこのようなあらゆるデータを収集、管理、取り扱い、集計するなどをして、ほかの部署や外部等の第三者と共有することがありますが、利便性と効率性のために暗号化されなかったり、ルールを守られなかったりされ、データが漏洩リスクに晒されていることが多くあります。また、近年は人事システムによる大量データの処理、ERPでの他業務システムとの連携、クラウドサービスによるインターネット利用等により、流出した際の影響が大きくなる傾向があります。

人事部を標的とした攻撃手法

情報流出・漏洩を引き起こす原因として、「サイバー攻撃」「不正アクセス」「ウイルス感染」などが挙げられます。ネットワークを通じてパソコンのシステムを攻撃・破壊されたり、内部の情報が抜き取られたり、第三者が悪意をもって企業のサーバーやシステムにアクセスしたりして、情報が漏洩・流出するといった事件は少なくありません。外部からウイルス付きのメールが送信されたり、アクセスしたサイト上でウイルスに感染したりするなど、情報漏洩・流出だけでなくシステムダウンなどの被害が生じることもあります。

また、社内の人間がメールの送信先を間違えたり、誤って個人情報をウェブ上に掲載してしまったりするなど人為的なミス・誤送信で個人情報が流出・漏洩することがあります。加えて、従業員が個人情報の入ったパソコンやUSBなどを持ち出し、社外に置き忘れたり、紛失・盗難に遭ったりして、情報が流出してしまうケースも少なくありません。

例えば、サイバー犯罪者が求職者や現在の従業員になりすまし、添付ファイルをダウンロードさせるため、偽のメールを送信するケースがあります。人事部がマルウェアの入った添付ファイルをダウンロードすると、サイバー犯罪者はシステムを乗っ取り、特にログイン認証情報が保護されていない場合には、社内システムにアクセスすることができます。

【図2】情報セキュリティ 10 大脅威 2025 (「組織」向け脅威 )
https://www.ipa.go.jp/security/10threats/10threats2025.html

人事部での対応策

個人情報の漏洩には様々な要因がありますが、それらのリスクを完全に防ごうとすると逆に利便性が失われてしまい、そこにかかる運用コストが非常に高くなってしまいます。そのため、リスクを抑えつつ効率的に自社の人事データを管理・運用していくためには、自社の管理している人事データの内容を知り、リスクの状況を知る事が必要となります。

そのうえで、個人情報についての定期的な従業員への教育やデータの暗号化、日々の業務で従業員の機密情報にアクセスする必要がある人だけが、その情報を必要とするタスクでのみアクセスできるようにするようなシステムと業務の見直しなどの対策が必要です。

具体的には、ゼロトラストモデルの採用が効果的となります。従業員がアクセスするすべてのリソースに対して認証と権限付与を必須とし、ネットワーク内部であっても不正アクセスを防ぐための対策を講じるゼロトラストモデルを採用することで、内部からの脅威に対しても、より効果的に対処することが可能となります。

当社のセキュリティサービス

当社では、セキュリティリスク評価サービス、セキュリティ教育サービス、セキュリティ対策支援サービス等、セキュリティに関わるコンサルティングを行っております。
個人情報流出が企業に与える影響は大きく、社会的信用の低下など、これまで築いてきた信頼関係を壊すことにつながります。個人情報流出を防ぐため、働き方に合わせた施策の検討を進めていきませんか。

関連サービス

#デジタル化戦略・ITマネジメント
このソリューション関連の
お問い合わせ
ソリューションに関するオンライン相談ソリューションに関するオンライン相談 最新情報をお届け!メルマガ登録最新情報をお届け!メルマガ登録

この記事の執筆者

関連する最新ソリューション

最新ソリューション一覧

関連するコンサルティング事例

コンサルティング事例一覧

職種別ソリューション

最新ソリューション一覧

お仕事のご相談や、ご不明な点など、お気軽にお問い合わせください。
セミナー開催予定など最新ニュースをご希望の方はメルマガ登録をお願いいたします。

当サイトでは、お客様により良いサービスを提供するため、クッキーを利用しています。当サイトをご利用いただく際には、当社のクッキーの利用について同意いただいたものとみなします。当社の使用するクッキーや、クッキーの削除またはブロックの方法については、プライバシーポリシーをご確認ください。