宣言事業者一覧

事例2

事例2画像

企業名: 社会保険労務士法人ミライエ(代表社員:石上 慶、根本 啓明)
所在地: 東京都千代田区
従業員: 2名
業 種: サービス業(社会保険労務士事務所)
取組み段階: 二つ星

今回は、SECURITY ACTION宣言した社会保険労務士事務所の取組事例をご紹介します。

社労士業界全体で取り組む必要があると考えSECURITY ACTIONを宣言
—SECURITY ACTIONを宣言しようと思った理由は何でしょう?

『月刊社労士』平成29年3月号でSECURITY ACTIONの紹介記事があり、4月から始まる新しい制度だということで興味を持ちました。『月刊社労士』に掲載されるということは、すなわち全国社会保険労務士会連合会が社労士に推奨しているということですから、業界全体として取り組んでいくものであり、社労士の一人としてともに動いていく必要があると考え、宣言しました。

顧問先からの預かり情報で情報セキュリティ対策の必要性を認識
—事業を実施する中で、情報セキュリティへの対応が必要だと感じた場面はありましたか?

社労士は、顧問先の従業員等の個人情報を取り扱うほか、企業の経営・財務や事業計画等に関する社外秘の情報や、場合によっては投資家の行動に影響するような情報を知る機会もけっこうあります。もちろん社労士法上の守秘義務がありますので、外に漏らすことはありませんが、情報が漏えいするリスクはあるので、特にデータで情報をいただいた場合は規定に従って適正に管理や廃棄を行うなど、取り扱いには十分に気を使っています。

多額のコストをかけなくても情報セキュリティ対策はできる
—「5分でできる!情報セキュリティ自社診断」を実施されたと思いますが、いかがでしたか?

基本的対策から従業員や組織の対策に関する事項まで、当事務所が取得しているプライバシーマーク制度の取り組みと共通する点も多く、かなりクリアできていたと思います。システム的な対策に関して言うと、多額のコストをかけて設備投資し、情報を守らなければならないようなイメージを持たれている人がいるかもしれませんが、決してそうではありません。たとえば私どもの取り組みを一つ紹介すると、メールの誤送信防止対策では、ミライエにはもうひとり共同代表がいますから、2人の机の間にモニターを置き、メール送信の際はそのモニターでメールの宛先等をお互いに確認してから送信するようにしています。時間的なコストは多少かかりますが、1分もかからない作業でセキュリティ効果があるので、設備投資にあまりコストのかけられない企業でも取り組みやすいのではないでしょうか。自分たちができる範囲と効果を考えながら、取り組むことが大切です。

—外部に対してどのような情報セキュリティ対策を求めていますか?

顧問先の情報セキュリティ対策には、かなりの温度差がありますが、私たちは業務を委託される立場ですから、当然ながら一番高いレベルと同等かそれ以上のセキュリティを常に意識しています。一方で、情報セキュリティにあまり意識が高くない顧問先に対しては、行動でセキュリティを高めるように誘導しています。たとえば顧客から個人情報のファイルにパスワードをつけないメールが送られてきた場合には、こちらから返信する時にパスワードをつけて送り返すようにすると、次回からは先方からもパスワードがついてくることはよくあります。これだけのことで相手側のセキュリティレベルが少し上がるようになります。さらにファイルのやりとりをメールではなくクラウド上で行ったほうが容易ではないか、といった提案で、少しずつクラウドに移行を促していければ、設備投資もなく、ごく自然に相手側のセキュリティレベルを上げることができます。

おわりに

今回の事例は、コストも考慮しつつセキュリティレベルを高める工夫がみられました。また、顧問先の情報セキュリティ対策の向上にも取組まれていることが印象的でした。