■SaaSとは何か?SaaSの特徴とは?
■なぜSaaSによる情報漏えいが起こったのか?
■個人情報保護法の目的と背景
■人事が抑えておくべきポイントとは
■ITリテラシーを高めるために大切なことは「1度立ち止まって考える」
SaaSでなぜ情報漏えいが起こるのか
2010年代頃からよく使われるようになったインターネット用語「SaaS(サース)」。
SaaSとは「Software as a Service(サービスとしてのソフトウェア)」の頭文字を取って生まれた略語である。それまでパッケージ製品として販売されていたソフトウェアがクラウド上で提供されることで、クライアント側が必要とする機能や分量だけを選択して利用できる形態のことを指し、従前とは異なった新たなサービスの提供形態として注目を浴びた。
SaaSの特徴としては、以下のようなものがあげられる。
・データをインターネット上に保存できる。
・パソコンやモバイルデバイスなど端末を選ばすにデータにアクセスできる。
・複数の人間が同じデータを共有・編集できる。
DXの進展やクラウド環境の整備に伴い、業務のデジタル化がますます浸透する中、人事分野においてもSaaSを活用するケースが増加している。
しかし、SaaSは1つ間違えば顧客や採用候補者、従業員などの個人情報が外部に漏えいする危険もはらんでいる。
そもそもなぜクラウド環境から情報が漏れてしまうのだろうか。
大きな原因の1つとして問題視されているのは、SaaSの設定ミスによる情報漏えいだ。
たとえば、プロジェクト管理ツールにおいて、管理していた採用面接対象学生の個人情報流出が発覚するという事件があった。これは採用担当者が情報公開範囲の設定をミスしたことによって、学生の個人情報がインターネット上で誰でも閲覧可能になっていたことが原因で起こったものである。
このような情報漏えいを受けて、SaaSの利用取りやめを検討する企業もあるかもしれないが、DXや業務の効率化を目指す中で、外部のサービスをまったく利用しないという判断は現実的ではないだろう。
では、どのようにすれば情報漏えいにつながるミスを防ぎ、採用候補者や従業員の個人情報を守りながら管理を行うことができるのだろうか。
そこで本稿では、個人情報保護法についての目的や背景、そして人事が気を付けるポイントについて解説をしていこう。
個人情報保護法の目的と背景
いうまでもなく、現代社会における情報は重要な資源としての意味を持つ。
情報を得ることが大きなビジネスチャンスにつながると考え、多くの企業が個人情報の獲得を目指してさまざまな活動を行っている。
しかし、こうした動きが社会に広がる中で、先述したような個人情報の漏えいなど情報管理に関する問題や事故が頻発しているのも事実だ。
企業としても、個人情報が外部に流出することで多大な損害を被る可能性がある。
こうした事態を引き起こさないために、個人情報保護法の背景と目的をおさらいしておこう。
個人情報保護法は、正式には「個人情報の保護に関する法律」と呼ぶ。施行当初の2005年は、5,001人以上の個人情報を取り扱う事業者が法規制の対象とされていたが、2017年に改正個人情報保護法が施行されたことで、現在は個人情報を扱うすべての事業者が対象となっている。
個人情報保護法では、その目的を同法の第1条にて「個人情報の有用性に配慮しつつ、個人の権利・利益を保護すること」としている。
つまり、個人情報を適切に取り扱うことで、効果的な情報利用とのバランスをとりながら、プライバシーなどの個人の権利、利益の保護を行わなければならない、ということである。
ではなぜ、個人情報保護法が施行されたのだろうか。
その背景として、情報通信技術が急速に進み、世の中が情報化社会となっていく中で、クレジットカード情報や銀行口座の暗証番号などが流出し、悪用されるというような個人の利益が侵害されるケースが多発した、ということがあげられる。
世界的には、個人情報の取り扱いへの意識が高まっていたが、当時の日本にはまだ個人情報を保護する法律どころか、個人情報とは何かを定義する法律すら存在していなかった。
個人情報が活用されることにより、その利益を享受できるようになった一方で、ルールもなく個人情報を利用されることで、不測の不利益を被る可能性が生じるかもしれないという不安から、個人情報を保護することを目的とした法律を整備するべきだという世論が高まり、2005年4月、個人情報に関する定義や、漏えいによる不正や悪用の防止を目的とした個人情報保護法が施行されたのだ。
現在、日本における個人情報保護法は、法改正以降の社会や経済情勢の変化などにも対応するために、3年後ごとに検討が行われ、必要に応じて改正されることとなっている。
人事が気をつけるべきポイントとは?
