Tuesday, February 07, 2023 2:12 AM

データ・プライバシー保護におけるHRとITの役割りが拡大

 データ・プライバシーの保護において、各社の人材資源(human resources=HR)部門とIT部門がいままで以上に重要な役割りを果たすようになっている。ベンチャービート誌によると、データ漏洩の数量は近年ますます増加し、それにともなって法令順守のリスクも高まっていることから、技術応用の重要性がさらに強まっている。

▽データ保護法の広まり

 EUは、一般データ保護規則(General Data Protection Regulation=GDPR)を2016年に導入した。以来、これまでに1000社近い会社がGDPR違反で罰金を科された。その総額は12億5000万ユーロを超えている。

 アマゾンの欧州法人が7億5000万ユーロと最大の罰金を科されたほか、メタ傘下のワッツアップ(WhatsApp)やアルファベット傘下のグーグル(Google)、ターゲット(Target)、ヤフー(Yahoo)、マリオット(Marriott)、イクイファックス(Equifax)、フェイスブック(Facebook)らが巨額の罰金を受けてきた。

 GDPRと同様の法令は、世界各地で制定されつつある。すでに導入済みのニュージーランドのプライバシー法や、カリフォルニア州の消費者プライバシー法、インドと米国の連邦水準でも類似のデータ保護法令の導入が検討されている。

▽法規制や規則の複雑化で対応が困難に

 「データ保護の法令だけでなく、行政と業界の定める多数の規制や規則が、従業員データの管理や転送を制限している。それらの複雑な法規制および規則類は増えるばかりで、従業員に関してどの情報を集められるのか、それをどのように扱えるのかを見きわめるのが難しくなっている」と、フォレスター・リサーチのジェイムス・マッキーヴィー主任分析家は話している。

 その課題に対応するうえで、各社のHR部門が果たす役割りは拡大している。従業員に研修を施し、情報共有やデータ保護についての知識を社内で共有する必要性がこれまで以上に強まっているためだ。そして、そういった方策や過程では、技術の応用がつねにつきまとう。

▽従業員が辞める場合の情報漏えいが問題点に

 特に懸念事項とされるのが、従業員が辞めていく際の情報漏えいだ。従業員がUSBドライブといった媒体に記録を移して故意に持ち出すこともあれば、会社側が元従業員らのアクセス権を遮断し忘れるといったずさんな管理に起因する場合もある。

 ビヨンド・インダストリー(Beyond Identity)が行った調査では、会社を辞めたあとに会社のアカウントにアクセスできたと答えた人が83%に上った。

 また、従業員が辞める際の認証語変更の過程を自動化していない会社も約半数ある。退職時の手続きにアカウント削除を組み込んでいる会社の割り合いは3分の1に留まっている。

 雇用主は、従業員の退職時にアカウントを削除する一方で、一定期間にわたる記録保持を定めた法令を順守する必要がある。「雇用主はそれによって、従業員についての情報と雇用終了の理由を保持できる」「それらは法的な義務であると同時に、自分たちを保護する方法でもある」と、データ保護技術を提供するプライヴィア(Privya)のウジー・ハダドCEOは説明した。

▽カリフォルニア、プライバシー権利法を1月1日から施行

 従業員データの管理にまつわる法令は国によって異なる。ハダド氏によると、GDPRは、雇用やその終了時のデータの取り扱いに関してあまり多くを規定しておらず、EU加盟諸国が独自に法令を制定できるという。

 カリフォルニア州では、2023年1月1日からプライバシー権利法が施行され、それによって、導入済みの消費者プライバシー法が大幅に改正される。

 ハダド氏によると、「消費者プライバシー法では従業員データが除外されていたが、新法ではその除外がなくなる。来年からは、個人データについての条項すべてが従業員データにも適用される」。

▽技術活用による対応強化

 そういった一連の法規制および規則順守リスクに対応するうえで、各社はまず、自社がどのようなデータを保有し、それをどこに保管し、どのような過程で活用および管理しているかを評価する必要がある。

 そのうえで、従業員データを暗号化したり匿名化したりするツールを使うことも可能だ。クラウド・ホスティングを事業拠点の所管地域内に制限することも、GDPRをはじめ他地域の規制対応という点でリスク低減策になる可能性がある。また、脆弱性評価を定期的に実行することも重要だ。

▽国際展開する会社にとって特に重要

 末端セキュリティーの強化は、すべての会社にとって重要だが、特に国際的に事業展開する会社らにとって重要性が高い。ファイヤーウォールやマルウェア削除、ランサムウェア対抗措置、端末管理、認証語管理、パッチ管理、VPN(virtual private network)といったさまざまの技術的対策の必要性がこれまで以上に強まっている。

 フォレスターのマッキーヴィー氏は、クラウド上でホスティングされる人材資源管理製品には法令順守を確認する機能を備えたものもあり、それらを使うことも対策になると述べた。

https://venturebeat.com/data-infrastructure/employee-offboarding-a-data-privacy-and-compliance-primer-for-hr-and-it/