人材業界の情報管理における課題とは?情報漏洩の事例や対策も併せて解説

2023/12/06

main.jpg

人材業界のようにたくさんの個人情報を取り扱うビジネスは、情報漏洩などのリスクと隣り合わせといっても過言ではありません。人材業界でビジネスを成功させるためには、自社に起こりうるリスクを把握したうえで、適切な情報管理の仕組みを整備していくことが大切です。

この記事では、人材業界の情報管理における課題と実際に発生した情報漏洩の事例、情報管理の質を高める対策について詳しく解説します。

社会的信用の土台となる「情報管理」について詳しく知りたい方は、ぜひ参考にしてください。


 

■人材業界は情報管理が命

sub1.jpg

人材業界は、おもに以下4つのビジネスを行なう企業で構成されています。

● 人材紹介
● 人材派遣
● 人材コンサルティング
● 求人広告

求職者が各種サービスを使って就職・転職活動を行なう場合、個人情報の登録が求められます。また、求人の広告などを出す企業側も、ヒアリングを通じて自社の基本情報や募集内容を提供するのが一般的です。

そのため、人材業界で各種サービスを運営する企業は、個人・企業から収集した情報の取り扱いに注意しなければなりません。

情報の管理・共有などが適切に行なえていないと露見した場合は、社会的信用の低下や業務停止による機会損失などにつながりやすくなります。


 

■人材業界の情報管理における課題とは?

sub2.jpg

人材業界の情報管理には、以下のような課題があります。


◇個人情報の漏洩

人材業界は求職者と企業から集めた膨大な情報を取り扱うため、情報にアクセスできるスタッフの数も多くなります。取り扱う情報とそれにかかわるスタッフが増えることで起こりやすくなるのが、情報漏洩のトラブルです。

実際に、人材業界の企業が数万人もの個人情報を漏洩させたケースが、新聞・ニュースで取り上げられたこともあります。このようなトラブルを起こした場合、企業の信用は失墜し、損害賠償の問題に発展することもあるでしょう。
 

◇情報共有の不足

膨大な情報を取り扱う人材業界ではチームで作業を分担することが多いため、情報共有の不足からくる進行の停滞やサービスの低下などが問題になりがちです。

例えば、求人広告代理店において、企業からヒアリングをする者と、ヒアリング内容をもとに求人広告を作成する者で作業を分担している場合があります。

しかし、担当者のチームが分かれたり、担当者の誰かが社外にいたりすると、ヒアリングした内容などの情報共有がリアルタイムでできないこともあるでしょう。
 

◇リモートワークへの対応

近年では、働き方改革やコロナショックの影響から、リモートワークを導入する企業が増えています。そのため、情報共有の面で在宅勤務がしづらいとされる人材業界でも、顧客対応のオンライン化などが求められるようになりました。

ただし、人材業界でリモートワークを導入する場合、業務効率やセキュリティに関するトラブルが起きないよう、情報共有の方法を見直すことが必要です。

■人材業界で発生した情報漏洩の事例

人材業界で発生した情報漏洩の事例として、以下の4件を紹介します。
 

◇事例1:個人情報の誤送信

人材紹介事業などを行なう企業の社員が、外部委託先の企業に、約3万7,000件の個人情報をメール添付で誤送信してしまった事例です。

おもな原因は社員のヒューマンエラーですが、個人情報が多く含まれているファイルの暗号化をしていなかったことなども問題視されました。

漏洩元となった企業は、すぐに個人情報が漏洩した経緯の説明と謝罪を行ない、迅速な再発防止策の実施に努めました。情報漏洩を起こしたこと自体は大きな問題ですが、すばやい対応については、メディアなどからある程度評価されています。
 

◇事例2:個人情報の不正持ち出し

次の事例は、人材会社の元従業員が、個人的な目的で約1万5,000件の個人情報を不正に持ち出したというものです。

元従業員は、社内パソコンに入っている個人情報を、メールで私物パソコンに送信したり、印刷したりして社外に持ち出していました。

この不正持ち出しは、サービス登録者からの問い合わせにより発覚しました。人材業界の場合、収集した情報はおもに求職者と求人企業のマッチングに使われるため、登録者からの問い合わせで発覚するケースが多い傾向にあります。

この企業では、元従業員の同意を得て私物パソコンを預かり、持ち出したデータを消去する対応をとっています。
 

◇事例3:個人情報の漏洩+対応の遅延

サイバー攻撃によって約3万件もの個人情報を漏洩させたにもかかわらず、その問題を1ヵ月以上も公表しなかった事例もあります。

この事例では、同社公式ホームページの「お仕事情報」や「お知らせ」の情報が書き換えられるだけでなく、漏洩した個人情報がインターネット上の掲示板に転載された疑いもありました。

しかし、この企業はサイバー攻撃による情報漏洩の発覚から1ヵ月以上経っても、漏洩した可能性の高い登録者への連絡や、個人情報が転載された掲示板の削除要請を行なっていませんでした。

個人情報が漏洩した際には、被害者への通知や個人情報保護委員会への報告が義務付けられています。対応が不適切な場合は、法令違反として行政上の指導や処分を受ける可能性もあるので注意が必要です。
 

