勤怠管理システムのセキュリティ対策について~比較ポイントも解説~
Check!
- 勤怠管理システムの機能によっては、多くの個人情報を登録するため、情報保護が必須
- 対策を行わないと、情報の漏洩や改ざん・システムの停止やデータの破損が考えられる
- アップデートの適用や自動バックアップの有無を確認してからの利用がおすすめ
勤怠管理システムを導入する場合、提供元がどのようなセキュリティ対策を講じているのかを確認することは非常に重要です。この記事では、提供形式によるセキュリティの違いやセキュリティ対策が十分でない場合のリスク、利用時に気を付けたいチェックポイントについて解説します。
おすすめ記事
提供形式によるセキュリティの違いについて
働き方改革やテレワークの普及により勤怠管理が難しくなり、中小の企業においても勤怠管理システムの導入が進んできています。しかし、打刻方法も生体認証やPCログイン連携などいろいろあるうえに、各企業の就業マニュアルに対応した勤怠管理システムがあります。
しかし、勤怠管理システムの導入の際には、管理のしやすさだけでなく施されているセキュリティ対策のチェックも重要です。勤怠管理システムの提供形式には大きく分けてオンプレミス型とクラウド型があり、それぞれで施されるセキュリティ対策が異なります。
ここでは、オンプレミス型とクラウド型におけるセキュリティ対策の違いについて解説していきます。
\気になる項目をクリックで詳細へジャンプ/
オンプレミス型
オンプレミス型は自社にサーバーを置いて管理しながら利用する方式です。基本ローカルネットワークで運用されるので、情報漏洩のリスクが少ない勤怠管理システムです。また、自社のセキュリティポリシーに沿った厳格なセキュリティ対策が施せます。
しかし、自社にサーバーを設置しネットワーク環境を整えるための初期費用と運用までの準備期間が必要です。オンプレミス型勤怠管理システムのメリットとデメリットを簡単にまとめると、以下のようになります。
| メリット | デメリット |
|---|---|
| 機能のカスタマイズがしやすい | サーバーやネットワーク機器が必要 |
| 必要なセキュリティレベルに設定できる | 専門員が必要(IT管理者など) |
| ローカルネットワーク環境での運用のため情報の流出や漏えいリスクが少ない | 導入費用がかかる |
| 他のシステムとの連携が容易 | 導入までの準備期間が必要 |
クラウド型
クラウド型は、サービス提供会社のサーバーにある勤怠管理システムにインターネットを通してアクセスして利用する方法です。社内でシステムを構築する必要がなく、導入費用が最小限で抑えられます。近年注目度の高い方式です。
しかし、いろいろな点で提供元への依存度が高いので、導入の際にはセキュリティや搭載機能が自社と適合するか慎重に見極める必要があります。クラウド型勤怠管理システムのメリットとデメリットを簡単にまとめると、以下のようになります。
| メリット | デメリット |
|---|---|
| サーバーを設置する必要がない | カスタマイズ性に劣る |
| 専門員の必要がない(IT管理者など) | セキュリティレベルは提供元に依存 |
| 導入コストが安い | オンライン接続されていて、情報の流出や漏えいリスクがある |
| すぐに導入できる | 連携できるシステムが限られる |
セキュリティ対策が十分でない場合のリスクとは
勤怠管理システムには、多くの従業員の情報が含まれています。また、給与管理などの他のシステムと連携すればさらに膨大な個人情報や機密情報を扱うことになります。
したがって、個人情報を守り円滑に業務を推進するためにも、セキュリティ対策はしっかりしなくてはなりません。セキュリティ対策を怠ると個人情報が漏洩し社会的信用を損なったり、システムとともに業務も停止して甚大な損失を被ったりする場合もあります。
ここでは、セキュリティ対策が十分でない場合に起こりうる事象について解説していきます。
\気になる項目をクリックで詳細へジャンプ/
セキュリティ対策が十分でない場合のリスク
不正アクセスより情報漏洩・データ改ざんなどが起こる
悪意を持った第三者の不正アクセスは各企業で頻繁に起こっています。不正アクセスに対するセキュリティ対策がされていない場合、システムに含まれている個人情報が外部に漏洩したり、打刻データなどが改ざんされたりするリスクがあります。
不正アクセスを受け、情報が漏洩すると、各企業の信頼性も損なわれます。不正アクセスを受けてもシステム内に侵入できないよう、しっかりとしたセキュリティ対策が必要です。
