2024年の労働基準法改正とサイバーセキュリティの関連性

そもそも労働基準法とは？

「労働基準法」とは、労働者の生存権を保障し、不当な搾取を防止することを目的に、労働条件の最低基準（就業規則、賃金支払、労働時間、休憩・休日など）を定めた法律（1947年制定）です。読者の多くがそうだと思いますが、一般的なビジネスパーソンの労働時間が基本「1週40時間・1日8時間」（法定労働時間）と決まっているのも、この法律が根拠になっています^※。
※厚生労働省「労働基準に関する法制度」より。

ただし、上記以外の労働時間を全く認めないということになると、業務をスムーズに遂行できない恐れもあるため、労働基準法第36条では、「労使間の一定の手続きがあれば残業を認める」こととしています。この36条に基づく書面による協定を「36（さぶろく）協定^※」と呼び、この協定があれば、原則1か月45時間・1年間360時間の範囲での時間外労働（臨時の特別な事情がある場合は、年720時間・単月100時間未満・2～6ヵ月平均80時間以内）が可能になっています。
※正式名称は「時間外労働・休日労働に関する協定」。

こうした「時間外労働の上限規制（以下、上限規制）」は、働き方改革の一環として、2019年4月から大企業に、2020年4月からは中小企業向けにも施行されました（それまでは労働時間を制約する罰則・制度がなく、行政指導のみとなっていました）^※。
※厚生労働省「時間外労働の上限規制わかりやすい解説（2019年8月）」より。

しかし、上記の規制の影響が大きい事業・業務は、上限規制の適用が５年間猶予されていました。その事業・業務が、「建設事業」、「自動車運転業務」、「医師」です^※。
※鹿児島県と沖縄県における砂糖製造業についても上限規制の適用が5年間猶予されるほか、新技術・新商品等の研究開発業務については、上限規制の適用除外となっています。

「2024年問題」とも言われる労働力低下の懸念

2019年4月から5年経過した2024年4月、ついにこの3業種についても時間外労働の上限規制の対象となりました。この記事のタイトルに「労働基準法の改正」とありますが、労基法改正による上限規制に対して、一部業種の5年間の猶予期間が終わりを迎えた、という表現がより正確です。

図：時間外労働の上限規制が猶予されていた事業・業種^※
※厚生労働省「時間外労働の上限規制わかりやすい解説（2019年8月）」より。医師についてはこの資料公開後、医療機関の水準別に上限規制が設けられた。

この猶予期間の終了を迎えるにあたり、各業界で「物流の2024年問題」、「建設業の2024年問題」、「医療の2024年問題」などの名称で、労働力の低下に対する懸念が持ち上がりました。実際問題として、どの業界に寄らず日本の労働人口は低下傾向の見通しとなっています。

図：日本の労働力人口と労働力率の見通し（2016年～2065年）^※
※みずほリサーチ&テクノロジーズ株式会社（旧：みずほ総合研究所）のレポート（2017年5月）より。

この労働力低下の懸念に対して、各業界では人材確保のための待遇面の改善や勤務時間帯の変更による効率化などを行っています。中でも、生成AIの導入など、ビジネスのDX化による業務効率化が重要な柱となっているのは周知の事実です。

サイバーセキュリティの業界でも、業務効率化の課題はついて回っています。特に、サイバー攻撃の予兆を検知し、万が一の場合に対応するSOC（Security Operation Center）は24時間365日の監視・対応が求められます。当社が2021年に公表したグローバル調査では、「ITセキュリティやSOC責任者の51%がセキュリティアラートの量に圧倒されている」と回答しています^※。
※トレンドマイクロ「70% Of SOC Teams Emotionally Overwhelmed By Security Alert Volume（2021年5月25日）」

この分野は担当する人材が元々慢性的に不足しているところに、サイバー攻撃などの脅威の急増に対処する必要に迫られ、AIなどを活用した新たなセキュリティ対応体制の取り組みが始まっています。特に、AIを搭載したセキュリティ製品は脅威の検知力向上やインデント対応の迅速化、ひいては人材不足のセキュリティ部門の業務効率化に寄与するでしょう。

参考記事：生成AIとセキュリティ

話を日本の労働力の低下に戻しましょう。令和3年（2021年）版の総務省「情報通信白書」によると、情報通信業・金融業以外の業種で、半数前後もしくはそれ以上の法人組織が「DXの取り組みを実施していない、今後も予定がない」としています。

