社員が退職する際、会社内のアカウントの引き継ぎはスム
従業員データの漏洩で組織が責任を問われるケースが増えています。しかし、雇用主は、漏洩の可能性と影響を軽減するための措置を講じることができます。
電子給与・福利厚生システムを使用しているあらゆる組織が、機微性の高い従業員データを保存、処理しており、これは現在稼働しているほぼすべての組織に該当します。従業員データを漏洩させるサイバー攻撃には、法的責任、事業の中断、風評被害などに関する多くのリスクがあります。
雇用主の責任とは?
雇用主の責任とは、法令を遵守する組織の法的責任です。
雇用主の責任は、通常、賃金、給与税、ハラスメント、差別などの問題に適用されています。
例えば、従業員は、組織が危険な職場環境や敵対的な職場環境を助長している場合、雇用主を訴える可能性があります。裁判所が従業員に有利な判決を下した場合、会社は損害賠償金を支払わなければならないでしょう。
個人情報の漏洩後、企業とその社員に対する責任
個人情報漏洩後、もちろん企業は責任を全うする必要がありますが、日本では、社員に対する責任も求められる可能性があります。
そこで、情報漏洩後のそれぞれの責任について解説します。
企業の法的責任
日本の個人情報保護法は、個人情報を取り扱う事業者に対して適切な安全管理措置を講じることを義務付けています。この法律に違反し、個人情報が漏洩した場合、企業は法的な責任を問われる可能性が高くなります。法的責任としては、監督官庁への報告義務違反、被害者への損害賠償責任、さらには個人情報の不適切な取り扱いによる刑事罰の適用も考えられます。
社員の法的責任
個人情報の漏洩が社員の過失や故意による場合、その社員は個人としての責任を負うことになります。この責任は、民事上の損害賠償責任や、場合によっては刑事責任に発展することもあります。たとえば、社員が個人情報を不適切に取り扱い、それが第三者による不正アクセスや情報漏洩の原因となった場合、被害者や企業から損害賠償を請求される可能性があります。また、故意に個人情報を外部に漏洩させた場合、刑事罰の対象となる可能性もあります。
サイバーセキュリティに対する雇用主の責任とは?
サイバーセキュリティに関して言えば、雇用者の責任は、従業員の個人識別情報 (PII) を保護することを組織に義務付けるものです。PIIの具体的な内容は、管轄区域ごとに異なります。一般的に、従業員のPIIは人事および会計チームが管理するデータと考えるのが有益です。
一般的な従業員の PII の種類には、以下のようなものが含まれます。
● 社会保障番号 (SSN)
● 運転免許証
● パスポート
● 納税者番号 (TIN)
● 自宅住所
● 個人の財務情報(給与や株式など)、銀行口座、クレジット/デビットカード
● 医療記録
● メールアドレスと電話番号
拡大する雇用主の責任範囲
従業員のPIIとして認定されるものの多くは、顧客のPIIと同じです。 つい最近まで、情報漏洩の後に組織に対して起こされる訴訟の多くは、顧客データの開示を中心としていました。
しかし、雇用主の過失、契約違反、従業員に対する不公正な商慣行を主張する集団訴訟は、裁判所の間で支持を集めており、雇用主を窮地に追い込んでいます。2018年11月にペンシルベニア州最高裁判所が、雇用主には従業員の PII を保護する慣習法上の義務があるとの判決を下して以来、連邦、州、地方レベルの裁判所もこれに追随しています。
重要なのは、従業員データの漏洩があった場合に責任を負うのは雇用主であって、第三者プロバイダーではないということです。
バイオ医薬品企業の元従業員によって提起された訴訟において、米国第3巡回区控訴裁判所は、情報漏洩が潜在的な損害をもたらすだけで、雇用主は責任を問われると結論付けました。バイオ医薬品企業の給与計算ソフトウェアが情報漏洩を起こした際、従業員データがダークウェブに公開された責任は、ソフトウェア企業ではなく、雇用主にありました。
従業員データのプライバシー
カリフォルニア消費者プライバシー法 (CCPA) や欧州連合の一般データ保護規則 (GDPR) などの標準に準拠したデータプライバシー規制には、雇用主に対して顧客データと同様に従業員データのプライバシーを厳重に保護するよう求める規定もあります。
GDPR の下では、組織は従業員データの収集、保存、使用について自主的かつ明確な同意を得る必要があります。例えば、人事データがどのように使用されるかを概説する必要があります。
サイバー攻撃後の雇用主の責任とは?
