退職者によるデータの持ち出しをさせないための対策方法や調査方法は？

退職者による情報持ち出しは、企業運営に大きな影響を与えてしまいます。あってはならないことですが、転職先での内部情報の使用や他社への情報販売などの動機から、情報を持ち出されることがあるようです。
本記事では退職者による情報持ち出しのリスクや事例、対策方法、調査方法などを解説します。退職者によるデータ持ち出しによって、企業の信頼を損ない営業活動が不利にならないよう、未然に概要を知っておきましょう。

退職者による情報持ち出しのリスク

総務省の調査によると日本の転職者は増加傾向にあり、2022年は約1,246万人と、2017年よりも約19万人増えています。向いていない仕事だったり、労働条件が悪かったりといったキャリアに関する理由で退職する人が増えているようです（※）。
退職者が増えている現状では、情報持ち出しのリスクも高まっています。独立行政法人情報処理推進機構による調査では、中途退職者による営業秘密の漏洩は2016年に28.6%だったのに対し、2020年は36.3%にまで増加しました（※）。
退職者による情報持ち出しは最早無視できない企業の課題となっているため、どのようなリスクがあるのか知り、対策を立てておきましょう。退職者による情報持ち出しの主なリスクを解説します。

navigate_next参考：総務省「令和4年就業構造基本調査 結果の要約」

navigate_next参考：独立行政法人情報処理推進機構「「企業における営業秘密管理に関する実態調査2020」報告書について」

営業秘密情報の漏洩による市場価値の低下

営業秘密情報の漏洩が起きると、競合他社に技術を模倣されたり顧客が他社に流れたりすることによって、企業のブランド力や市場価値が低下するリスクがあります。退職者が転職先でノウハウを悪用する可能性や、競合他社に情報を転売するケースも考えられ、そうなれば大きな損害を被るでしょう。
最悪の場合、他社に顧客を奪われて売り上げが減る可能性があります。事態の収拾がつかなければ、会社を畳まざるを得ない展開に陥るでしょう。

個人情報の流出による信頼度の低下

名前や電話番号などの個人情報の流出は、顧客からの信頼を失ってしまうリスクがあります。顧客からのクレーム対応に追われてコア業務を進められず、顧客や売り上げが減るなど、経営困難に陥る可能性もあるでしょう。
2022年4月に個人情報保護法が改正される以前は、漏洩の報告は努力義務でした。しかし法改正後は、個人情報保護委員会や本人への報告が義務化されています。情報漏洩の恐れがあるだけでも報告が必要なため、徹底した情報管理が求められます。

navigate_next参考：政府広報オンライン「「個人情報保護法」を分かりやすく解説 個人情報の取扱い扱いルールとは？」

navigate_next参考：個人情報保護委員会「個人情報保護法の基本」

法的処分や損害賠償による資金不足

企業が個人情報保護法に違反した場合は、罰金や懲役などの法的処分を受ける可能性があります。個人情報の保護に関する法律の第百八十四条に定められているとおり、罰金の額は最大1億円です。
また情報漏洩が起きた際は、被害者が損害賠償を請求するケースもあります。大量の被害者がいる場合は莫大な損害賠償額となり、信頼を失うのと同時に資金不足にもなりかねません。

navigate_next参考：e-GOV法令検索「個人情報の保護に関する法律」（参照 2024-1-26）

退職者による情報持ち出し事例

退職者による情報持ち出しはどのようにして行われるのか、その事例を紹介します。あらかじめ持ち出し事例を知り、どの企業でも起こり得ると想定すると、被害防止につながるでしょう。情報を社外へ持ち出す方法には、主に次の4つが挙げられます。

• 個人メールへのデータ送付
• USBやHDDなどの外部記憶装置にコピー
• 在職中のアカウント権限を不正利用
• クラウドで持ち出す

主な事例を、それぞれ詳しく紹介します。

個人メールへのデータ送付

情報持ち出しの例として、会社のメールから個人のメールへデータを送付し、個人アカウントに保存するという事例があります。意図的ではなく、誤送信による情報漏洩も発生しているのが実態です。
送信履歴を削除し、「退職したら会社の自身のメールアドレスが削除されるから問題ない」などと考えた上での計画的犯行の可能性もあるでしょう。メールを使うと手軽にデータの持ち出しができてしまうため、送信制限の設定や個人情報の管理を徹底するなど、あらかじめ対処しておく必要があります。

USBやHDDなどの外部記憶装置にコピー

USBやHDDなどの外部記憶装置へコピーし、外部に持ち出すような情報持ち出しの事例もあります。業務にあたって誰でもUSBを使える環境や、私物のUSBを使える環境では、情報持ち出しが比較的容易になってしまうでしょう。外部記憶装置は便利なツールですが、社内での利用方法には注意が必要です。
USBの使用には事前申請を求めたり、社内で管理するUSBを使用させたりと、情報管理を徹底させましょう。またUSBの紛失によって情報漏洩が起きた事例もあるため、USB利用のリスクを社内で認識し、ルールを作ることも大切です。

在職中のアカウント権限を不正利用

在職中に使っていたアカウント権限を利用し、システムなどへの不正アクセスによって、情報を持ち出す事例もあります。退職後でも社内の情報にログインできるような管理体制では、情報漏洩のリスクが高く危険です。アカウントが不正に利用されないよう、アクセス権限の付与や、不正アクセスを防ぐためのセキュリティ対策を行いましょう。
また、他社員のアカウント情報が漏れていれば、他社員を装ってシステムへログインする形での情報の持ち出しも可能となってしまいます。アカウント権限を適切に監視し、内部流出対策を高めると同時に、社員のセキュリティ意識を高める教育を行いましょう。

