SmartHR・freeeに保存された従業員データを安全に守る方法

SmartHR、freee人事労務、マネーフォワードクラウド給与――日本の多くの企業がこうしたクラウド型HR・会計SaaSを導入しています。紙の書類から解放され、業務効率は大幅に向上しました。しかし、これらのサービスには従業員の最も機密性の高い情報が集約されています。

HR・会計SaaSに保存される機密データ

データ種類	具体的な内容	漏洩時のリスク
個人識別情報	マイナンバー、住所、生年月日	なりすまし、詐欺
給与情報	基本給、賞与、手当、控除額	社内トラブル、脅迫
金融情報	振込口座、クレジットカード	金銭被害
健康情報	健康診断結果、傷病手当履歴	差別、プライバシー侵害
評価情報	人事評価、懲戒記録	名誉毀損、キャリア被害

特にマイナンバーは、法律で厳格な管理が求められる特定個人情報です。

よくある漏洩パターン

1. 管理者アカウントの共有

人事担当者が異動や退職する際、後任者にLINEやチャットでパスワードを送ってしまうケースが非常に多いです。そのメッセージが残り続ける限り、リスクも残り続けます。

2. 給与明細のメール送信

毎月の給与明細をメールで送信する企業は少なくありません。宛先を間違えれば、他の従業員の給与額が丸見えになります。

3. 税理士・社労士への資料共有

顧問税理士や社労士に年末調整データや給与台帳をメールで送る際、Excelファイルをそのまま添付していませんか？暗号化なしの平文データが、メール経由で外部に流れています。

4. 退職者のアクセス権限が残存

退職した社員のSmartHRやfreeeへのアクセス権限を即日削除していますか？放置すれば、元社員が全従業員の個人情報を閲覧できる状態が続きます。

HR データセキュリティチェックリスト

以下の項目を定期的に確認しましょう：

• HR・会計SaaSの管理者アカウントに二段階認証（MFA）を設定
• 管理者のアクセスログを月1回確認
• 退職者のアカウントを当日中に無効化するプロセスを整備
• 給与データの外部共有時に暗号化を実施
• 外部専門家（税理士・社労士）のアクセス範囲を最小限に設定
• アクセス権限を「最小権限の原則」で運用

機密情報を安全に共有する方法

RBAC（役割ベースアクセス制御）の活用

「管理者」アカウント1つを共有するのではなく、給与担当、採用担当、閲覧専用など役割ごとに権限を分けましょう。SmartHRもfreeeも、この機能をサポートしています。

監査ログの有効化

誰がいつどのデータにアクセスしたかを記録しておけば、万が一の際に追跡が可能です。

外部共有にはパスワード付きリンクを使用

税理士に給与データを送る際、Excelファイルをメール添付する代わりに、LOCK.PUBでパスワード付きの秘密メモやリンクを作成しましょう。パスワードは電話など別のチャネルで伝えれば、メールが傍受されてもデータは安全です。

アカウント引き継ぎにはセキュアな手段を

HR SaaSの管理者アカウントを後任に渡すとき、LINEやSlackでパスワードを送る代わりに、LOCK.PUBの自動消去メモを使えば、閲覧後に自動削除されるため、チャット履歴にパスワードが残りません。

個人情報保護法への対応

日本の個人情報保護法は2022年の改正で罰則が大幅に強化されました：

義務	内容	違反時
マイナンバーの厳格管理	特定個人情報の安全管理措置	最大200万円の罰金
漏洩報告義務	一定規模以上の漏洩は報告必須	報告義務違反に罰則
安全管理措置	技術的・組織的安全管理	是正命令、公表
第三者提供制限	本人同意なき第三者提供の禁止	刑事罰の可能性

今日から実践できる3つのこと

1. MFAを有効化 — SmartHR、freee、マネーフォワードの管理者アカウントに今すぐ二段階認証を設定しましょう
2. 退職者アカウントの棚卸し — 過去6ヶ月の退職者のアクセス権限がすべて無効化されているか確認しましょう
3. 共有方法を変える — 機密データをメール添付で送る習慣をやめ、LOCK.PUBのようなパスワード付き・有効期限付きのセキュアリンクを活用しましょう

従業員の個人情報は、企業にとって最大の責任です。便利なSaaSを安全に使いこなす仕組みを、今日から整えましょう。