SCIMプロビジョニングは、多くのクラウドサービスや
ITチームのリーダーは、セキュリティを重視する組織文化を推進するパートナーとして人事部門を頼りにしています。従業員の初日にデバイスの使用ポリシーを設定することから、セキュリティのトレーニングや意識向上を促進することまで、人事部門は ITポリシーの導入において重要な役割を担っています。
日々の役割において、人事部はそれ自体がセキュリティにとって重要です。従業員、請負業者、ベンダーなどの機密個人情報を扱うため、人事担当者はサイバー攻撃の標的になりやすいのです。
PIIデータは人事部にとって不可欠であり、サイバー犯罪者にとっては貴重である
従業員や請負業者の個人を特定できる情報(PII)は、最初に接触した時点から人事部の管轄となります。求職者が履歴書やLinkedInのプロフィールを採用担当者と共有するとき、彼らは最初の個人情報を共有したことになります。
人事部と共有される一般的な従業員の個人情報には、以下のようなものがあります:
- 社会保障番号 (マイナンバー)
- 運転免許証
- パスポート
- 納税者識別番号(TINs)
- 住所
- 個人的な財務情報(給与や持分など)、銀行口座、クレジットカード/デビットカード
- 医療記録
- メールアドレスと電話番号
- 保険情報
上記のPIIの価値はそれぞれ異なりますが、同じように、人事はそれを保護する責任があります。
人事部は、このようなあらゆるデータを収集、管理、取り扱い、集計し、人事部内で、時には組織内の他の部署で、また外部では徴税機関、福利厚生プロバイダー、人事コンサルタントや請負業者などの第三者と共有します。
人事部に対するサイバー脅威
人事部は、外部からの機密情報を処理する必要があります。 利便性と効率性のために、人事部はこの機密情報のやり取りを他の業務と同じように扱うことがよくあります。これが、人事部が組織のセキュリティ態勢において脆弱である理由の一つであり、サイバーセキュリティの防御が全体的なものでなければならない理由です。
危険なのはEメールやインスタントメッセージだけではありません。誤った使い方や必要以上に拡大された権限で使用された人事部のツールは、組織を高額な法的リスクや風評リスクにさらすことになりかねません。
人事ソフトウェアが従業員情報を漏洩する危険性
最新の人事ソフトウェアには、定型的なタスクや記録管理を自動化したり、より効率的に管理したりするさまざまなツールが含まれています。
人事ツールは、多くのシステムがサイバー犯罪者にとって魅力的な標的であることを含め、いくつかの理由で危険な場合があります:
- 大量の従業員データを処理
- 企業資源計画(ERP)ソフトウェアや銀行口座など、他の重要なシステムとの統合
- オンラインでアクセスできるため、サイバー攻撃を受けやすい
多くの人事ソフトウェアには、組織や業界の要件に応じて、以下のツールが含まれています。人事ソフトウェアが別々のツール間でデータを同期する場合、統合によって脆弱な情報システムを通じて安全なデータが公開される可能性があります。 人事ツールには以下のようなものがあります:
-
応募者追跡システム (ATS)
- ATSは、リクルートチームや拡大採用チームが新しい候補者のパイプラインを自動化し、効率的なスクリーニングとルーティングプロセスを確保するのに役立ちます。
-
応募者評価または人材管理ツール
- 多くの場合、ATSの機能であるこれらのツールは、デジタル評価、洞察、候補者との自動コミュニケーションを提供し、候補者を評価する時間とコストを節約します。
-
オンボーディングツールおよび学習・開発ソフトウェア
- 企業は、オンボーディングツールを使って、新入社員や契約社員に自社のビジネス慣行、戦略、方針を紹介します。これらのツールは、人事部の管理コストを削減し、新入社員が能力を発揮するまでの時間を短縮する、反復可能なプロセスを確立するための鍵となります。
-
従業員報酬ソフトウェア
- 報酬ソフトウェアは、給与管理プロセスの多くの部分を自動化します。給与計算と税務は複雑なコンプライアンス分野であり、ミスが目立ちます。テレワークの増加により、異なる税務管轄区域で従業員を雇用する企業が増えていることも、この複雑さに拍車をかけています。
これらのツールの多くは、データ補償の公平性も提供し、企業が機会均等雇用主であることを保証します。
-
福利厚生管理ソフトウェア
- これらのツールを通して、従業員は、健康保険、生命保険、健康貯蓄口座、退職金制度など、1つのプランに加入するか、別のプランに加入するかを問わず、保障オプションを選択することができます。
-
労働力管理ソフトウェア
