ITreview Labo

ITreviewでIT製品を探す
  1. HOME
  3. ITreview Labo TOP
  5. 適性検査サービス
  7. 適性検査ツールのセキュリティ対策について知りたいです。

適性検査ツールのセキュリティ対策について知りたいです。

適性検査ツールのセキュリティ対策を行う際は、主に不正防止・個人情報保護・システム防御が重要なポイントになります。

具体的なポイントは以下5つです。

  • 不正・なりすまし防止対策
  • 個人情報・結果データの保護
  • システムへの攻撃対策
  • 運用面でのセキュリティ対策
  • ツール選定時にチェックすべきポイント

不正・なりすまし防止対策

不正やなりすましを防止するには以下3つの対策が有効です。

  • 顔認証による本人確認
  • AI・カメラによるリアルタイム監視
  • 不正検知・警告システム

顔認証とは、受検者の顔写真とカメラの映像を照合して本人確認を行う方法で、受検者以外の人がカメラに映ると認証に失敗する仕組みになっています。顔認証機能が搭載されたツールを使用すればいわゆる「替え玉受検」の防止に役立つでしょう。

また、AIや監視機能を備えたツールでは、視線の逸脱や離席、複数人の映り込みなど、不審行動の兆候を検知できる場合があります。

上記のような機能とあわせて、不正検知・警告システムを導入すれば、警告表示や管理者への通知、自動停止といった措置を迅速に行えるでしょう。

ITreviewでも「AIによる監視システムにより不正しているかどうかのチェックがしやすくなった」という声が上がっています。

書類選考時に活用!

個人情報・結果データの保護

受検者の個人情報や結果データの保護には以下の取り組みが有効です。

  • 通信の暗号化(SSL/TLS)
  • プライバシーマーク(Pマーク)の取得
  • 情報管理ルールの策定と徹底

SSL/TLSとは、インターネット上で送受信されるデータを暗号化し、第三者による盗聴や改ざんを防ぐための通信プロトコルです。適性検査ツールでは受検者情報や検査結果を扱うため、個人情報や結果データのやり取りは全て暗号化し、第三者にデータを容易に盗み見られないよう配慮しましょう。また、ログイン画面だけでなくデータ送受信全体が暗号化されているかを確認するのがおすすめです。

また、適性検査ツールを提供しているベンダーがプライバシーマーク(Pマーク)を取得しているかどうかもチェックしておきます。Pマークは、JISに準拠した個人情報保護特化の認証制度です。Pマークの取得の有無をチェックすることは、個人情報を適切に取り扱うための体制や環境を判断する材料の一つになります。。

さらに、自社でも個人情報保護法に基づく情報管理ルールを策定し、これを徹底する環境を整備しましょう。個人情報の取り扱いについては、個人情報保護委員会が公表しているガイドラインも参考にするのがおすすめです。

具体的な整備のやり方としては、利用目的の明示や社内ルールの整備、必要に応じた同意取得、取得した情報を第三者に提供しない旨を明記することなどが挙げられます。自社でPマークを取得すれば、個人情報保護への取り組みを対外的に示す一助になるでしょう。。

システムへの攻撃対策

悪意ある第三者からの攻撃に備え、ベンダーが以下のような対策を講じられるかどうか確認が必要です。

  • SQLインジェクション対策
  • XSS対策
  • DDoS対策

SQLインジェクションとは、Webアプリケーションの脆弱性を突き、不正なSQL文をデータベースに送信することで不正操作を行う攻撃手法です。この攻撃を受けるとデータベースから情報を抜き取られたり、データが改ざんされたりする恐れがあります。

XSS(クロスサイトスクリプティング)とは、HTMLに悪質なスクリプトを埋め込む攻撃で、管理画面や受検画面で不正スクリプトを実行される恐れがあります。

DDoS(Distributed Denial of Service attack:分散型サービス拒否攻撃)とは、過剰なアクセスや過度なデータ送信を複数のコンピューターから行う攻撃で、情報セキュリティ10大脅威でも毎年のように注意喚起されているリスクでもあります。もし攻撃を受けた場合、受検システムの停止につながるおそれがあります。

これらの攻撃はアカウント権限の設定やログの監視、各種攻撃への対策ツールの導入などによってリスクを低減することが可能です。

システムへの攻撃対策はベンダーによって異なるため、具体的な内容を事前に問い合わせておくと安心です。

運用面でのセキュリティ対策

適性検査ツールを運用するに当たって、導入したいセキュリティ対策は以下の通りです。

  • 管理者権限の最小化
  • 従業員教育

適性検査ツールには重要な個人情報が含まれるため、情報漏えいのリスクをできるだけ回避できるよう、データを閲覧・管理できる権限は最小限にとどめることが大切です。

また、適性検査ツールの使い方や、情報の取り扱い方についてのルールを事前に周知・徹底しましょう。必要に応じてこれらをレクチャーする説明会やセミナーを実施するのもおすすめです。

ツール選定時にチェックすべきポイント

適性検査ツールを選定する際は、以下の4つのポイントをチェックしましょう。

  • データの保存場所
  • 不正受検防止機能の有無
  • データ保持・削除ポリシー
  • サポート体制

適性検査ツールで取得したデータは、国内と海外のどちらに保存されるのかを確認しましょう。国内外のデータセンターの主な特徴は以下の通りです。

国内 海外
メリット 電力供給・通信が比較的安定しているセキュリティ性が高い場合が多いサポートが早め 管理コストが安め自然災害のリスクが比較的低い
デメリット 管理コストが高め自然災害のリスクが高め 電力供給や通信が安定していないところがある日本語サポートを受けづらい国ごとにセキュリティ関連の法律が異なる

また、AIやカメラなどによる不正受検防止機能があるかどうか、導入や運用面でサポートを受けられるかなどもチェックしておきましょう。

さらに、データがどのくらいの期間保持されるか、不要になったデータがどのように削除されるかといったデータ保持・削除ポリシーの内容をチェックすることも大切です。

適性検査ツールを導入する際は万全のセキュリティ対策が必須

適性検査ツールは受検者の個人情報を取り扱うため、不正・なりすまし防止対策や個人情報・結果データの保護、システムへの攻撃対策、運用面でのセキュリティ対策を徹底しなければなりません。

さらに、ツールによってデータの保存場所やデータポリシー、サポート体制などに違いがあるため、複数のツールを比較するときはこれらの情報も忘れずにチェックしましょう。

おすすめ記事