当法人の労務相談顧問は、「迅速なレスポンス」、「杓子定規ではない寄り添った回答」が特徴で、法改正内容や対応事項のような基本的なところから労使間のトラブルの対応方法、問題社員への対応方法等多くの相談に対応しております。
ランサムウェア攻撃によるシステム障害により給与計算・社会保険手続き業務に支障をきたしている企業様へ
はじめに
社会保険労務士向けの業務ソフトウェアを開発している会社が2023年6月にランサムウェアによるサイバー攻撃を受け、各種のクラウドサービスが利用できない状態となりました。現在は復旧に向かっています。
保存されている給与計算情報や個人のマイナンバー情報などで個人情報流出の恐れもあり、こちらのシステムを使用している顧問社労士事務所に給与計算や社会保険手続きを依頼している企業の場合、個人情報流出の被害に遭っている可能性があります。
このような企業経営者・人事労務担当者様は本記事をご覧ください
・自社の顧問社労士がこのシステムを使用しており自社の個人情報が流出している恐れがある方
・今後同じようなシステム障害に遭わないための社労士事務所の選び方を知っておきたい方
・今後社労士に給与計算・手続き業務を依頼しようと考えている方
ランサムウェア攻撃とは
ランサムウェア攻撃は、悪意のあるソフトウェアによる攻撃手法です。データやファイルを暗号化し、被害者のアクセスを封じ込めます。その後、身代金を要求して復号化キーを提供するものです。
ランサムウェア攻撃の特徴
特徴としては以下のとおりです。
ランサムウェア攻撃の特徴①:感染経路
不正なメールの添付ファイルやリンクを通じて感染します。
ランサムウェア攻撃の特徴②:暗号化
攻撃者はデータを暗号化して利用者のアクセスを制限します。データは利用できなくなります。
ランサムウェア攻撃の特徴③:身代金要求
攻撃者は身代金を要求し、復号化キーを提供します。仮想通貨での支払いが一般的です。
今後同様の事故が起こった際の対策・予防方法とは?
対策・予防①:定期的なバックアップの実施
従業員の個人情報を管理・保管するサーバーがシステム会社側で管理しているサーバーのみとなっている場合、システム会社側でデータが消失してしまうと手も足も出ない状況になります。
定期的にシステム上のデータを自社管理のサーバーでバックアップし、被害時にデータ復旧が可能な状態で保全しておくべきでしょう。
対策・予防②:事故が起こった後の対応方針の事前想定(BCP)をしておく
今回のランサムウェア攻撃のような、悪意のある第3者からのサイバー攻撃は、クラウドシステムを使用して給与計算や社会保険の電子申請を行っている以上避けては通れないリスクです。前述のバックアップ対策を行うなど企業側で自衛できる点は対策を講じるべきですが、サイバー攻撃を受けた際の事業継続計画を検討しておくのも重要な切り口と言えます。
具体的には①個人情報保護委員会への報告の段取りの確認②従業員への周知・連絡手段の確認③退職者への報告方法の確認④顧客への報告方法の確認などの検討が必要になります。
対策・予防③:信頼のおける委託先に依頼すること
一番手早い自衛手段は、セキュリティレベルの高い外部委託先に外注するという方法です。上場企業、大手企業とのお付き合いのある社労士事務所lは、顧客から高い要求水準のセキュリティ対策を講じているケースが有り、委託先の目利きの際の判断材料になります。
また、社労士事務所が使用する業務システムを事前に確認できるようでありましたら、インターネット検索の範囲内でも自社でチェックが可能です。
社会保険労務士法人ワンステップの取り組み
最後に、和歌山を中心に創業から18年を超え、一貫して「人事労務の手続きサポート・助成金の積極提案」を主軸に取り組む社会保険労務士ワンステップのセキュリティ対策についてご紹介させていただきます。
セキュリティ対策への取り組み①:IPA セキュリティアクション☆☆(最高評価)
当社は、情報セキュリティの向上を図り、お客様のプライバシーとデータ保護のため、IPAのセキュリティアクション★★を取得しました。この制度は、組織のセキュリティ対策を自己診断・設計・実施の3つのステップで改善し、認定を取得するものです。
当社では、お客様のデータを安全に管理するため、以下の対策を実施しています。
・データの暗号化とアクセス制御によるセキュリティ強化
・定期的なリスク評価とセキュリティ意識向上のための教育訓練
・マルウェア対策や侵入検知システムによるネットワークセキュリティの強化
・データバックアップと継続的な監視・改善活動の実施
お客様のプライバシーとデータの安全性を守るため、当社はセキュリティに最大限の注意を払っています。お客様から預かる情報は厳重に管理し、第三者への漏洩や不正アクセスを防止します。
セキュリティ対策への取り組み②:クラウドストレージサービスBOXの使用
当社では、お客様のデータの安全性を最優先に考え、クラウドストレージサービスとしてBOXを利用しています。お客様の情報セキュリティを確保するため、以下のセキュリティ対策を実施しています。
データの暗号化とアクセス制御:BOXでは、お客様のデータを保存や転送時に暗号化し、不正アクセスから保護しています。また、アクセス制御を厳密に管理し、必要な権限を持ったユーザーだけがデータにアクセスできるよう制限しています。
多層的なセキュリティ機能:BOXは、ファイアウォールや侵入検知システムなどのネットワークセキュリティ対策を備えています。さらに、マルウェア検知やファイルの監査ログなどのセキュリティ機能が組み込まれており、不正なアクセスや悪意のある活動を防止します。
データのバックアップと冗長性:BOXでは、お客様のデータを定期的にバックアップし、データの損失や障害に備えています。また、冗長性を確保することで、データの復元やサービスの継続性を確保しています。
セキュリティ対策への取り組み③:セルズ
日本マイクロソフトの専用サーバーを利用しているため、ソフトウェア修正プログラムの自動適用、ネットワーク負荷分散、およびサービス提供ができなくなる事態を防ぐ機能などが組み込まれています。また、サービスの正常性を絶えず監視するエンジニアによって、24 時間 365 日体制でテクニカル サポートが提供されています。
アクセスは全てSSL通信(暗号化通信)で行われています。
※SSL(Secure Socket Layer)通信とは、インターネット上でやりとりされるデータの「盗聴」「改ざん」「なりすまし」を防止するための暗号化プロトコル(通信方法)です。
日本マイクロソフトによるクラウドバックアップが行われています。
Cellsドライブのデータは、日本マイクロソフトの専用サーバーにより、常に別の場所にバックアップがとられています。
この他のセキュリティー対策については下記リンク先より詳細についてご確認ください。
セキュリティ対策万全な社労士事務所への給与計算・手続き業務の委託をお考えの企業様は当法人にご相談ください
社会保険労務士ワンステップでは幅広い企業規模の給与計算・手続き・労務相談・評価制度構築・助成金申請業務に対応可能です。
当法人の事務所概要は下記などをご覧ください。
>>顧問先様の声(https://www.onestep-sr.jp/customer/)
>>当法人の特徴(https://www.onestep-sr.jp/page-1744/page-1746/)
>>お問い合わせ(https://www.onestep-sr.jp/contact/)
