勤怠管理システムのセキュリティは安心か?


JNSAセキュリティ被害調査ワーキンググループが行なった2017年に報道された個人情報漏えいインシデント分析によると、漏えい人数は519万8,142人、想定損害賠償総額は1,914億2,742万円とされています。企業にとって個人情報の漏えい対策は経営に大きなダメージを与える恐れがあり、万全の対策を行いたいことの一つです。

勤怠管理システムには、従業員の名前や出退勤に関するデータなどを登録しています。システムの機能によっては、多くの個人情報を多数登録しており、情報保護はどのシステムにおいても力を入れているテーマの一つと言えます。

今回は、勤怠管理システムのセキュリティをテーマに、サービス提供元がどのようなセキュリティ対策を講じているのか等をご紹介します。企業にとって重要なデータを守れる信頼性の高い勤怠管理システムを見つけるためのご参考になれば幸いです。

目次

セキュリティ対策を怠るとどのような心配があるのか?

システムの利用にあたり万が一のためのリスクヘッジはとても重要です。セキュリティ対策が十分ではない場合、どのような危険があるのか確認しましょう。

不正アクセスより情報漏えいやデータ改ざんが起こる

登録しているデータが外部に流出してしまう等のリスクがあります。企業の信頼性を損なう心配があります。

ウイルスやマルウエアによりシステムが稼働できなくなる

サーバーにウイルスが感染しシステムが正常に動作しなくなると、勤怠管理システムが使えなくなり、復旧までの間は手書きの勤務表やエクセル入力などの手段で打刻を行います。集計作業もアナログになり、効率的だった勤怠管理が一気に手間のかかるものになります。

スタッフが社内データの持ち出しをしてしまう

悪意はなくとも何かしらの理由でデータの持ち出しが発生してしまう場合があります。誰でもデータにアクセスできるとこのような事態が発生してしまう危険があります。

サーバーで保管しているデータが破損する

データを保管しているサーバーのセキュリティレベルが低いと何らかのアクシデントによりデータを失ってしまう危険があります。バックアップなど万が一に備えていないと不安です。

クラウドとオンプレミスのセキュリティの違いとは

勤怠管理システムには、クラウド型とオンプレミス型の2つのタイプがあります。提供形式の違いであり、サービスによっては、両方を提供している場合があります。

クラウドサービスは、サービス提供元のサーバーからインターネットを経由して、勤怠管理システムを利用できるものです。サーバーの設置コストがかからず、利用コストだけを支払うため安価に利用できます。IT管理者などの専門人員も不要です。ただし、基本的にサービス提供元から他クライアントと共通サービスを受けるため、カスタマイズが必要な場合、対応できる柔軟性が低いのが難点です。セキュリティ面では、サービス提供元に依存するため、サーバーを設置しているデータセンターのセキュリティレベルや、システムに搭載している機能をよく確認する必要があります。

オンプレミスはサーバーやネットワーク機器の準備が必要ですので、初期コストが大きくかかります。自社の内部にサーバーを設置するため、ITスキルの高い専門人員を配置し、運用管理を行う必要があります。準備が大変なため、利用開始までのリードタイムが数ヶ月かかる場合もあり、余裕を持ったスケジューリングが必要です。時間とコストがかかる反面、自社のみで利用できるため、カスタマイズにも柔軟に対応できるのが魅力です。セキュリティ面においても、自社のセキュリティポリシーに応じて、強固な対策を講じることが自由です。ただし、セキュリティ強化に関する開発費用も自社の負担になります。十分な予算を確保しての利用が前提条件と言えるでしょう。

また、あまり多くはないものの、パブリッククラウドというクライアントごとに別の環境を構築しサービスを提供する方式もあります。まさにクラウドとオンプレミスの両方の特徴を兼ね備えたものも存在します。
サービス提供元の情報をよく確認して、自社のセキュリティポリシーや導入条件に合致するサービスを導入しましょう。

確認しておきたいセキュリティ対策のポイント

OSやアプリケーションのアップデートは行なっているか

最新のセキュリティ対策を装備するためOSのアップデートを怠らずに行なっているかが大切です。脆弱性などが発見され、プログラムが改善されている場合もあるため、安全が確認されている最新版になっている必要があります。