◇事例4:不正アクセス

この事例では、人材派遣会社のサーバーに悪意のある第三者が不正アクセスをしたことで、結果的に登録者の個人情報が不正取得・不正利用されてしまいました。

不正アクセスにより氏名・住所・電話番号・メールアドレスなどの個人情報が流出したことや、第三者が個人情報の流出対象者に不審なメールを送信したことがわかっています。

この人材派遣会社は事実確認を進めるとともに、流出対象者への緊急案内メールの送信やサーバーの遮断、個人情報保護委員会への報告といったさまざまな対応に追われることになりました。


 

■情報管理の質を高める対策

sub3.jpg

人材業界の企業が個人情報などを取り扱ううえで、情報漏洩への対策は必須です。情報管理の質を向上させるためには、以下のような対策を講じる必要があります。
 

◇アクセス権の設定

アクセス権を設定し、情報にアクセスできる人を限定することは、情報漏洩の対策として有効です。そうすることで、悪意あるスタッフによる不正持ち出しや、システムに不慣れなスタッフのヒューマンエラーなどを防ぎやすくなります。

アクセス権は、従業員の作業範囲やスキルによってレベル分けするのがよいでしょう。例えば、求人広告を作成する目的だけで個人情報を閲覧する従業員には、作業に関係ないページへのアクセス権を付与しないといった具合です。
 

◇情報管理のガイドラインを制定する

人材業界ではオペレーションの性質上、個人や企業に関する情報の取得・送信などを求められることがよくあります。

こうしたオペレーションのなかで情報漏洩のリスクを軽減するためには、個人情報の取り扱いや情報・機器持ち出しについてのガイドラインを制定することが大切です。

ガイドラインのなかで、万が一情報漏洩が起きてしまったときの対応手順なども明確に決めておくと、対応の遅れなどを防ぎやすくなります。
 

◇セキュリティソフトを導入する

業務用のパソコンやサーバーにセキュリティソフトを導入すれば、不正アクセスやウイルス攻撃を防止することが可能です。

ただし、セキュリティソフトは定期的なアップデートをしないと、新しく発見された脆弱性などに対応できない場合があります。特に、セキュリティソフトを導入するパソコンやサーバーの数が多い場合は、専任の担当者を置いておくと安心です。
 

◇セキュリティ教育を実施する

企業側でいくらアクセス権の設定やガイドラインの作成を行なっても、実際に個人情報などを取り扱うスタッフの意識が低ければ、情報漏洩のリスクを下げることはできません。

各スタッフが適切な方法で情報を取り扱えるようにするためには、以下のことを伝える研修を定期的に実施していく必要があります。

● 情報セキュリティの重要性
● テレワークでのセキュリティ対策
● 情報漏洩によって起こる影響 など

研修を繰り返し実施することで、スタッフは情報漏洩の危険性を理解し、日々の業務に活かせるようになっていきます。
 

◇グループウェアを活用する

グループウェアを活用することも、情報管理の質を高める手段の一つです。グループウェアとは、組織内のコミュニケーションを活性化させ、業務の効率化につなげるツールのことです。
 

グループウェアを導入し、以下のような機能を活用することで、社内での情報共有がしやすくなります。

● ビジネスチャット
● カレンダー共有機能
● ドキュメント作成・共有機能 など
 

◇CRMを導入する

近年では、市場の変化や情報管理の効率化に対応するため、各業界でCRMが導入されるようになりました。CRMとは、顧客情報を一元管理することで、顧客との関係を維持・向上させるシステムの総称です。
 

CRMには、おもに以下の機能があります。

● 顧客情報の管理
● 顧客分析
● マーケティング支援
● プロモーション管理 など

CRMを導入すると、顧客情報の可視化や、情報分析に基づく戦略的な営業活動が可能になります。

一方で、CRMシステムを導入・運用して効果を実感するまでには、ある程度の時間とコストがかかる点がデメリットです。


 

■GMOトラスト・ログインで高品質・効率的な情報管理を

すぐに導入できる情報管理の方法を探している方には、クラウド上で提供されるIDaaSのサービス「GMOトラスト・ログイン」がおすすめです。

「GMOトラスト・ログイン」は、SSL認証局として20年以上の実績があるGMOグローバルサインが提供し、情報セキュリティ管理のISOも取得しています。

1つのID/パスワードで複数のシステムにログインできる「シングルサインオン」に対応しているため、利便性を保ちながらセキュリティリスクを削減できています。また、従業員のID/パスワードを一元管理できるので、業務の効率化を図ることも可能です。
 

基本料金は0円であることから、低予算・高機能のサービスを求める企業様にも大変おすすめです。

「GMOトラスト・ログインを使ってみたい」「GMOトラスト・ログインの詳細に興味がある」という方は、以下のページから詳しい情報を確認してみてください。
 

GMOトラスト・ログインの公式ホームページはこちら

 

■まとめ

人材業界には、求職者や企業から多くの情報を集めたり、外部送信したりするオペレーションが多いことから、情報漏洩などの問題が起こりやすくなっています。

近年はリモートワークを導入する企業も増えているため、新たな情報共有・管理方法の導入やルールづくりなども求められています。

こうしたなかで人材業界の企業様が高品質・効率的な情報管理を行なう際には、クラウド型のID管理サービス「GMOトラスト・ログイン」の導入がおすすめです。「GMOトラスト・ログイン」に興味をお持ちの方は、以下のページからぜひお問い合わせください。

GMOトラスト・ログインの公式ホームページはこちら
 

 

この記事を書いた人

satoshi_mori.png

GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史

国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。