- 人事部やマネージャーは、勤怠、タイムカード、カレンダーを追跡するために労働力管理ソフトウェアを使用しています。企業はこのソフトウェアによって、会社の方針や労働規則に沿った労働力の計画、報告、効率の改善を行います。
-
業績管理プラットフォーム
- 業績管理と企業文化のソフトウェアは、マネージャーとその部下とのコミュニケーションを橋渡しし、組織全体の評価を標準化します。
-
人事分析ソフトウェア
- 他の部門と同様に、人事分析およびレポート機能は、人事部が管理効率、生産性、従業員満足度を向上させる機会がどこにあるかを明らかにします。
安全でない文書の共有
W2、1099、その他の納税申告書や従業員記録には、個人を特定できる機密情報が満載です。多くの人事部や、福利厚生プロバイダーや国家機関などの外部パートナーは、Eメール、インスタントメッセージ、暗号化されていないファイル保管サービスなど、無防備な手段でこれらの文書を共有する習慣があります。
ハイブリッドな職場環境では、このような従来の記録共有方法は、ゼロトラストおよびゼロ知識セキュリティのベストプラクティスに違反します。
ソーシャルエンジニアリングとフィッシング攻撃
人事部は保護されていない通信を通じて機密文書を受け取ることに慣れているため、フィッシングやソーシャルエンジニアリングによるサイバー攻撃を受けやすくなっています。
サイバー犯罪者が求職者や現在の従業員になりすまし、添付ファイルをダウンロードさせた偽のメールを送信するケースがあります。人事部がマルウェアの入った添付ファイルをダウンロードすると、サイバー犯罪者はワークステーションを乗っ取り、特にログイン認証情報が保護されていない場合には、社内システムにアクセスすることができます。
サイバー犯罪者が最初の侵入を見逃した情報については、人気のある求人サイトに見せかけたウェブページの偽のセキュリティチェックでも、採用担当者のログイン情報が取得され、それが給与計算ソフトを狙うのに使われました。
悪徳業者はLinkedInのユーザーを標的に、求人のオファーや求職者からの問い合わせに応じて個人情報をフィッシングする詐欺メールを送信しています。
私物デバイスの不正使用
人事部が扱う機密情報は多岐にわたります。個人情報だけでなく、企業秘密、業務記録、守秘義務契約などもあります。人事部は、他の部署同様無許可の個人用デバイスで作業することもあるでしょう。しかし、IT部の承認なしにそうすることは、所有する情報の機密性が故にセキュリティを危険にさらすことになります。
セキュリティ基準を満たさない外部パートナー会社
人事部の請負業者やパートナ¥は、あなたの組織ほど安全な防御を有していないかもしれません。パスワードマネージャーを使用しておらず、ログイン情報を安全に共有する方法がない場合は特にそうです。
例えば、人事部が州の失業保険事務所のような政府機関と連携する場合、人事部全体が1つのアカウントで対応しなければならないことがよくあります。このような種類のログイン認証情報を共有する安全な手段がなければ、人事チームは現在および過去の従業員の個人情報を危険にさらすことになります。
中小企業(SMB)は特に情報漏洩の被害を受けます。中小企業の60%が侵害を受けてから6カ月以内に倒産しているのは、リソースと準備不足が原因です。
人事部へのセキュリティトレーニング不足
人事はIT部門と緊密な協力関係にあるにもかかわらず、組織の他の部分と同様に、セキュリティ衛生の不備に対して脆弱です。
Keeperの2022年サイバーセキュリティ国勢調査によると、ITリーダーの54%がセキュリティ意識向上トレーニングへの投資を優先し、50%がコンプライアンス文化を促進するプロジェクトへの投資を検討していると回答しています。人事部門が組織の人材を管理し、組織全体のトレーニングでリーダーシップを発揮する責任を考えると、彼らが優れたセキュリティ慣行を順守することは極めて重要です。
個人情報保護規制と従業員の個人情報
また、人事テクノロジーとセキュリティ衛生の不備という課題は、プライバシー侵害に対する高額な罰則、罰金、訴訟に組織を巻き込む可能性もあります。
消費者情報について定められたプライバシーガイドラインは、従業員データも含みます。 欧州連合では、そして現在カリフォルニア州では、消費者情報は人事データを含むと定義されています。
組織がこれらの個人情報保護法に違反した場合、民事罰の対象となります。カリフォルニア州では、企業は違反1件につき2,500ドル、通告後の故意の違反1件につき7,500ドルの民事罰に直面します。
個人情報保護法を遵守しなかった場合の罰則や罰金に加え、PIIが漏洩した場合、従業員が個人情報窃盗のリスクにさらされる可能性が高まるため、組織は過失責任を負う可能性があります。2019年、ペンシルベニア州最高裁判所は、6万人以上の従業員の人事データが流出した情報漏洩について、ピッツバーグ大学医療センターの責任を認めました。この訴訟では、適切なファイアウォール、データの暗号化、認証があれば流出を防ぐことができたと主張しています。
