SmartHR(東京都港区)は、報道関係者向け勉強会「クラウド型ソフトウェアの安全性とセキュリティ対策(個人情報の漏洩・流出を防ぐために、事業者と導入企業が取れる対策は?)」をオンラインで開催した。
人事情報をクラウドサービスで管理して活用する場面が増えている。個人情報などを取り扱う関係上もあり、情報漏えいなどのリスクに対し、クラウドサービスを開発・提供するITベンダー(開発会社)企業と共に、利用する一般事業者も共にその対策や責任を共有するべきと強調した。
企業各社では現在、従業員のマイナンバーカードや給与・住所などの労務情報のほか、人事評価や採用などの面で人事情報を蓄積して管理し、活用する際にクラウドサービスを利用している。
同社によると、最新技術を活用したテクノロジーサービスのHR(人材関連)Tech市場は、2023年度に2022年度比で137・7パーセントに伸長し、1000億円規模に成長しているという。
講師で、同社情報セキュリティ本部/セキュリティユニットチーフの中西瀬留氏は、「個人情報の漏えいや流出は、犯罪目的のリスト化や詐欺、なりすまし被害に発展しかねず、マイナンバーの変更手続きの手間も発生する。調査会社の調べでは、セキュリティー事故の原因の63パーセントは、クラウドサービスの設定ミスと指摘されている。故意のほかにも、過失では、設定ミスや操作ミスのリスクがある」と説明した。
その対策として、「アクセス制御の実装や設定、社内規程やルール、業務フローをつくる。組織体制の整備や、責任者を明確化させ、各自のITの力量を把握して従業員教育を実施すること」と強調した。その上で、「ただ、ITベンダー企業側も、提供するプロダクトサービスに関して、データの保護や通信の暗号化、不正アクセスやぜい弱性、なりすましメールの対策を施している。また、一方で利用する事業者側も、自社のセキュリティー要件を定義し、ツールを選ぶ際の選定基準を確認して、第三者評価機関の認証を受けたサービスを選ぶこと。社内で活用中は、セキュリティーシートを用いること。クラウドサービスは一概に情報漏えいリスクがあるとは言えない。適切な対策を実施して常に確認していれば、企業各社の業務をしっかりと支援する有用なツールとなっている」と説明した。
