企業が海外市場に進出し、新たな拠点の従業員向けに給与計算などの重要サー ビスを整備しようとする際、データセキュリティは最優先課題となります。
クライアントや従業員のデータの安全を守るためには、データプライバシーと データセキュリティの両方が重要です。データプライバシーとは、個人データの 利用と管理に重点を置く概念であり、個人の権利や国境を越えるデータ移転の 保護を含め、個人データの処理方法に関するポリシー、原則、内部統制、法 律といった要素が含まれます。一方、データセキュリティとは、データを保護す るために組織の業務に導入されるツール、プロセス、コントロールを指します。 本記事では、ビジネスを海外展開する際に考慮すべき、変化し続けるセキュリティ 環境に焦点を当てます。
高まる一方の給与データセキュリティの必要性
従業員への給与支払いを処理するために収集する個人データは、常に適切に保護され るべき情報の代表例です。
このデータを国内外で保護することは、ここ数年のさまざまな出来事の影響により、こ れまでになく複雑になっています。こうした出来事は、セキュリティリスクの増大や複雑 なコンプライアンス問題といった課題を生みましたが、同時に、従来は不可能だった形 で企業が成長できる機会ももたらしました。
その結果、企業は給与計算戦略において情報セキュリティを一層重視するようになってい ます。グローバルな給与計算リーダーの100%が、過去12か月間でデータセキュリティ の重要性が高まったと回答しています。そのうち47%は「極めて重要」と答えています。2
給与計算チームにおけるデータセキュリティスキルの重要性
高度なデジタルスキルの活用が、この戦略にとって重要な要素となるべきですが、グロー バル企業にとって、現状の労働市場が障壁となっています。Statistaに よ る と 、「 2024年、 アジア太平洋地域では世界最大のサイバーセキュリティ人材不足が生じており、この人 口最多の地域では依然として337万人を超えるITセキュリティ専門家が不足しています。 世界全体では、約470万人のサイバーセキュリティ要員の不足が存在しています。」1
このような人材不足の影響は、事実、ADPが実施した最新のグローバル調査である 「2025年版 給与計算業務のトレンド」の回答結果にも反映されています。自社の給与 計算チームに必要なデータセキュリティスキルが備わっていると答えたグローバル企業の ビジネスリーダーは 67%にとどまり、26%は必要だが不足していると答えています。2
57%のグローバル 企業の経営層が、 過去2年間で、給与計算業務 が1回以上(最大5回 超 )セ キ ュ リティ侵害の影響を受けたと回 答しています。2
企業にとって明らかに不可欠とな るのは、給与計算に影響を及ぼ しかねないセキュリティインシデ ントを防ぐため、従業員向けに セキュリティのベストプラクティス を確立することです。しかし現実 には、サイバー攻撃や重大なシ ステム障害が発生した場合に備 え、世界全体で給与計算オペレー ションを守るためのプレイブック や緊急時対応計画を策定してい る企業は58%にすぎません。2
グローバル給与データセキュリティを取り巻く脅威のカテゴ リー(リアルタイムのサイバー脅威)
-
ソーシャルエンジニアリング攻撃やイベント型メール攻撃
- 手口はますます巧妙化しており、人の感情を操る戦術が特徴 です。その多くはメール経由で行われ、フィッシング攻撃はサ イバー犯罪者が侵入の足掛かりとする典型的な手段です。
- 社会的な状況や話題を巧みに利用したメッセージで、受信者 の感情に訴えかけ、リンクをクリックさせるよう仕組まれてい ます。
- 「ビジネスメール詐欺(BEC)」は、経営幹部や予算管理者 を狙った標的型フィッシング攻撃で、被害者に電子送金など を行わせることを狙っています。
-
ランサムウェアやマルウェアによる攻撃
- 個人や複数の関係者(例:被害者の親族など)から金銭を 脅し取ることを目的としています。マルウェアの多くは「トロ イの木馬」であり、正規のプログラムに見せかけてコンピュー タを乗っ取り可能にする悪意あるソフトウェアです。バックド ア攻撃も増加しています。