過去プロジェクト管理ツール経由で、採用に関する個人情報が流出したという事案では、顔写真や履歴書などの候補者情報や、不採用理由といった選考評価情報が流出したことが問題を大きくしたといえる。
1度こうした問題を起こしてしまえば、企業は採用活動に大きなマイナスが生じるだけでなく、企業ブランドそのものも大きく毀損することとなる。
もちろん、システムからの個人情報の流出を防ぐという技術的な側面からこれを防止することは当然として、使用者である人事部の個人情報を扱ううえでの意識の向上、ITリテラシーを高めることも極めて重要となってくる。
ここでは個人情報流出を防ぐために、人事が抑えておくべきポイントを見ていこう。
厚生労働省が発表している、「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」では、個人情報の処理は労働者の雇用に直接関連する範囲内において適法かつ公正に行われるものとすること、個人情報の処理は、原則として目的の範囲内において、具体的な業務に応じ権限を与えられた者のみが、業務の遂行上必要な限りにおいて行うこと、業務上知り得た個人情報をみだりに第三者に知らせ、又は不当な目的に使用してはならないこと、などの一般原則を明記している。
以下でポイントを確認しておこう。
<個人情報の収集、保管及び使用>
・次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
イ 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
ロ 思想及び信条
ハ 労働組合への加入状況
・個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと
・個人情報の保管又は使用は、収集目的の範囲に限られること。ただし、他の保管若しくは使用の目的を示して本人の同意を得た場合又は他の法律に定めのある場合はこの限りでないこと
<個人情報の適正な管理>
・保管又は使用に係る個人情報に関し、次の事項に係る措置を講ずるとともに、求職者等からの求めに応じ、当該措置の内容を説明しなければならないこと。
イ 個人情報を目的に応じ必要な範囲において正確かつ最新のものに保つための措置
ロ 個人情報の紛失、破壊及び改ざんを防止するための措置
ハ 正当な権限を有しない者による個人情報へのアクセスを防止するための措置
ニ 収集目的に照らして保管する必要がなくなった個人情報を破棄又は削除するための措置
・求職者等の秘密に該当する個人情報を知り得た場合には、当該個人情報が正当な理由なく他人に知られることのないよう、厳重な管理を行わなければならないこと
・次に掲げる事項を含む個人情報の適正管理に関する規程を作成し、これを遵守しなければならないこと。
イ 個人情報を取り扱うことができる者の範囲に関する事項
ロ 個人情報を取り扱う者に対する研修等教育訓練に関する事項
ハ 本人から求められた場合の個人情報の開示又は訂正(削除を含む。以下同じ。)の取扱いに関する事項
ニ 個人情報の取扱いに関する苦情の処理に関する事項
・本人が個人情報の開示又は訂正の求めをしたことを理由として、当該本人に対して不利益な取扱いをしてはならないこと
参考:
・厚生労働省 厚生労働分野における個人情報の適切な取扱いのためのガイドライン等
・職業紹介等・労働者派遣分野の指針
使用者は個人情報の扱いによって労働者のプライバシーや権利・利益を侵害しないよう配慮する必要がある。万が一、労働者の個人情報をむやみに公開した結果、損害が発生した場合には、民事上の損害賠償責任を問われる可能性も生じ、それは企業にとって大きな損害となる。
そうした事態を防ぎ、インターネット上においても適切に個人情報を管理するためにも、情報を扱う際には、1度立ち止まって考えてみることが必要であるだろう。
