とうかいの安心のセキュリティ
とうかいはお客様に利便性と安心をともに提供するために
「デジタル化」と「セキュリティ対策」の両輪で取り組んでいます。
社労士事務所が気を付けるサイバートレンド
代表 久野勝也
サイバー攻撃による情報漏洩や情報流出は、大手企業のみならず、中堅・中小企業にまで拡がっています。特に、ランサムウェア(身代金ウィルス)による攻撃を受けると、データの破壊のみならず、ダークサイトに情報が公開されるという、卑劣な手口によって、お客様からお預かりしている大切な情報を流出させてしまうリスクが懸念されます。
弊社(弊所)がお客様よりお預かりする情報は、お客様の大切な社員様の家族構成や社会保険に関わる情報、給与情報や労働情報などのセンシティブなものばかりです。
弊社(弊所)を信頼頂き、大切な情報をお預かりしている身として、サイバー攻撃の脅威から、お客様の情報を確実に守らなくてはいけません。
アウトソーシングいただくうえで、セキュリティ強化は「使命」であると信じ、とうかいでは専門家と意見交換しながら、技術的・物理的・人的対策を講じています。
とうかいのセキュリティ対策の方針・取り組み
セキュリティ対策のイメージというと、「パソコンにウイルスソフトを入れ、常に最新版にする」「パソコンのアップデートを定期的に行う」など、ハード面の対策が思い浮かぶでしょうか。しかし、内部からの情報漏洩など人為的なリスクにも気を付ける必要があります。そのため、とうかいでは人の導線を整備する、ルールを徹底するなどソフト面の対策も徹底しています。
認証規格:ISO/IEC 27001:2022/ JIS Q 27001:2022
登録番号:IS 805424
ISMSの取得
-情報セキュリティマネジメントシステム(ISMS)適合性評価制度
国際的に整合性のとれた情報セキュリティマネジメントシステムに対する第三者適合性評価制度で、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することを認められた企業に与えられる認証マークです。
認証登録範囲:BPOソリューションチームにおける以下の業務
SRPⅡの取得
-社労士連合会によるセキュリティ対策認証
全国社会保険労務士会連合会が創設した士業で唯一の個人情報保護の認証制度で、社会保険労務士事務所のうち一定のセキュリティレベルが確保されていると認定された事務所に与えられる認証マークです。
弊社も認定事務所となっています。
技術的対策
PC・社用スマホを遠隔管理
-PC・社用スマホを紛失・盗難された場合も遠隔でデータ削除し、お客様の情報を守る
どうしてもリスクはゼロにできないところがあります。万が一のことを考えて、被害を最小限に抑えるための対策も講じています。
ウィルス対策ソフトのみでなく、EDR・SOCの導入
-専門家が24時間365日監視。感染したとしてもサイバー攻撃を迅速に封じ込める。
セキュリティ対策強化施策として、株式会社CISO様(https://ciso.co.jp/)のセキュリティ支援サービスを受けております。サイバー攻撃被害に遭遇してしまった企業(特に大企業)が、二度とセキュリティ事故を起こさないようにする、という目的で導入されるEDRを社労士やスタッフが利用しているPC端末全てに導入。ウィルスソフトやUTM(ネットワーク機器)をすり抜け、万が一PC端末が乗っ取られたとしても、専門家による監視によって、攻撃者の動きを封じ込める体制を整えました。
アンチウイルスソフトも定期的に更新。さらに、脆弱性管理においてはシステムのアップデートの際だけでなく、SOCによる専門家の24時間365日の監視体制構築や毎月専門家による診断を実施するなど、刻々と変わるサイバー攻撃にもしっかり対応できるようにしています。
端末へのログインを二段階認証制に
-端末認証でID+パスワード入力の脆弱性を担保
お客様とのコミュニケーションツールやデータを保存するクラウドサービスへアクセスする際、専用のアプリ上で2段階認証を行うようにしています。不正なアクセスではなくスタッフ本人がアクセスしようとしていること証明するためのものです。
書類は原則クラウド保存
-お客様の大事な情報を守る
紙の書類は原則、社内のクラウドサービスにデータ化して保存することになっています。クラウド保存により、生産性向上にもつながっています。
お客様の会社の従業員マイナンバーをクラウドシステムで管理しています。このシステムにアクセスするために、ワンタイムパスを利用し、全て暗号化したデータをやりとりしています。システムの使用履歴も管理しており、誰が・いつ・何の目的で使用したかが明確になっています。
UTM
-外部からのウイルス攻撃を回避する
名古屋駅前事務所にUTMを導入し、外部から不正アクセスやウイルスの侵入対策をしております。
無停電装置
-停電時も業務継続可能な体制を構築
無停電装置を設置し、停電の際も電源を確保できるようにしています。
また、データは定期的にクラウドサーバーにバックアップを取っているので、データがなくなるという心配がありません。
パスワード管理
-リスクを最小限に
退職者が出た際に、情報が漏れないように、無線LANのパスワードを都度変更しています。
社内のパスワードは、セキュリティ委員会で管理され、一部の権限のある人のみ閲覧できるようになっています。追加・変更も権限のある人のみ行うことができます。
WEB明細(給与明細)
-お客様の社員にも安心と利便性を
給与明細は個人の携帯電話の給与アプリへ通知される為、給与明細(紙)が他人に見られたり、他人の明細が間違って渡されるというミスがありません。源泉徴収票もこのアプリから印刷が可能です。
物理的対策
防犯
-外部からの侵入と社内スタッフの入退室も管理
名古屋駅前事務所はセコムによる防犯をしています。解除キーは一部の社員に渡されていて、誰がキーを持っているのかを社内のセキュリティ委員会で管理しています。
