北朝鮮の「なりすまし採用」が日本企業を狙う時代へ ― ディープフェイク時代におけるバックグラウンドチェックの重要性

北朝鮮ITワーカー問題は遠い国の出来事ではない

かつて企業が採用活動において警戒していたリスクは、学歴詐称や職歴詐称、あるいは採用後のミスマッチといった比較的限定的な問題でした。しかし現在、企業が直面している採用リスクは、そうした従来型の課題とは比較にならないほど深刻かつ複雑なものへと変化しています。

東洋経済オンラインで報じられた北朝鮮ITワーカー問題は、その象徴的な事例と言えるでしょう。記事によれば、北朝鮮のIT技術者が日本人や第三国の技術者になりすまし、リモートワーカーとして海外企業へ潜り込み、報酬を得ている実態が明らかになっています。その資金は北朝鮮の外貨獲得手段の一つとされており、国際社会では安全保障上の問題としても認識されています。

参考記事
東洋経済オンライン：｢画面越しの同僚は北朝鮮人？｣なりすまし面接で世界中の企業に”就職”！年間最大950億円稼ぐ衝撃 《日本企業も標的》

多くの経営者は、このような話を聞くと「大企業の話だろう」「海外企業の話だろう」「IT企業だけの問題ではないか」と考えがちです。しかし実際には、その認識こそが最大のリスクです。

なぜなら、北朝鮮ITワーカーが狙っているのは必ずしも世界的な大企業だけではないからです。むしろ本人確認や採用審査が十分に行われていない企業ほど標的になりやすく、企業規模の大小は本質的な問題ではありません。

特に近年は人材不足の深刻化によって、多くの企業が採用スピードを重視するようになっています。応募があればすぐに面接を行い、少しでも能力が高いと判断すれば迅速に採用を決定する。そのような環境の中で、本人確認や経歴確認が形式的になってしまうケースも少なくありません。

しかし、採用した人物が本当に本人なのか、申告している経歴が事実なのか、あるいは企業へどのようなリスクをもたらす可能性があるのかを確認しないまま採用を進めることは、企業が自らリスクを招き入れる行為にほかなりません。

北朝鮮ITワーカー問題が企業へ突き付けているのは、採用活動が単なる人材確保の手段ではなく、企業防衛そのものであるという現実なのです。

リモートワークの普及が生み出した新たな死角

新型コロナウイルス感染拡大以降、企業の働き方は劇的に変化しました。その中でも特に大きな変化の一つが、リモートワークの普及です。

リモートワークは企業に多くの恩恵をもたらしました。地域を問わず優秀な人材を採用できるようになり、オフィスコストの削減や柔軟な働き方の実現にもつながりました。地方在住者や海外人材の活用も容易になり、人材不足に悩む企業にとっては大きな追い風となったのです。

しかし、その利便性の裏側で企業が失ったものがあります。

それは「直接確認する機会」です。

従来であれば、応募者は面接のために来社していました。採用担当者は履歴書や職務経歴書だけでなく、実際の立ち居振る舞いや態度、受け答えなどを総合的に観察することができました。また採用後も同じオフィスで勤務することで、日常的に本人確認が行われていたとも言えます。

ところが現在は、応募から面接、採用、業務開始まで一度も対面しないケースが増えています。

企業は画面越しに応募者を見ています。

企業はオンライン上の書類を確認しています。

企業はデジタルデータをもとに採用判断を行っています。

つまり企業が接しているのは、応募者そのものではなく、応募者が提示した情報に過ぎないのです。

この構造が、北朝鮮ITワーカー問題を可能にしている最大の要因です。

企業は面接をしたつもりになっています。

企業は本人確認をしたつもりになっています。

しかし、その前提自体が崩れ始めているのです。

ディープフェイク技術が採用の常識を変えた

さらに企業が直面しているのが、ディープフェイク技術の急速な進化です。

数年前までは、顔を合成した映像や音声変換技術には明らかな違和感がありました。映像の不自然さや音声の不一致によって比較的容易に見抜くことができたため、企業が過度に警戒する必要はありませんでした。

しかし現在は状況が全く異なります。

生成AIの発達によって、リアルタイムで顔を変換する技術や音声を模倣する技術は飛躍的に向上しています。専門知識を持たない採用担当者が見分けることは極めて困難であり、場合によっては専門家であっても判別が難しいレベルに達しています。

