労務担当者の方は人事部の中でも特に、社員のマイナンバー情報や、給与情報、家族情報、保健・医療情報といった機微情報に触れる機会が多く、個人情報の取扱いに際してヒヤッとすることも多いのではないでしょうか。
当社でも顧客企業の大事な社員情報をお預かりするうえで、2005年にプライバシーマークの認証を取得、マイナンバーの運用が開始された2016年には情報セキュリティマネジメントシステム（ISMS）の認証を取得し、情報管理体制および社員のセキュリティ意識の向上に取り組んで参りました。
今回はそうした当社の取り組みの中から、特に人事・労務担当者の方が意識するべきものをご紹介します。

一般財団法人日本情報経済社会推進協会（JIPDEC）のレポートによると、個人情報事故で最も多いのは情報の「誤送付」で全体の63.6%。「誤送付」のうち「メールの誤送信」が37%を占めています。
※引用元： 2021年度「個人情報の取扱いにおける事故報告集計結果」（JIPDEC）

また新型コロナウイルス感染症対策としてリモートワークが急速に普及した2021年には、「メール誤送信」の事故報告件数が前年比約1.5倍と急増しています。

リモートワークの普及以前から、「メール誤送信」は事故原因のトップ1でしたが、就業環境の変化によりそのリスクは著しく増大しています。リモートワークによってオンラインでの情報共有機会が大幅に増加し、メール送信時にも複数人の目でのダブルチェックがしづらい環境になっています。当社ではメール添付によるデータファイルの授受を極小化するため以下の対応をとっています。

個人情報事故は誤送付以外にも、不正アクセスや目的外利用といったものも多くみられます。
人事部の中でもその職務は採用、教育、人事企画、労務管理、給与計算、社会保険手続き等多岐に渡り、職務遂行上必要のない情報へのアクセスは制限する必要があります（教育担当の方は社員の給与やマイナンバー情報へのアクセスをさせない等）。
当社のお客様の中でも、厳格な内部統制を求められる業種の企業様では人事担当者の職務・職責に応じた細やかなアクセス権限設定をご要望されることがあります。

一方で、現実には異動や人事部内での役割変更、或いは一時的に担当外の業務を兼務、サポートしなければならないといったことも頻繁に発生すると思います。
あまりアクセス権限を細分化しすぎると上記のような状況の変化に合わせたアクセス権限管理が複雑、煩雑になってしまったり、どの権限を付与したら、どこまでの情報にアクセス出来るのか判りにくくなってしまう、という事態に陥りがちです。
権限の管理が複雑になりすぎないよう、組織の実情に合わせて内部統制と、実際の運用管理のバランスを考慮した運用設計が成功の鍵となります。

番号法施行時には世の中的にもセキュリティ意識が一気に向上しましたが、マイナンバー運用も定着し、「慣れ」による意識の低下が起きていませんか？
当社ではプライバシーマークやISMSの運用上で各種管理台帳への記録を徹底していますが、定期的・継続的な情報セキュリティのEラーニングや理解度テストの実施、内部監査による運用評価とフィードバックによる現場の意識向上がより重要と考えています。

社員の方々の大事な個人情報をしっかり守るためには仕組化と、取り扱う担当者のセキュリティ意識の両輪が必要です。我々も多くのお客様の個人情報を安心してお任せいただけるよう、日々取り組んでいます。