採用サイトに｢社員の氏名｣載せる企業の危うさ サイバー攻撃者が狙う情報､新入社員も標的に

会社がセキュリティ対策を講じていても、社員が個人としてSNSで情報発信をしているケースもあります。とくに若い人たちはSNSネイティブで、情報の公開にあまり抵抗がありません。「入社しました！」と投稿したり、名刺などの個人が特定できる情報が写った写真をあげたりする事例はよくあります。

これに対しては会社の教育が重要で、SNSに情報をあげるリスクを伝えていく必要があります。サイバー攻撃を抜きにしても、ストーカー被害などパーソナルリスクにもなり得ますから。

一方で、社員が自分の名前を明らかにして発信したいケースもあるでしょう。個人の情報発信を縛ることは難しいですが、会社としてリスクは認識しなければいけません。個人名でSNSやブログ、YouTubeなどをしたい場合は申告制にするとよいでしょう。

社内で自撮りをしたら、機密情報が写ってしまっていたという場合もあります。とある会社は、入社に浮かれてオフィス内で自撮りした新入社員を1日でクビにしたそうです。そのくらい厳しい体制を敷いている会社もあります。

BtoB企業が、「お客様の声」として顧客の会社名や担当者名とともにコメントを掲載するのも、セキュリティの観点で申し上げると、実は控えるべきなのです。

また、エンジニアや社内の情シス担当等の募集サイトで、使用しているセキュリティツール（ファイアウォール等の具体的な機種名や、Windowsサーバの使用バージョン）をそのまま掲載してしまうと、「この会社はこのサービスを使っているのか」と攻撃者に情報を与えることになります。

新入社員の電話応対を狙って情報を聞き出す事例も

――社員の個人情報以外に、掲載にリスクがある情報はありますか。

実は、会社の地方拠点や支店の電話番号などを会社のホームページや採用サイト等に掲載することにもリスクがあります。特に4月から6月、支店では新人教育を兼ねて新入社員が電話応対をすることが多く、攻撃者はそこを突いてくるのです。

那須氏の話を基に東洋経済作成

こんなふうに、慣れない新人から必要な情報を聞き出し、攻撃の準備をするのです。