綺麗なおねえさんが解説:その応募、ほんとに“本人”ですか?
はじめまして。採用まわりの「小さな違和感」を回収して歩く、綺麗なおねえさん(自称)です。
今日は、ニュースとしては静かだけど、現場には地味に刺さる話をします。
アマゾンが、北朝鮮関係者と疑われる求人応募を1800件以上ブロックしたという件。
引用:https://www.bbc.com/japanese/articles/czxge2l9kvzo
これ、「大企業は大変だね」で終わらせると、次に困るのは中小企業側です。
まず結論(忙しい人向け)
・リモート採用はサイバー被害の入口にもなり得る
・相手が誰かより、「本人確認」と「端末・権限」の穴が狙われる
・人事だけで完結せず、情シスと現場を含めて採用フローを設計し直す
相手の属性や肩書きが問題というより、採用の流れの中で「本人かどうか確認が薄い」「端末が誰の手に渡ったか曖昧」「最初から強い権限を付けてしまう」といった運用の隙があると、そこが入口になります。穴が塞がっていれば、そもそも入り込みにくいです。採用は人事の仕事に見えますが、実際は入社後すぐにPC発送、アカウント発行、権限付与、業務ツール利用が始まります。ここは情シスの設計領域で、現場は「最初に何を任せ、どこまでアクセスさせるか」を決める側です。三者で役割分担と手順を一本化すると、属人化や抜け漏れが減り、採用の安全性が上がります。
手口をざっくり
今回のamazonの流れをざっくり。流れはシンプルです。
偽名や盗用情報で応募 → オンライン面接や課題を突破 → 会社端末の発送や権限付与を通す → 遠隔で作業しつつ、資金が外部に流れる。
つまり本人確認が弱いまま端末が渡り、アカウントや権限が付与されると、採用プロセスがそのまま社内ネットワークへの入場券になってしまいます。。
会社側の痛いところ(ありがちな穴)
・急募で本人確認が形式だけになる
・業務委託や外注が多層で責任分界が曖昧
・端末発送、初期設定、アカウント発行が場当たり
・オンライン面接前提で実在性の検証が弱い
・入社後ログはあるのに、見ていない
採用を急ぐと、本人確認が「書類を出してもらったらOK」で終わりやすく、照合や追加確認(面接冒頭の本人確認手順など)が省略されがちです。また、元請け・下請け・採用代行・派遣など関係者が増えるほど、「本人確認は誰がやるのか」「権限付与の承認者は誰か」「問題が起きたときの連絡経路はどこか」がぼやけます。曖昧な部分がそのまま“穴”になります。さらにオンライン面接中心だと、対面で自然にできる本人性の確認が手順化されず弱くなる傾向があります。ログ確認でも見る担当と頻度が決まっておらず異常検知が遅れることが指摘されています。
今日からの対策(最低限だけ)
お姉さんが人事、情シス、現場からはじめることを提案します。
人事
・本人確認は「提出」ではなく「照合」(情報の整合を取る)
・面接冒頭で本人性確認の手順を固定
・学歴・職歴はランダム抽出でも検証する
・採用代行やエージェント利用時は、確認責任を契約に明記
情シス
・会社端末は原則MDM管理、初期設定済みで渡す
・初回ログインやアクセスの異常検知ルールを持つ
・重要システムは最小権限、段階付与、ログ監査
現場
・違和感は感覚で終わらせず、記録して共有
やりすぎ注意
絶対NGなのは国籍や出身で疑うことです。
やるべきは、全候補者に同じ条件で適用する「標準化された確認プロセス」。
リモート採用や外注が増えている、端末や権限付与が属人化している、ログはあるが見ていない。このどれかに当てはまるなら、一度だけ採用フローを棚卸しした方が安全です。
あなたの会社は大丈夫ですか?もしご相談されたいことがあればDMかお問い合わせからどうぞ★