ウイルスやマルウェアによりシステムが停止する
データ改ざんやデータの破壊・セキュリティを弱体化するウイルスやマルウェアの感染対策も重要です。最悪の場合はシステムが停止する場合もあります。軽くても復旧のためにシステムを停止せざるを得なくなります。
システム停止中も通常の業務を続けるために、システム復旧まで手書きやエクセル入力などで打刻を行なう必要があります。それに加え、集計なども手作業となり手軽にできていた勤怠管理が面倒なものになってしまいます。
サーバーで保管・管理しているデータが破損する
不正アクセスやウイルス・マルウェアを原因とするデータ破損以外にも、サーバー上のデータ破損が起こる場合があります。
たとえば、誤って必要なファイルを削除してしまったり、データを消してしまったりする人的なミスもあります。また、落雷や急な停電などによる電気的なトラブルや、地震・台風・集中豪雨などの自然災害などによるデータ損失も考えなくてはなりません。
デジタル機器は大変繊細で、サーバーのデータ記憶媒体も例外ではありません。外見は異常がなくても、強い振動で記憶媒体が破損しデータの読み込めない場合もあります。人為的なデータ損失や自然災害での破損も含めて、セキュリティを強化していく必要があります。
システムのセキュリティのチェックポイント
では、勤怠管理システムの導入に当たって、セキュリティ面でどのようなチェックをしていけばいいのでしょうか。ここでは、サービス利用時のチェックポイントを解説していきます。
\気になる項目をクリックで詳細へジャンプ/
システムのセキュリティのチェックポイント
OSやアプリケーションのアップデートは適用されるか
OSやアプリケーションの脆弱な部分をついて、コンピュータに侵入するサイバー攻撃から自分のコンピュータを守る基本はOSやアプリケーションのアップデートです。
OSやアプリケーションに、セキュリティ上の脆弱性が発見されたり新しい手法のサイバー攻撃が確認されたりすると、メーカーはその対策版をアップデートとして提供します。セキュリティ対策には、常に最新のアップデートの適用が必要です。
そのために、OSや勤怠管理システムを含むアプリケーションが常に最新版となるような仕組みになっているかどうかの確認が必要です。
データは自動的にバックアップが取れるか
データのバックアップがあれば、人為的なミスやファイル破損などによるデータ損失は復元できます。できるだけ小まめに、そして複数のバックアップが取れると安心です。
どの勤怠管理システムでもバックアップ機能はついていますが、人の手で行うのは面倒で忘れてしまう場合があります。そこで、バックアップを自動的に取る機能がついている勤怠管理システムなら安心して使えます。
データセンターの予備電源は確保できているか
落雷などによる瞬電や停電などに備えて、データセンターには予備電源の確保が必要です。サーバーは常時起動が原則ですが、瞬電や停電が起こるとそのまま電源が落ちてしまい、保存前のデータはもちろんそれ以外のデータの破損の恐れもあります。
そこで、データセンターには無停電電源装置(UPS)などの予備電源の装備が必要になります。UPSは停電になってもある程度の時間必要機器に電源を供給し、その間にシステムを正常に終了させてデータを守ります。
予備電源にはいろいろな方式があり、それぞれの企業に合った予備電源を確保する必要があります。
サーバーやネットワークは多重化されているか
サーバーもネットワークも常に故障するリスクを持っています。サーバーが故障すると今まで当たり前のように使っていた勤怠管理システムも使えなくなり、大変不便な状況に陥ります。それを回避する手段がサーバーやネットワークの多重化です。
多重化では複数のサーバーで同一のシステムを監視したり、複数のネットワークを構築したりして1つのサーバーやネットワークがダウンしてももう一つのサーバーやネットワークが働く仕組みです。
それによりサーバーやネットワーク機器が故障しても、業務の停止時間を最小限に抑えられます。
ウイルス・マルウェア感染への対策は取れているか
サーバーには勤怠管理以外にも各企業の重要なシステムが導入されています。そのサーバーがウイルスやマルウェアに感染してしまうと、企業に重大な損失を生じさせる恐れがあります。従業員が使うPCだけでなく、サーバーへの感染対策も必要です。
そのためには、従業員へのネットワークポリシーの向上のほかに、ファイアウォール設定などのシステム面での整備も必要です。また、サーバー用のウイルス対策ソフトの導入も有効的です。