情報漏えいの件に置き換えてみると、「この公開範囲の設定はどこまで影響するのだろうか」、「設計を考えるとおそらくここまで公開の影響が及ぶだろう」、「一度、公開範囲を検証してみよう」などといったように、冷静に1度立ち止まって考え、検証してみることが人事においてITリテラシーを高めることにつながるだろう。
また、担当者単独の判断で公開できる体制はリスクが高いため、必ず複数の人間で確認するタスクを組み込んでおくことも有効だ。
今後も業務のデジタル化がますます進んでいく中で、SaaSを活用するシーンも増加していくことは想像に難くない。
これからの人事には利用するサービスの特徴や、それらが誕生した背景などを理解したうえで、各サービスをうまく活用する力が求められているのだ。
まとめ
・2010年代頃からよく使われるようになったインターネット用語「SaaS(サース)」は、それまでパッケージ製品として販売されていたソフトウェアがクラウド上で提供されることで、クライアント側が必要とする機能や分量だけを選択して利用できる形態のことを指し、新たなサービスの提供形態として注目を浴びた。SaaSの特徴として、データをインターネット上に保存できる、端末を選ばずにデータにアクセスできる、複数の人間が同じデータを共有・編集できる、ことなどがあげられる。
・業務のデジタル化が浸透する中で、人事分野においてもSaaSを活用するケースは増加すると考えられるが、SaaSは1つ間違えば個人情報が外部へ漏えいする危険性もはらんでいる。実際に、プロジェクト管理ツールにて採用担当者が情報公開範囲の設定をミスしたことによって、管理していた就活生の個人情報が流出してしまうという事件も起きている。このような情報漏えいを受けて、SaaSの利用停止を検討する企業もあるかもしれないが、DXや業務の効率化を目指す中で、外部のサービスをまったく利用しないという判断は現実的ではないだろう。
・現代社会における情報は重要な資源としての意味を持ち、多くの企業が個人情報の獲得を目指してさまざまな活動をしていく中で、個人情報の漏えいなど情報管理に関する問題や事故が頻発しているのも事実である。そこで重要となるのが個人情報保護法の遵守だ。個人情報保護法では、その目的を同法の第1条にて「個人情報の有用性に配慮しつつ、個人の権利・利益を保護すること」としている。個人情報を適切に取り扱うことで、効果的な情報利用とのバランスをとりながら、プライバシーなどの個人の権利、利益の保護を行わなければならない、ということである。
・個人情報保護法が施行された背景として、世の中が情報化社会となっていく中で、クレジットカード情報や銀行口座の暗証番号などが流出し、悪用されるというようなケースが多発した、ということがあげられる。しかし、当時の日本では個人情報を保護する法律どころか、個人情報とは何かを定義する法律すら存在していなかったため、個人情報を保護することを目的とした法律を整備するべきだという世論が高まり、2005年4月に個人情報保護法が施行された。現在、日本における個人情報保護法は、3年後ごとに検討が行われ、社会や経済情勢の変化などに応じて改正されることとなっている。
・過去にプロジェクト管理ツール経由で採用に関する個人情報が流出したという事案では、さまざまな選考評価情報が流出したことが大きな問題となったが、1度こうした問題を起こしてしまえば、企業ブランドそのものも大きく毀損することとなる。このような事態を防ぐためには、システム面の強化だけでなく、使用者である人事部のITリテラシーを高めることも重要となる。厚生労働省が発表している、個人情報の適切な取扱いのためのガイドライン等から、個人情報流出を防ぐために人事が抑えておくべきポイントが見えてくる。
・使用者は個人情報の扱いによって労働者の権利・利益を侵害しないよう配慮する必要があり、万が一、労働者の個人情報をむやみに公開して、損害が発生した場合には、民事上の損害賠償責任を問われる可能性も生じてくる。そのような事態を防ぐためにも、情報を扱う前に1度立ち止まって、その公開範囲などについて改めて考えて事前に検証などを行うことが、人事におけるITリテラシーの向上につながるだろう。
