情報セキュリティは「IT担当者がなんとかするもの」ではない、という派遣会社の現実的な話
jinzaihaken派遣会社の更新審査というのは、経営者が想像するよりずっと生活感のある審査です。資産要件や許可番号や責任者の選任といった、いかにも役所が好きそうな項目ももちろん見られますが、実際に差がつくのはもっと地味なところです。たとえば、情報セキュリティ。
こう書くと、たいていの会社では二種類の人が出てきます。ひとりは「うちはクラウド使ってるから大丈夫です」と言う人。もうひとりは「パスワード変えてますから」と言う人です。どちらも、たぶん悪い人ではないのですが、残念ながら少し足りない。情報セキュリティというのは、システムを導入した瞬間に完成するものではなく、誰が、何を、どこまで見て、どう保管して、いつ消して、もし漏れたらどう動くのか、という運用の総合格闘技だからです。しかも派遣事業は、そのリングの上に個人情報が山ほど積んである。
履歴書、職務経歴、雇用契約書、賃金台帳、勤務記録、連絡先、場合によっては家族情報や各種手続に関わる書類まである。派遣会社は人を扱う事業ですから、当然ながら情報も人ひとり分では済みません。にもかかわらず、会社によっては「ファイルは共有フォルダにあります」「紙は倉庫の棚です」「USBに入れて持っていきました」という、令和の時代にまだそんな冒険をしているのかと思う運用が平然と残っています。いや、機密情報を入れたUSBをポケットに入れたまま居酒屋に行くのは、もはや業務ではなく昔話の導入です。
更新審査で見られるのは、要するに「この会社は情報を預かる資格がある運営をしているか」です。セキュリティソフトを入れているかどうかだけではありません。個人情報の取扱いルールが文書化されているか。利用目的が曖昧ではないか。必要な範囲を超えて妙な情報を集めていないか。アクセス権限は適切か。退職者のアカウントが生きたままになっていないか。不要になった情報を、いつまでも社内のどこかに漂わせていないか。事故が起きたときの初動は決まっているか。こういう話です。
派遣事業の個人情報管理でまず大事なのは、「何でも集めれば安心」という発想を捨てることです。日本の会社は書類が好きですから、関係あるものもないものも、とりあえず取っておきたがる。しかし、集める理由が曖昧な情報は、だいたい管理も雑になります。本当に必要な範囲で集める。利用目的をはっきりさせる。本人にきちんと伝える。勝手に横流ししない。これだけ聞くと当たり前ですが、当たり前がいちばん難しい。なぜなら、当たり前は「忙しいから後で」が一番似合ってしまうからです。
そして次に来るのが、アクセス権限という、地味だが効く話です。派遣会社でありがちなのは、「みんなで見たほうが早いから」という理由で、誰でもなんでも見られる状態にしてしまうことです。たしかに早い。早いですが、漏れるのも早い。営業が見る必要のある情報、人事が見る必要のある情報、経理が使う情報、それぞれ違うはずです。なのに、共有フォルダの中に全部入っていて、しかも昔辞めた社員のアカウントがまだ残っている、という話は珍しくありません。会社のセキュリティ事故というのは、高度なサイバー攻撃より先に、こういう雑さから起きます。泥棒に入られたのではなく、玄関が開いていた、みたいな話です。
紙資料も同じです。デジタル化が進んだとはいえ、派遣の現場では紙がまだまだ生きています。契約書、申込書、台帳、確認書類。これらを「その辺の棚」に置いている会社は、セキュリティを語る前に戸締まりを覚えたほうがいい。施錠できる場所に保管する。持ち出しを管理する。廃棄するときは、ただゴミ袋に入れて終わりにしない。紙はアナログですが、情報漏えいの被害は非常にデジタルです。写真を撮られれば一瞬で終わります。
システムの話になると、また少し面白いことが起きます。たいていの会社は、セキュリティを外部ベンダーに丸投げした瞬間、心のどこかで「もう大丈夫」と思ってしまうのです。しかし、クラウドを使っていても、設定が雑なら意味がありません。パスワードが弱い、共用IDを使っている、多要素認証がない、外部からのアクセス条件が甘い、バックアップの場所も復旧方法も把握していない。これで「クラウドだから安全」と言われても、車検切れの車に高級ワックスをかけているようなものです。見た目は整っていても、本質は別です。