- 攻撃者は悪意あるソフトウェアを使ってシステムへのアクセス を遮断し、機密情報を盗んだり暗号化したりして、身代金を 支払わなければ公開すると脅迫します。
-
データ流出
- 現職の従業員によるインサイダー行為の場合もありますが、 実際には誤ったファイル送信や不安全なチャネルの利用、権 限のない相手への送信など、従業員のミスが原因となること が多くなっています。
-
サードパーティやサプライチェーンへの攻撃
- このタイプの攻撃は増加傾向です。犯罪者は、企業が利用し ているサードパーティの製品やサービス、情報処理施設との 関係に潜む脆弱性を狙っています。
脅威の状況に対する企業ごとの対応の違い
どの業界に属する企業であっても、犯罪者は部門横断的、国際的なサ プライチェーンのつながりを狙う傾向を強めています。したがって、自社 の給与計算インフラを支えるパートナー、サプライヤー、サードパーティ ベンダーを含めたエコシステム全体を見渡して検討する必要があります。 グローバル規模でセキュリティインシデントの性質が変化している中で、 従来の技術的な領域を超えた協力やリスク評価は、給与データのセキュ リティ戦略にとって不可欠な要素となります。
サイバー脅威の多くは、次のよう なリスクを伴います。
- 機密性の高い従業員データと財務 データの紛失
- コンプライアンス違反による制裁
- 給与計算インフラのセキュリティ侵害
- 給与計算プロセスそのものの停止や 中断
- 請求書を支払えず途方にくれる従業員
最悪の場合、企業が従業員に給与を支 払えなくなり、評判・法規制・従業員エ ンゲージメントに深刻な課題を引き起こ す可能性があります。
2023年のサイバー攻撃の分布データによると、世界全体で最も攻撃の割合が高かったのは製造業(25.7%)で、次いで金融・ 保険業が約18.2%でした。3しかし、ADPがグローバル企業の給与部門マネージャーに実施した調査では、給与データのセキュ リティの重要性に対する認識は業種によって大きく異なることが明らかになっています。
「過去12か月間で、給与データセキュリティは 当社にとって極めて重要なものとなりました。」2
- 53% 金融業界
- 48% IT、テクノロジー、通信
- 47% 建設、不動産
- 47% 小売、流通、運輸
- 43% ビジネス、専門サービス
- 42% 製造業界
興味深いことに、調査対象企業の所在地域も、 給与データセキュリティ保護を強化する必要性 に対する認識に影響を与えているようです。
- 47% アジア太平洋
- 46% ヨーロッパ、アフリカ
- 46% 中南米
- 42% 北米
新規市場における給与データの物理的セキュリティ管理
事業を拡大していく企業は、従業員の給与データを物理的な脅威から守る対策も講じる必要があります。とりわけ新しい土地 を拠点とする場合には、大きな課題となりかねません。物理的な保護策には、オフィスや施設のセキュリティ、ワークステーショ ンやデバイスといった設備の保護、さらに給与データを記録した物理メディアの移送時における管理・廃棄などが含まれます。
給与計算を自社で管理する場合、チームは物理的な脅威やシステム停止に備えた管理体制を整えるとともに、電源供給やケー ブルといったインフラを含むサポート施設を保護する必要があります。さらに、スタッフが私物のノートPCやスマートフォン、タ ブレットを業務に利用する「BYOD(私的所有デバイスの持ち込み)」を導入する場合は、給与データが危険にさらされないよ う十分な対策を講じる必要があります。
事業拡大に踏み出す前に、堅牢な事業 継続計画(BCP)を策定するための知 識を備え、事業を守るためのリソースを 確保しておくことが重要です。
1 Statista Cybersecurity workforce gap worldwide in 2024.
2 ADP, The potential of payroll in 2025: Global payroll survey.
3 Statista, Distribution of cyber-attacks across worldwide industries in 2023.