米国最大の医療システムである CommonSpirit Health は、2022年10月にランサムウェア攻撃を受け、623,000 人以上に影響を与えました。この病院チェーンは、電子時間管理システムや給与計算システムを含む IT 環境へのさらなる被害を食い止めるために、影響を受けたシステムをシャットダウンしました。この混乱で、同社は1億5,000万ドルの収益を失いました。
同社が最終的にシステムのサービスを復旧させた後、オレゴン州にある同社のいくつかの事業所では、攻撃後の給与期間に賃金が不足していると、看護師が報告しました。 現在進行中の訴訟で、オレゴン州にある同社のいくつかの事業所で働く従業員を代表する組合は、600人以上の従業員のために、未払い賃金、遅延損害金、その他被害に関する150万ドルの損害賠償を求めています。
この訴訟が未払賃金の救済を求めるものであるのに対し、他の従業員訴訟は、攻撃によってデータが漏洩した従業員に対して、個人情報窃盗のリスクの高まりや発生に関連する損害賠償を求めています。
サイバー攻撃後に雇用主の責任を主張した最近の訴訟には、以下のようなものがあります。
● 5 人 の男性 — 求職者の社会保障番号と運転免許証の開示
● サンフランシスコ 49ers – 従業員の名前、生年月日、社会保障番号の盗難
● マクミラン — ランサムウェア攻撃により、従業員データがダークウェブに公開され、個人情報の盗難が発生しました
サイバー攻撃によるビジネスへの影響
CommonSpirit の漏洩と同様に、サイバー攻撃はさまざまな分野で企業に影響を与えます。
- 法的責任 — 従業員のデータ漏洩が発生した場合、企業は損害賠償責任を負う可能性があります。これらの損害には、クレジットカードまたはデビットカードの交換費用、監視報告書の費用、あるいは個人情報盗難のリスクによる精神的苦痛に関連するその他の費用などの問題が含まれる可能性があります。
- 規制上の罰則 — 企業は、漏洩、または影響を受ける当事者への漏洩の開示の不履行に対して、罰金を含む規制上の罰則を受ける可能性があります。
- 風評被害の影響 — 風評被害は、顧客の信頼と業績を大きく揺るがす可能性があります。 将来の従業員候補を含め、公共イメージが損なわれると、長期的なビジネスの健全性が危うくなる可能性があります。
- IT システムの停止、復旧、オーバーホール — FBI の助言を受けながらも、組織は身代金を支払って環境へのアクセスを復旧させることを選択する場合があります。いずれにせよ、漏洩によるフォレンジックおよび復旧コストの一部として、企業は従業員やその他の機微データを処理する IT システムを変更、交換、更新する必要がある可能性が高くなります。
サイバー攻撃が発生した場合に雇用主の責任を軽減する方法
雇用主の責任とプライバシー規制への準拠は、すでに高額となっているサイバー攻撃への対応費用に、さらに高いリスクとコストを付加します。
Keeper の 2022 年米国サイバーセキュリティ国勢調査によると、平均的な米国企業は毎年約3件のサイバー攻撃を受けています。平均コストは 75,000ドルを超え、37%の組織がサイバー攻撃1回につき10万ドル以上支払っています。 中小企業にとって、そのコストは壊滅的なものになりかねません。
雇用主は、従業員データへのサイバー攻撃による責任を軽減するために、以下のことを確認することができます。
- サイバーセキュリティ意識向上トレーニング — 従業員が不審なリンクや添付ファイルを識別できれば、雇用主をトラブルから守ることができます。フィッシングやランサムウェアの一般的な兆候に関する従業員教育は、従業員や組織を攻撃の被害から守ります。
- 従業員のプライバシーポリシー — 地域によっては、従業員データのプライバシーポリシーが法律で義務付けられている場合があります。従業員データのプライバシーポリシーは、従業員データがどのように収集、保存、使用されるかを説明するものです。
- 強力なパスワードの設定 — 情報漏洩の80%以上は、パスワードの脆弱性、盗難、再利用に起因します。強力でランダムなパスワードを作成し、保存する方法があれば、従業員は情報漏洩の最も一般的な原因を防ぐことができます。
- 特権管理 — 特権管理ソリューションにより、組織は重要なアカウントの使用状況を制御および監視し、機密情報への不正アクセスのリスクを抑えることができます。
- ベンダーのセキュリティ — ベンダーがデータ漏洩を起こした場合、第三者ではなく雇用主が情報漏洩の責任を負うことに注意が重要です。ベンダーの安全性を確保することは、強力なIT環境を構築する上で極めて重要です。
- インシデント対応計画 — インシデント対応計画は、システムフォレンジック、データ復旧、戦略的コミュニケーションなどの重要な活動の所有権を割り当て、雇用主に対する漏洩の責任と全体的な影響を軽減する必要があります。
- サイバー保険 — サイバー保険は、漏洩の影響を軽減し、企業がリスクを軽減し、対応コストをカバーするのを助けます。 IT成熟度が低く、漏洩のリスクが高い組織のために、多くのサイバー保険契約は、セキュリティ慣行と従業員トレーニングプログラムを改善するための即応性評価を提供しています。
まとめ:雇用主の責任を特権アクセス管理しましょう
雇用主は、重要な企業のアカウントや情報へのアクセスを管理、監視することで、責任やリスクを軽減することができます。
KeeperPAM™(特権アクセスマネージャー)は、エンタープライズパスワード管理(EPM)、Keeper Secrets Manager(KSM)、そしてKeeper Connection Manager(KCM)という3つの強力なセキュリティソリューションを一つの統合プラットフォームにまとめたものです。このプラットフォームを活用することで、組織はパスワード、機密情報、リモート接続のセキュリティを効果的に強化することが可能になります。
こうすることで、組織がコスト効率良く攻撃対象領域を削減し、従業員とデバイスを保護することを可能にします。