最後の落とし穴、人材採用という名のセキュリティホール：民事上の損害賠償リスク――1件140万円の高額賠償の可能性（4/5 ページ）

[ITmedia]

採用業務に求められるセキュリティ上の対策ポイント

　前述のような採用業務フローに存在するセキュリティホールについて、採用現場に求められる対策とはどのようなものか。原則は、個人情報保護法の該当企業であるなしにかかわらず、個人の情報は適切な管理の下に置き、本人の要求によって閲覧や返却が可能な仕組みを整備することが望ましい。

　以下、現状で考え得る採用業務フローにおけるセキュリティ上の対応策を見てみよう。

1.個人情報取扱方針（プライバシー・ポリシー等）を策定し告知する

　結局のところ、採用情報は他の個人情報や企業の機密情報と変わりがない。しかも応募者の情報をそのまま蓄積することは、漏えいの危険性を増大させ、万一、漏えいした場合は損害賠償請求などのリスクがつきまとう。企業としては、利用目的や第三者提供する場合などの情報の取扱方法等、方針を作成し公表することが望ましい。募集に当たってはその採用セキュリティポリシーを自社サイトなどで告知することが肝要である。

2.セキュリティを考慮したマニュアルを準備する

　企業としての採用セキュリティポリシーが定まったら、担当者を設置しマニュアルの整備を進めたい。通常のマニュアルに定められる、一般的な採用業務（受付情報を記すシートを作成したり、各種記入書類のためのテンプレートを用意したりといった）手順や記載方法だけでなく、セキュリティの観点からの運用を定めることが重要である。

　例えば、応募者から受け付けた情報は誰がどのように扱うのか、選考過程における応募者情報の受け渡し方法はどうするのか、不採用となった応募者の情報はどうするのか。また、実際の業務が手順通りになされているかを監視するための仕組みも盛り込んでおかなければならない。

3.安全な応募者情報収集経路を確立する

　募集方法については、Webエントリーが主流となるだろう。Webエントリーの方法としては、求人サイトを利用する企業も多いし、自社サイトで積極的に応募を募る企業も増えてきている。しかし一方で、紙媒体による募集が全くなくなってしまうことは考えにくく、人材紹介会社などのアウトソースもますます活用されるようになってきている。このように応募者情報の流入経路が多岐にわたる場合でも、安全に受け取る仕組みを整備しなくてはならない。

　求人サイトは当然SSL対応したサービスを利用したい。また、自社サイト内にWebエントリー機能を設ける場合には、そのページにもSSL対応を施すことは必須である。

　もし、自社サイト内で応募者からメール添付による履歴書送付を促している場合は、早急に見直しをしたい。応募者が履歴書を送付する際に、添付ファイルに保護をかけたりメール自体を暗号化したりすれば情報は保護できるが、応募者にその管理を委ねるのはリスクを伴う。これは人材紹介会社との情報のやり取りの際にも当てはまるので注意が必要だ。

4.さまざまな流入経路の応募者情報を一元管理

　上記のようにさまざまな流入経路で集めた応募者情報に関しては、データの統合をどのようにしておこなうか、事前に検討しておかなければならない。

　当然、一元的に管理する事が望ましいが、元々データとして受け取るものと、紙として受け取るものでは扱いを分けて管理しなくてはならない。データに関しては、社内で統一されたデータベースに保管し、紙の情報に関しては、こうしたデータベースに情報入力をした上で、原本の保管も一元的に行う必要がある。

　また、データベースはダウンロードやデータ入力などの漏えいの危険が生じる作業は極力排除したほうがいいだろう。やむを得ず行う場合は、暗号化など十分な対策を講じておく必要がある。対応可能な部分はできるだけシステム化して人手の介入を避けるのもセキュリティ上は有効だ。

5.ユーザーレベルに応じたデータベースアクセス制限

　応募者情報を蓄積したデータベースは、当然、アクセス制限を施さなければならない。IDやパスワードの共有は絶対禁止し、利用者の人数分だけ異なるID、パスワードを用意し、配布する。パスワードの定期的な更新を促すことも必要だ。

　さらに、ユーザーのレベルに応じてアクセスできる情報やその情報の処理方法を制限すべきだろう。例えば、詳細な情報を閲覧する権限は選考官、面接官だけに付与するといった制限は不可欠のものである。情報がより詳細であれば漏えいしたときのリスクも当然高まってしまう。

　また、上位のユーザーは印刷ができるが、下位のユーザーは参照のみ、といった制限も考えられる。すでに述べたように、応募者情報の印刷やコピーは情報の流出ルートを拡大し、漏えいの危険性を高めるので、極力減らすことが必要である。だが、現実になくすというわけにはいかないので、少なくとも印刷による複製物の数を管理するといった"制限"が必要になる。

　さらにいえば、この印刷物（つまりは紙ベースの個人情報）を渡すのであれば、まずは履歴を取り、必ず返却してもらう（あるいは破棄したことを確認する）といった運用面のルールを設けたい。

6.データベースのログ管理

　アクセス制限が施されたデータベースは、さらにログ管理も行うべきである。万一、個人情報が漏えいしてしまった際に企業が問われるのは説明責任である。誰がいつ、どのような情報にアクセスしたのか、どのような処理を行ったのか、というログがなければ、漏えい経緯をきちんと説明することができない。その際には企業はより大きな負担を強いられることになるだろう。

　以上、採用業務に求められるセキュリティの対策ポイントについて述べたが、その影響範囲が広いということだけでなく、運用も非常に煩雑になることを理解していただけたのではないだろうか。人事部門にかかる業務負担の増大は免れない。最近はこうした状況から、求人採用業務を一括して行うASPサービスも各種登場しており、信頼できるサービスであればむしろセキュリティ上は安心できる。

　ASPサービスの有用性については、次ページでさらに詳しく述べることにする。