所内入退室管理システム
-セキュリティエリアへの出入りを監視
入退室管理システムAkerunをセキュリティエリアにつながるドアに付けています。各個人に持たされた専用ICカードで開錠し、誰がいつセキュリティエリアに入ったか、出ていったかの記録まで残ります。サーバー攻撃実行の抑止力となります。
所内のセキュリティエリア(執務室)とそれ以外を区別
-ウイルスの侵入、人的要因による被害リスクを徹底して排除
弊社の社内の様子です。個人の携帯電話はロッカーに預けセキュリティエリア(執務室)に入室します。お客様の個人情報の侵入をソフト面でも排除しています。また、お客様との面談時は専用のボックスを用意し防音で情報漏洩の心配がありません。
高谷の経営視点のアドバイス
自社の人事労務をお任せする体制がどれくらい整備されているか、実際に見てみたいというお声もあるのが事実です。とうかいでは、安心してアウトソーシングいただけるように、事務所見学(無料)も承っております。下のリンクから問い合わせフォームを記入いただき、お申し付けください。
人的対策
情報セキュリティ規定
-ルールを徹底的に守らせることで人的リスク削減
PC・スマートフォン取扱規程や個人情報管理規程等、セキュリティ規程に基づいたシステムの利用や管理をしています。
USB接続禁止、外の無料Wi-Fi使用禁止のルールもここで策定し、運用しています。また、社内システムの一部を個人携帯等で一時利用する際には、「社内システム利用許可申請書」に記載をして、申請してあるIPアドレスからしか閲覧ができないようにしてあります。
営業職員には会社用の携帯電話が貸与され、お客様との連絡に個人携帯を使用しないように徹底しています。携帯電話を使用する場合の、パスワードによるアクセス制限はもちろん、各アプリケーションの使用もパスワードによるアクセス権限をかけています。万が一携帯電話を紛失した場合に、遠隔操作で情報をすべて削除することができるように設定してあります。
就業規則(セキュリティ関連の条文)
-ルールを守らせることに法的な根拠も
第72条 機密情報等の保護
社員は、業務上または業務外で知り得た会社および顧客に関する情報、その他業務に関する一切の情報の管理に十分な注意を払うものとし、当該情報を他に漏洩し、または個人的に使用する等してはならない。また、自らの業務に関係のない会社および顧客の情報を不当に取得してはならない。
2 社員は、職場または職種の異動あるいは退職(解雇の場合を含む)時に、自ら管理していた会社および顧客に関する情報、その他業務に関する一切の情報帳簿類をすみやかに返却しなければならない。
3 前1項に掲げる情報については、会社に雇用されている期間はもとより、退職後または解雇された後においても、他に漏洩し、または個人的に使用する等してはならない。
第73条 パソコン通信等の管理
会社は、社内機密、業務方針、顧客情報、社員の個人情報などの漏洩を防止するため、または社内のパソコン環境を良好に保つため、必要に応じてサーバー上のデータ等を調査することができる。
第74条 私的なインターネット上の情報発信
社員は、業務遂行上知り得た会社の秘密情報及び公序良俗に反し、会社の信用を損なう情報を個人で利用する、ブログ、ソーシャルメディアサービスをはじめとするインターネット上のサービスで発信、 開示してはならない。
2 会社は社員が前項に該当する情報を発信、 開示していることを発見した場合、その削除を求めることがある。会社からの削除を求められた社員は直ちに当該情報の削除に応じなくてはならない。
3 会社は、社員が前各項に違反したときは本規程、懲戒に基づく処分を科し、また、当該 情報発信により会社に損害を与えた場合は、その損害の賠償を求めることがある。
第75条 社内メールの閲覧(モニタリング)
会社は業務上必要な場合、会社が貸与したパソコン又は携帯電話において社員が送受信した電子メール、インターネット閲覧記録、その他のデータを閲覧することができる。
第76条 所持品の検査
会社は、機密の保持、貴重品の紛失等の事故を未然に防ぐために必要であると認めたときは、その必要の範囲内で社員の所持品の検査を行うことがある。
2 前項に定める所持品検査は、あくまでも同項に定める必要の範囲内で行うものであって、犯罪捜査のために行うものではない。
3 会社が所持品検査を行う場合は、その事由を明示した上、当該職場の社員に対して画一的に行うものとし、特定の社員に限って行うことはない。
4 社員は、正当な理由がなく前項に定める所持品検査を拒んではならない。
セキュリティ研修会
-社員の意識改革も
セキュリティのプロの講師を呼び、全社員がセキュリティ研修を受講しています。
セキュリティ対策は一人一人の意識が大切です。少しの間だけでも離席する場合はパソコン画面をロックする、退勤時はクリーンデスクを徹底するなどささいな心掛けも重要になってきます。
社内のセキュリティレベルの調査も実施し、業界内でもトップクラスのセキュリティ対策をしている事務所という評価をいただいております。
中村の経営視点のアドバイス
セキュリティサービスを使うスタッフのリテラシーが低ければ、どれでけハードの対策を重ねても実態は「絵に描いた餅」でしょう。さらにルールは「運用」が大切です。いかに守らせるか、行動を迷わないようにと意識して、ソフト面の対策も講じています。
お気軽にご相談ください。
社労士の業務は、給与計算・社会保険手続きと、企業の社員、そしてそのご家族と密接に関わってきます。とうかいはオンラインなどを駆使し、生産性向上も行っているところではありますが、お客様には利便性とともに安心を提供するため、今後もセキュリティ対策を強化していく所存です。
弊社のサービスについては、下の会社案内をご覧ください。
▶とうかいの会社案内を見てみる
最新セミナー一覧
お役立ちコラム「人事労務のお悩み相談所」
よく見られているコラム
サイドメニュー