これは採用活動にとって極めて深刻な問題です。

なぜなら、従来のオンライン面接は「画面に映っている人物が本人である」という前提で成り立っていたからです。

面接担当者は応募者へ質問します。

応募者は自然に受け答えします。

技術試験も問題なくクリアします。

しかし、その人物が本当に応募者本人である保証はありません。

仮に企業が優秀なエンジニアを採用したと思っていても、実際には別の人物が業務を行っている可能性があります。

あるいは複数人がチームで関与している可能性もあります。

さらに深刻なのは、企業がその事実に気付かないまま重要情報へのアクセス権を付与してしまうことです。

顧客情報。

営業秘密。

ソースコード。

研究開発データ。

財務情報。

企業の競争力を支える重要資産が、本人確認の不備によって第三者へ渡る可能性があるのです。

北朝鮮ITワーカー問題はサイバーセキュリティ問題でもある

多くの企業は、この問題を採用部門の課題として捉えています。

しかし、それは極めて危険な認識です。

北朝鮮ITワーカー問題の本質は、人事問題ではなくサイバーセキュリティ問題だからです。

企業がどれほど高性能なセキュリティシステムを導入していても意味はありません。

どれほど強固なファイアウォールを構築していても意味はありません。

どれほど高額なセキュリティ投資を行っていても意味はありません。

企業自身が攻撃者へ正規のアカウントを発行してしまえば、その瞬間にセキュリティ対策の多くは無力化されます。

これは外部から侵入されるサイバー攻撃とは本質的に異なります。

企業が自ら侵入口を開いてしまうのです。

近年発生している情報漏えい事件や内部不正事件を分析すると、多くのケースで「人」が起点となっています。

システムの脆弱性ではありません。

人的脆弱性です。

採用時の確認不足。

本人確認不足。

経歴確認不足。

これらが積み重なることで、企業は重大なリスクを抱え込むことになります。

だからこそ現代企業は、採用活動をサイバーセキュリティ対策の一部として考えなければならないのです。

経済産業省も警鐘を鳴らしている現実

この問題については、日本政府も強い警戒感を示しています。

経済産業省は、北朝鮮ITワーカーによるなりすまし就労について注意喚起を行っており、日本企業へ対して本人確認の徹底や不自然な応募者への警戒を呼び掛けています。

つまり、これは一部専門家だけが指摘している問題ではありません。

国レベルで警告が発せられている問題なのです。

にもかかわらず、多くの企業では十分な対策が取られていません。

理由は単純です。

「自社には関係ない」と考えているからです。

しかしリスク管理において最も危険なのは、この正常性バイアスです。

過去にも企業は同じ失敗を繰り返してきました。

情報漏えいもそうでした。

ランサムウェアもそうでした。

サプライチェーン攻撃もそうでした。

問題が社会問題化するまでは、多くの企業が自分事として捉えていなかったのです。

北朝鮮ITワーカー問題も同じです。

今後さらに被害が拡大すれば、採用プロセスそのものの見直しが求められる時代になるでしょう。

なぜバックグラウンドチェックが必要なのか

このような状況の中で重要性を増しているのがバックグラウンドチェックです。

バックグラウンドチェックとは単なる経歴確認ではありません。

応募者が本当に本人なのか。

申告している情報に矛盾はないか。

過去の経歴に不自然な点はないか。

コンプライアンス上のリスクは存在しないか。

企業へ重大な損害をもたらす可能性はないか。

こうした情報を多角的に確認するプロセスです。

企業は新規取引先と契約する際に与信調査を行います。

M&Aを行う際にはデューデリジェンスを行います。

不動産を取得する際には権利関係を調査します。

それにもかかわらず、自社の内部へ入り込む人材について十分な確認を行わないというのは極めて不自然なことです。

採用とは企業の未来を左右する投資です。

投資である以上、調査は必要です。

そして、その調査こそがバックグラウンドチェックなのです。

一般社団法人企業リスク防衛管理会のバックグラウンドチェックが企業を守る

北朝鮮ITワーカー問題が示した最大の教訓は、採用活動そのものが企業防衛であるということです。

もはや採用は人事部門だけの業務ではありません。

経営リスク管理であり、サイバーセキュリティ対策であり、コンプライアンス対策でもあります。

面接をしたから安心。

履歴書を確認したから安心。

オンラインで本人確認したから安心。

そうした時代は終わりました。

ディープフェイク技術の進化、リモートワークの普及、国家レベルのサイバー活動の高度化によって、企業はこれまで以上に慎重な確認を求められています。

一般社団法人企業リスク防衛管理会のバックグラウンドチェックは、こうした現代型リスクに対応するための有効な企業防衛策です。採用前の確認を徹底することで、企業は潜在的なリスクを把握し、より安全で適切な採用判断を行うことが可能になります。

企業経営において最も高くつくのは、問題が起きた後の対応です。

情報漏えいへの対応。

顧客への謝罪。

損害賠償。

信用回復。

これらにかかるコストは、事前確認にかかる費用をはるかに上回ります。

だからこそ重要なのは、問題が起きてから対応することではありません。

問題が起きる前に防ぐことです。

北朝鮮のなりすまし採用問題は、日本企業に対してその現実を突き付けています。

これからの時代、バックグラウンドチェックは採用支援サービスではなく、企業の信用と未来を守るための経営インフラとして、その重要性をますます高めていくことになるでしょう。