採用サイトに｢社員の氏名｣載せる企業の危うさ サイバー攻撃者が狙う情報､新入社員も標的に

ウイルス対策ソフトをインストールしていても、サイバー被害に遭ってしまう理由がここにあります。

SNSでつながった友達がサイバー攻撃者だった

――会社名と個人名、メールアドレスを紐づけられるといえば、Facebookやリンクトイン等のSNSにも危険はあるのでしょうか。

SNSに個人名と会社名に加えて、電話番号、メールアドレスなどを掲載している方もいますが、これは「狙ってください」と言っているようなもの。

SNSで友達申請を受け、半年くらいやり取りを重ねて信頼関係を構築したところで、攻撃を仕掛けられたケースもあります。会話の流れで送られてきたリンクやPDFを開いたり、資料を送りたいのでメールアドレスを教えてほしいと言われ、メールアドレスを教えてしまったりしてマルウェアに感染し、被害に遭ってしまうのです。

会社にUSBメモリが郵送されてくることもあります。個人宛に届き、「何だろう」とパソコンに差し込むと、途端にマルウェアに感染して情報を抜き取られてしまうわけです。

落とし物を装ってUSBを置いておき、中身を確認するためにパソコンに挿入させようと誘導する手口もあります。

――社員の情報掲載はリスクがある一方、社員を登場させることで仕事内容や働き方等を理解してもらい、採用活動につなげたい企業は多いでしょう。掲載してよい情報とそうでない情報の線引きはどうすればよいですか。

サイバーセキュリティの観点では、本人を特定できないようにすることが基本です。会社のホームページで社員名を掲載すると特定されてしまうので、どうしても載せたい場合はイニシャル表示にするとよいでしょう。

会社がセキュリティ対策を講じていても、社員が個人としてSNSで情報発信をしているケースもあります。とくに若い人たちはSNSネイティブで、情報の公開にあまり抵抗がありません。「入社しました！」と投稿したり、名刺などの個人が特定できる情報が写った写真をあげたりする事例はよくあります。

これに対しては会社の教育が重要で、SNSに情報をあげるリスクを伝えていく必要があります。サイバー攻撃を抜きにしても、ストーカー被害などパーソナルリスクにもなり得ますから。

一方で、社員が自分の名前を明らかにして発信したいケースもあるでしょう。個人の情報発信を縛ることは難しいですが、会社としてリスクは認識しなければいけません。個人名でSNSやブログ、YouTubeなどをしたい場合は申告制にするとよいでしょう。