自動バックアップが行われているか

バックアップを取得しておくと、万が一のデータ損失時などに、問題が発生する前の状態にデータを戻せます。

データセンターに電源対策はしているか

無停電電源装置などを使い、非常時の電源対策を行なっているデータセンターが理想的です。勤怠管理システムは毎日使用するシステムですので、稼働率が高くなければいけません。

多層防御を行なっているか

複数の防御策を講じることでネットワークやシステムを常に守っていることが大切です。

ウイルスやマルウエアへの感染対策を講じているか

悪意のあるプログラムであるウイルスやマルウエアは、大切なデータの破損など被害をもたらす恐ろしい存在です。最新のウイルス・マルウエア対策を行なっている必要があります。

データ通信は暗号化されているか

SSLやSSHなどにより、データ通信を暗号化することにより、データの機密性を保護し送受信を行う対策が必要です。

アクセス権限を設定できるか

誰でもデータにアクセスできると、予期せぬ人為トラブルに発生する恐れがあります。データによりアクセスできる人を制限することでリスクを軽減できます。役職や担当業務など立場により権限を付与できると便利です。

サーバーの保管場所をチェックしよう

クラウドサービスの場合、サービス提供元のデータセンターに登録データを保管します。データセンターは基本的に災害等の発生でも対応できるよう十分な検討が行われた上で建設されていますが、実際のセキュリティスペックは確認した方がよいでしょう。

サーバーの監視体制

クラウドサービスのデータセンターは24時間365日体制でサーバーを監視しているなど、稼働率を落とさず、正常に運用できるよう対策しているところが多くあります。そういった監視体制が用意されているかをチェックしておきたいところです。

サービス提供元の取り組みをチェックしよう

勤怠管理システムのサービス提供元がセキュリティについて、どのような姿勢をとっているのかを確認しましょう。企業として情報保護にどれくらい力を入れているのかわかることで、サービスの信頼性について考える際の参考になります。

プライバシーマークを取得しているか

個人情報保護体制を構築しているかの証となるプライバシーマークは、審査機関から、日本工業規格のJISQ15001(個人情報保護マネジメントシステム要求事項)を満たしていると認められなければ、プライバシーマーク(Pマーク)を利用できません。情報保護レベルを評価する指標となります。

プライバシーポリシーを確認する

プライバシーポリシーは、個人情報保護について企業がどのように考えているのかを明示するものです。個人情報の取得方法や用途、管理方法などについて方針を明確にしているため、サービスにおいてもどのようなスタンスでセキュリティを重視しているのか感じ取りやすいでしょう。

ISMS認証を取得しているか

情報セキュリティマネジメントシステム認証であるISMS認証は、情報セキュリティ対策への取り組みや仕組みを認証するものです。認証取得をしていることで、一定のセキュリティレベルをクリアしている企業だということがわかります。

まとめ

勤怠管理システムは導入することで、手書きなどのアナログな勤怠管理に比べ圧倒的な業務効率化を実現できるサービスです。ぜひ導入したいところですが、企業においての大きなリスクポイントでもあるセキュリティには気を付けなけれないけません。

クラウドやオンプレミスといったサービスの提供形式は、単にコストや導入までのリードタイムのみならず、セキュリティにおいても大きく影響している点です。オンプレミスはセキュリティ対策を講じるためのコストまで確保できるなら有効ではありますが、その勤怠管理システムに自社にとって必要な機能があるかが重要でしょう。セキュリティレベルの高さが検討の優先順位1位でなければ、まずは必要な機能を搭載したサービスを見つけた上で、セキュリティについて情報を集めるとよいのではないでしょうか。

サーバーのセキュリティ体制に注目し、24時間の開始体制やデータ通信の暗号化など、様々な角度からサービスを比較評価することも大切ですが、データ漏洩や消失においてのトラブルは必ずしもシステムが起因しているとは限りません。2017年の個人情報漏えいインシデント分析(JNSAセキュリティ被害調査ワーキンググループ調査)によると情報漏えいの原因のうち、「誤操作」が25.1%と最も多く、次いで「紛失・置き忘れ」が21.8%となっています。そして、その次に不正アクセス17.4%と続きます。外部からの攻撃よりも人為的なミスが情報漏えいの原因となっています。

勤怠管理システムは日々利用するコアなシステムでもあります。運用面でも人為ミスが生じないように対策を行い、安全に業務効率化を進めたいところです。

ページTOPに戻る⇒

プロキュアおすすめ!
勤怠管理システムの資料をまとめてダウンロード!