図：デジタル・トランスフォーメーションの取組状況（日本：業種別）^※
※総務省「令和3年版情報通信白書-第1部　特集　デジタルで支える暮らしと経済」より。

Open AIのAIチャットボット「ChatGPT」の登場（2022年11月）前の調査とはいえ、日本国内の多くの法人組織の労働力低下・業務効率化の課題を解決し、最終的にはビジネスの伸長のために、DXを推進していく必要があることは疑いがないでしょう。

DXの3つの段階：
その必要性を叫ばれて久しいDXですが、DXには実は段階があります。

１．デジタイゼーション：
アナログで行われていたタスクがデジタルに置き換わる（紙のデータ化など）

２．デジタライゼーション：
デジタイゼーションに加えて、デジタル技術の活用に合わせてビジネスプロセスやポリシーを変更すること

３．デジタルトランスフォーメーション（DX）：
デジタライゼーションに加えて、デジタル技術の浸透により人々の考え方・慣習・常識が変化すること

※トレンドマイクロ「DX推進における法人組織のセキュリティ動向調査（2021年11月30日）」より。

前述の総務省の調査は、デジタルトランスフォーメーション（DX）の定義の下で行われているため、「そこまでの取り組みはしていない」と判断した組織が多いのかもしれません。しかし、今回の上限規制を受けて、デジタイゼーションにとどまらずデジタライゼーションを目指し、最終的にはデジタルトランスフォーメーション（DX）まで見据えることができれば、デジタル導入の方法や投資の優先度もより効率的・効果的な解決策が見えてくるでしょう。

労働力低下を補うデジタル技術をどう守るか？

サイバーリスクはビジネスリスクである―。

既に多くの場面で語られているフレーズではあります。今回取り上げた労働時間の上限規制など組織の事業活動や我々一人ひとりの暮らしに密接に関わる制度の変更で、ビジネスのデジタル依存度がますます高まることは間違いないでしょう。
しかし、ランサムウェア攻撃による事業活動の停止、クラウドシステムの設定ミスによる顧客データの情報漏洩に始まり、組織の情報発信のキーとなるSNSアカウントの乗っ取りなどは2024年に入っても、報告される国内のセキュリティインシデントの事例に枚挙に暇がありません。

参考記事：
・2024年第1四半期の国内セキュリティインシデントを振り返る
・事例から学ぶ情報漏洩のパターンと対策
・警察庁の2023年サイバー犯罪レポートを読む～法人として備えるべきポイント～

上記のいくつかの記事から読み取れるのは、ビジネスのデジタル依存度が、否が応でも高まるのに対して、アタックサーフェス（攻撃対象領域）や脆弱性管理など外部からのサイバー攻撃に対するケアに加えて、デジタルを使う側の人材のスキルアップやリスクに対する理解が追い付いていない状況が要因としてあるとも言えるでしょう。

本稿のテーマで言えば、現在組織に所属している従業員の負荷を確認するための勤怠状況や物流・人流の可視化、医療システムの効率化の体制などをデジタル技術で改善していくことで、より各々が働きやすい状況をいかに確保するかが重要です。サイバーセキュリティの観点では、それを支えるシステムの安全性をいかに確保するかが、ますます重要となります。

しかし、どのような組織にも時間やリソースの制限はあるため、すべての分野への同時並行的なセキュリティ対策実行は難しいでしょう。ビジネスをより効率的に守るには、「優先順位」の判断が欠かせません。

① 停滞した場合にリスクが大きい自組織の事業（投資分野の事業含む）とは何か？
② 上記で取り扱われるデータ・システムなど、情報資産はどのようなものか？
③ 普段の自組織のセキュリティ事案・状況とはどのようなものか？（自組織ではどのような事案が起こり得えて、どのような攻撃にさらされているか？）
④ 同業他社や同規模の組織のセキュリティ事案でどのようなものがあるか？

本稿では、時間外労働の上限規制に対する「労働力の低下」という喫緊の課題とサイバーセキュリティの関係性を取り上げましたが、上記のような観点を「自組織にとっての真のDX」を見据えた長期的視点を踏まえて優先順位を決めていくことが最も重要だと言えるでしょう。

そのためには、長期的な事業計画の中にサイバーセキュリティの観点も盛り込んでいく必要があります。すでに経営層とのコミュニケーションを密にとっているIT部門やセキュリティ担当者の方も多いかと思いますが、上記のような観点で情報を共有し続け、ひいては経営層との信頼性を醸成し続けることが今後の「労働力低下対策と業務効率化」の波をデジタル面で安全に乗り越えるためには欠かせないと言えるでしょう。