PIIやその他の機密人事データの保護への投資は、重い罰則や罰金、訴訟の支払いから企業を守ります。また、企業の最も重要な資産であるブランド・エクイティ(社会的認知)の価値も保護します。
Keeper Securityが人事部従業員と組織のデータを保護する方法
IT部門がコンプライアンスやセキュリティ意識の強化を人事部門に期待することが多いように、人事部も外部パートナーを適切に審査し、機密データを管理するためにIT部門のサポートを必要としています。
人事部は、パスワード、秘密情報、資格情報の保護において、重要な模範を示す必要があります。これは、人事部がIT部門と協力して、サイバー攻撃から従業員の情報を保護するためにKeeper Securityを利用する多くの理由の一つです。Keeper Password Managerは、人事ソフトウェアへのログイン認証情報を保護し、従業員の個人情報を保護し、企業の責任と評判を保護します。
エンタープライズパスワード管理(EPM)はIT管理者に一元化された可視性、セキュリティ、コントロールを提供する。ITチームによって設定された役割ベースのアクセス制御ポリシーは、従業員が業務を遂行するために必要な最小限の権限にアクセスを制限することができます。管理者はまた、プラットフォームの制限やIPリストなどの実施ポリシーを設定し、選ばれた担当者だけが人事ツールにアクセスできるようにすることもできます。
そして、Keeperを通じたユーザーの退会とアカウント移行ポリシーにより、ITチームと人事チームは同様に、オフボーディングプロセスの一部を自動化し、不満を持つ元従業員が重要な情報にアクセスすることを防ぐことができます。
人事部の情報保存と共有
ログイン認証情報の保護とアクセス権限の委譲に加え、Keeperの強力で安全なファイルストレージおよびワンタイムシェア機能は人事チームの間で人気があります。
- 安全なファイルストレージは、アップロードされたファイルをすべて個別に暗号化し、知識ゼロの暗号化方式で、ユーザーだけが保存ファイルにアクセスし、復号化できるようにします。人事マネージャーは、ファイルを保管庫にドラッグ&ドロップするだけで、税務書類や従業員記録などの保存ファイルが個別に暗号化されます。
- ワンタイムシェアを使用すると、人事チームは機密文書を時間制限付きで安全に送信できます。特に、大量の個人データを含むファイルを送信する場合に便利です。
- 多くの監査、コンプライアンスレポート、その他のデータファイルは、全従業員の社会保障番号や誕生日などの機密情報を必要とします。このような場合、ワンタイムシェアを使用することで、人事部はこのような必要な情報を第三者と安全に共有することができます。
- ワンタイムシェアは、人事部とプライベートファイルを共有する必要のある従業員にも人気がある。多くの従業員は、社会保障カードのコピーを個人のデバイスで、Eメールやインスタントメッセージで送信することに抵抗があるのは当然です。
まとめ:Keeperで人事部と従業員データを保護する
従業員は、自分の個人データが雇用主のもとで安全かつ秘密に保たれることを期待しています。
IT部門と協力することで、人事部は従業員や組織のデータを適切に保護することができ、情報漏洩やそれに伴うビジネス、法律、風評被害から組織を守ることができます。
Keeperは、人事部だけでなく、組織全体の各部門が、あらゆるアプリケーションとデバイス上のすべてのユーザーを保護するために、個人情報とアクセス管理ソリューションのフルレンジを持っていることを保証します。納税のために給与情報を政府機関に安全に送信する場合でも、従業員データを処理する重要な人事ソフトウェアに二要素認証(2FA)を適用する場合でも、Keeperは人事部(およびITチーム)にサイバー脅威を軽減するセキュリティを提供します。
Keeperの導入はとても簡単です。当社のサイバーセキュリティエキスパートにご相談ください。
特に企業様ではKeeperPAM™が非常に役立ちます。
KeeperPAM™は、エンタープライズパスワード管理(EPM)、Keeper シークレットマネージャー(KSM)、そしてKeeper コネクションマネージャー(KCM)という3つの強力なセキュリティソリューションを一つの統合プラットフォームにまとめたものです。このプラットフォームを活用することで、組織はパスワード、機密情報、リモート接続のセキュリティを効果的に強化することが可能になります。
無料版お試し版を配布しているので、まずは無料体験版をリクエストしてお試しください。