情報漏えいの原因も、実はそんなに劇的ではありません。メールの誤送信、添付ファイルの送り間違い、CCとBCCの使い分けミス、端末の置き忘れ、退職者アカウントの放置、怪しいメールのクリック。つまり、ほとんどは人間です。サイバー攻撃と聞くと、なんとなく海外の黒いフードをかぶった人を想像しがちですが、実際には社内の「うっかり」と「まあ大丈夫だろう」が最強の敵です。だからこそ、セキュリティはシステムだけではなく教育が要る。年に一度の研修を眠そうな顔で受けて終わり、ではなく、実際に何が危ないのか、どう確認するのか、在宅勤務では何に気をつけるのか、具体的に腹落ちさせる必要があります。
ここで会社の本性が出ます。本当に運用している会社は、研修記録が残っています。誰が受けたか、何を教えたか、どんなルールを改訂したか、ちゃんと追える。一方で、だめな会社は「昨年やったはずです」と言います。この「はずです」は、審査や監査の世界では、ほぼ「ありません」と同義です。人間の記憶はふわっとしていますが、台帳はわりと冷酷です。
もうひとつ大事なのは、事故が起きたときの初動です。情報漏えいは、起きないのが理想です。しかし、現実の会社経営で「絶対に起きません」と言い切るのは、だいたい危ない人です。重要なのは、起きたときにどう動くか。どの範囲に影響があるのか確認する。関係者に連絡する。必要な相手へ報告する。アクセスを止める。原因を調べる。再発防止策を決める。ここまでを慌てず回せるかどうかで、事故の重さはだいぶ変わります。事故そのものより、その後のバタつきで信用を失う会社は多いのです。
派遣会社の場合は特に、派遣スタッフ本人、派遣先企業、社内責任者という三方向を同時に見なければならないので、対応フローが曖昧だと簡単に破綻します。誰が判断するのか、どこまで共有するのか、いつ報告するのか。これが決まっていない会社では、だいたい「とりあえず様子を見ましょう」が始まり、気がつけば様子ではなく被害が広がっています。危機管理とは、根性ではなく順番です。
また、個人情報の世界では「本人が開示や訂正を求めたから気まずい」という発想も危ない。本人が確認したい、直したいと言える仕組みがあることは、むしろ健全です。そういう申し出をした人に不利益な扱いをしないこと、そして退職後も含めて秘密保持が続くこと。このあたりは、文章にすると当たり前ですが、運用になると急に人間臭い問題が出ます。だから規程がいるし、教育がいるし、責任者もいるのです。会社は放っておくと「空気」で回そうとする生き物ですが、情報セキュリティの世界で空気は証拠になりません。
更新審査で確認されやすいのも、結局はこうした基本動作です。個人情報保護に関する規程があるか。システム利用のルールがあるか。アクセス権限の管理表はあるか。教育研修の記録は残っているか。インシデント発生時の対応記録はあるか。つまり、「意識しています」ではなく、「運用しています」と言える材料があるかどうかです。ここを勘違いして、立派な規程だけ作って満足してしまう会社もありますが、規程は飾っておくだけではセキュリティになりません。筋トレ本を買っても腹筋は割れないのと同じです。
派遣事業における情報セキュリティは、ITの話である前に経営の話です。誰の情報を預かり、誰が責任を持ち、何が起きたらどう動くのか。これを整理していない会社は、更新審査のため以前に、日常業務が危うい。逆に言えば、ここを整えている会社は強いです。派遣スタッフにも、派遣先にも、「この会社はちゃんとしている」という安心を渡せるからです。
情報セキュリティは、派手さがありません。売上にもすぐには直結しません。だから後回しにされがちです。しかし、事故が起きたとき、いちばん高くつくのもまたここです。信頼を失うコストは、だいたい帳簿に載る頃には手遅れです。
結局のところ、更新審査で見られているのは、完璧な無事故神話ではありません。情報を預かる事業として、まっとうに運営する覚悟があるかどうか。その覚悟は、最新のセキュリティ用語を並べることではなく、ルールを作り、権限を絞り、記録を残し、教育を続け、事故時に動けるようにしておくことに表れます。
情報セキュリティを「IT担当の島」に押し込める会社は、だいたいどこかで困ります。逆に、経営の仕事として引き受けた会社は、地味ですが、強い。派遣事業の更新というのは、案外そういう会社の体幹を見ているのだと思います。
今すぐお電話ください!
預金不足の解決策、純資産不足の解決策、合意された手続、監査のお問い合わせなどお気軽にお問い合わせください。
投稿者プロフィール
- 労働者派遣事業許可に必要な監査や合意された手続に精通し、数多くの企業をサポートしてきました。日々の業務では「クライアントファースト」を何よりも大切にし、丁寧で誠実な対応を心がけています。監査や手続を受けなくても財産的基礎の要件をクリアできる場合には、そちらを優先してご提案するなど、常にお客様の利益を第一に考える良心的な姿勢が信条です。お困りの際は、ぜひお気軽にご相談ください。