ネットワーク通信の暗号化がされているか
ネットワークを通してデータのやり取りをする場合、第三者に盗聴される恐れがあります。万が一盗聴されてもデータが暗号化されていれば、第三者はデータの内容を判別できず、データ漏洩を防げます。
導入を考えている勤怠管理システムがどのような形で暗号化を図っているかのチェックが重要です。暗号化や暗号化解除のしやすさもチェックポイントになります。
データセンターのセキュリティ対策は十分か
データセンターのセキュリティ対策は、サイバー攻撃などからシステムを守る情報セキュリティ対策のほかに、建物やサーバールームへ悪意ある者が侵入してのデータの改ざんやデータの持ち出しを防ぐ物理的対策をしなくてはなりません。
そのためにも、データセンターへの入退室管理はもちろん、アクセス権には制限を設け、防犯カメラの監視・警備員の常駐・緊急アラーム・消火システムの整備などできる限りのセキュリティ対策を施し、24時間データセンターを守る必要があります。
サービス運営会社のチェックポイント
特に、セキュリティレベルをサービス運営会社に依存するクラウド型サービスでは、サービス運営会社のセキュリティ対策について慎重にチェックしていく必要があります。ここでは、提供形式に関わらず、運営会社選びのチェックポイントを解説していきます。
\気になる項目をクリックで詳細へジャンプ/
サービス運営会社のチェックポイント
プライバシーポリシー
勤怠管理システムを導入する際には、サービス運営会社のプライバシーポリシーの確認は極めて重要です。サーバーやシステム点検の頻度や、システムのアップデートの頻度なども選択のチェックポイントになります。
特にクラウド型勤怠管理システムでは、個人情報を運営会社が管理するため、しっかりとしたプライバシーポリシーを持つ運営会社でなくてはなりません。
プライバシーマーク
個人情報の取り扱いができている企業や団体には、プライバシーマークの表示が許される「プライバシーマーク制度」が1998年から実施されています。そのため、プライバシーマークを取得している運営会社は個人情報管理では安心できるといえます。
プライバシーマークの取得には、日本産業規格や個人情報保護法をはじめ個人情報関連条例・業界の個人情報ガイドラインなどへの適合が審査されます。したがって、個人情報保護法以上に厳しい管理が行われている証となっています。
ISMS認証
ISMS認証とは情報セキュリティマネジメントシステムと呼ばれ、情報セキュリティの要件を満たす企業や団体に授与される国際規格です。ISMS認証を受けている運営会社はセキュリティ面で安心できるといえます。
ISMS認証で求められるセキュリティ要件は、機密性・完全性・可用性の3つです。機密性は認められた人のみが情報を扱える状態、完全性は情報の改ざんや不正な削除が行われない状態、可用性は認められた人がいつでも情報の閲覧・編集できる状態です。
サポート体制の有無
勤怠管理システム導入の際、どうしても機能面や費用に重点をおいてしまいますが、見落としがちなサポート体制の有無も重要なポイントです。どんなに強固なセキュリティシステムを扱っていても、システムサポートのサービスを提供しておらず、万が一のトラブルの際にシステムが使えない、ということもないとは言い切れません。
サポートやヘルプセンターが充実していれば、導入前から自社の抱える課題に適した使い方や提案も受けられます。せっかく導入したのに使いこなせないという不安点も払拭され、専門家の視点からもセキュリティへの万全な処置をとることができます。
まとめ
勤怠管理システムを導入すれば、従業員の出退勤の時刻を記録し、適切な労働時間管理ができます。そして、給与関係のシステムと連携させれば、さらに業務の効率化が図れるのが大きなメリットです。
勤怠管理システムの提供形式には、自社にサーバーを置いて自主管理する「オンプレミス型」とサービス運営会社にサーバーを置いて管理してもらう「クラウド型」があり、それぞれにメリットとデメリットがあります。
しかしどちらの提供形式においても、多くの個人情報がサーバー中に保管され、各企業はしっかりとしたセキュリティ対策を施し、個人情報を守る義務があります。個人情報の漏洩は企業にとって大きな損失を招くとともに、社会的信用も失う原因となります。
そのために、勤怠管理システムを導入する際にはサービスを提供する運営会社のプライバシーポリシーや第三者機関から受けた認証などをチェックして、自社に合った適切なサービスが受けられる運営会社の選択が大切です。
この記事に興味を持った方におすすめ
