不適切な人材を排除するためには複数の手段を組み合わせる必要がある。だがやり方を間違えると士気の低下や不信感のまん延につながる。
人材の採用活動には、機密情報へのアクセスを目的とした不正な人物や職歴を偽る応募者を引き入れてしまうというリスクが付きまとう。
基本的な身元調査はリスクの軽減に役立つ。だが身元調査では過去のことしか分からず、そもそも必ず身元を確認できるわけでもない。「適切な人材を確保するには、慎重な身元調査は不可欠だ。身元、財務状態、犯罪歴の確認など、確認範囲を広げることにも価値がある。何を確認すべきかは企業や役職によって異なるが、応募者が正当な理由で応募していることを確認する上では重要になる可能性がある」(リア氏)
応募者の身元確認時は、応募者の経験と資格だけでなく応募者が関与してきた組織や周囲の人々に接触して応募者の背景を詳しく調べる必要がある。「元従業員について問い合わせるメールが増えている。履歴書に記載されている前職にさかのぼって調べている。こうした身元確認をさらに洗練しなければならない」(タンカード氏)
国防機関や諜報(ちょうほう)機関など、セキュリティ審査が必須要件となる分野もある。「私が所属する分野では、全ての役職に国家セキュリティクリアランス(National Security Clearance)の保有が求められる。さまざまな理由でクリアランスが一時停止または失効している従業員がいた。このケースでは、個人が開示しなくても雇用主がUK Security Vetting(UKSV)に連絡すれば、この情報が開示される」
「いずれのケースも、その従業員は調査が終わるまで仕事を中断させられ、結果に基づいて仕事に戻るか、解雇された。UKSVが関与しなければ見つけるのは難しい。自社と従業員の安全を確保するには、こうした警告サインを見逃さないことが重要だ」(リア氏)
身元確認は絶対確実なものではない。犯罪記録管理局で犯歴を調査しても、応募者が有罪判決を受けていなければ意味のある結果は出てこない。申し立てや係争中の問題は示されない。応募者の身元調査に何らかの不一致が見つかった場合、虚偽を示す可能性があるためさらなる調査が必要になる。
犯歴調査は、企業ごとに適切なレベルを決める必要がある。だが、身元調査だけに頼って不適切な応募者を判断すべきではない。セキュリティリスクの可能性について、継続的に警戒する必要がある。
継続的な警戒には、IAM(IDおよびアクセス管理)システムが有効であることが証明されている。IAMによって新入社員のアクセス権を定義できる。従業員のアクセス権は、職務の遂行に必要な情報のみに制限する必要がある。当然、従業員の職務は時間とともに広がり、進化する。そのため、アクセス権は定期的に確認して再調整する必要がある。
ネットワーク監視システムを使えば、ネットワークでの疑わしい挙動を検出できる。機械学習によって従業員の許容可能な行動パターンが生成される。「仕事のパターン(始業と終業の時刻、アクセスするデータ、ネットワークの移動経路)に関する従業員の行動パターンのイメージを把握する。そうすれば、従業員が許可されていない場所に踏み込もうとしても、かなり高い頻度でそれを検知できる」(タンカード氏)
制限されている情報へのアクセスや勤務時間外の大量ダウンロードの試みなど、従業員が許容範囲外の行動を取るとネットワーク管理者に通知される。
従業員監視という選択肢もある。だが、どのように職場を監視する場合でも威圧的にならないよう注意することが重要だ。確認しなければならないデータが大量になるだけでなく、従業員が信頼されていないと感じて士気に影響する恐れもある。
オフィス環境ならば、疑わしい行動の兆候にはまず同僚が気付く。職務に関係ない情報について質問をする従業員などがその例だ。テレワークによって、こうした疑わしい行動の検知が困難になる。ただし、物理的な盗聴や他人のパスワードの利用などのリスクは軽減する。
内部通報者は、実際には懸念を示しているだけなのに、近年では「密告者」という汚名を着せられる恐れがある。内部通報のプロセスを匿名にすれば、従業員が個人情報を公開しないで懸念事項を報告できる。
「内部通報のポリシーを有する企業は多い。そうした企業は、通報することを非難しないよう奨励している」(タンカード氏)
多くの場合、そうした通報は取るに足らないか単なる思い過ごしにすぎない。ただし、悪意のある行動の兆候や詳しい調査を必要とする通報もある。そうした事態に備えて通報ポリシーを用意することで、企業は懸念事項に迅速に対応できる。
応募者との対面面接は、オンライン面接にまつわる多くのリスクを排除する。だが、応募者も限定される。適切な対策を講じれば、虚偽報告や悪意を持った行動から身を守りながら、地理的制約のない人材プールからオンライン面接できる。
Copyright © ITmedia, Inc. All Rights Reserved.
2025年の「IT導入補助金」で中堅・中小が導入すべき2つのツール (2025/3/31)
申請業務のシステム化が難しい理由とその解決策とは (2024/9/27)
運用・管理はお任せ 生成AIを安全に活用できるRPAプラットフォーム (2024/5/16)
オンライン研修で情報処理安全確保支援士の取得と維持を支援 (2024/2/1)
セキュリティ対策にDX 情シスが「やりたくてもできない」状況から脱するには? (2024/1/29)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。