クラウドで持ち出す

個人のクラウドに内部情報を保存し、社外に持ち出す事例も発生しています。OneDrive、GoogleDrive、Dropboxといったクラウドサービスを利用すれば、そこへ入手した情報をアップロードするだけで、社外のインターネットから情報閲覧が可能となります。
インターネット上には無料のクラウドサービスが多数ありますが、セキュリティが不十分で第三者からの攻撃を受ける可能性もあります。業務状クラウドサービスを利用する必要がある場合は、社内ルールをきちんと決めておきましょう。

情報持ち出し疑惑の退職者にはデジタルフォレンジック調査が必須

情報持ち出しが疑われる退職者が見つかった際は、速やかにデジタルフォレンジック調査をする必要があります。先述のとおり個人情報保護法では、個人情報が流出した際に求められる対応が厳しく定められており、いつ・誰が・どのようにして不正にアクセスしたかなどの調査を行わなければなりません。
本章では、デジタルフォレンジック調査の概要や、適切な調査内容について解説します。実際に発生したらどう対応すべきかイメージしながら、概要を把握していきましょう。

そもそもデジタルフォレンジック調査とは

そもそもデジタルフォレンジック調査とは、コンピュータやデバイスの情報を収集し、解析するプロセスです。フォレンジックは直訳で「法廷の」という意味です。
デジタルフォレンジック調査では、データの取得や復元、解析、保存、証拠保全を行い、情報を持ち出したことの証拠を洗い出すことが可能です。あらかじめデジタルフォレンジックのシステムを導入していれば、犯行の抑制にもつながるでしょう。

デジタルフォレンジック調査にはログ管理ソフトの導入がおすすめ

デジタルフォレンジック調査に活用できるのが、ログ管理ソフトです。意図的な情報持ち出しが疑われる場合、犯行の形跡が残らないように削除されることがあります。ログ管理ソフトを導入していれば、誰がいつログインしたか、どのファイルにアクセスしたか、どのような実行を指示したかといった調査が可能です。
例えば普段使わないファイルを開いている、コピーしている、不審な削除履歴があるなどの形跡があれば、情報漏洩の証拠をつかむ手がかりとなるでしょう。ログ管理ソフトの中には、こういった情報をレポートとして分かりやすく表示できるサービスもあります。導入すれば、情報持ち出しの調査も進めやすくなるでしょう。

退職者による情報持ち出しの対策方法

情報管理責任を問われるのは、持ち出した退職者ではなく、持ち出された企業側です。情報持ち出しの事実が判明してから対策を取るのではリスクが大きいため、予防につながる取り組みを実践することが大切です。制御と管理を徹底し、最優先事項として、以下のことを実施しましょう。

• USBポートを塞いで外部記憶装置を使用不可にする
• 社員にIDを発行して利用制限をかける
• 社員の作業をログ管理する
• 社員に情報漏洩をするリスクを認識させる

情報持ち出し予防の取り組みは、物理的にも心理的にも行う必要があり、どちらも制御と管理を徹底しましょう。

USBポートを塞いで外部記憶装置を使用不可にする

外部記憶装置の使用を防ぐためには、USBポートを物理的に塞ぐ方法が効果的です。USBポートへガードを差し込むだけでUSBの利用を制限できます。ただし通常の業務でもUSBやHDDなどの利用ができなくなるので、いきなりUSBポートが使えなくなってしまうと、現場は混乱する可能性があります。現場の混乱を最小限にするためは、USB利用のリスクや利用ポリシーなどを周知し、代替ツールを用意した上で、USBポートを塞ぐことの事前告知を行いましょう。
クラウドでのデータ管理は、変更履歴や閲覧履歴を確認でき、アクセス権限の設定も可能なため、社員に対する心理的な情報持ち出し抑制効果も期待できます。

社員にIDを発行して利用制限をかける

社員ごとにIDを発行して利用制限を設定し、誰がいつどの情報にアクセスしたか管理できるようにすると、情報持ち出しのリスクを抑えられます。IDが発行されること自体、社員にとっては持ち出しの心理的な抑制になるでしょう。
また、誰でもアクセスできるログインパスワードでは、不特定多数の社員が情報を取得できて、簡単に持ち出されてしまいます。社員IDを管理して、業務上必要な情報にだけアクセス可能にしておき、退職後は閲覧不可にする対応も必要です。

社員の作業をログ管理する

いつ、誰が、どの情報を、どうしたかなどをログで管理すると、情報持ち出しの抑止力になります。社員の活動を監視できるため、テレワークを導入していても情報管理をしやすくなり、不正アクセスの早期発見にもつながるでしょう。
ログ管理では記録の管理や分析もできるため、万が一情報持ち出しが起きてしまった場合も、原因を追及しやすくなります。

社員に情報漏洩のリスクを認識させる

退職者による情報持ち出しを抑制するためには、情報漏洩のリスクを認識させ、コンプライアンスの強化を図ることも大事です。社内の情報は持ち出してはいけないと認識させ、もしも情報持ち出しが発覚した際に「持ち出し禁止だとは知らなかった」などと言い逃れをされないよう、先手を打っておきましょう。
社内の情報を社員へ適切に管理させ、社外へ持ち出させないようにするためには、秘密保持契約の締結をしておく必要があります。
独立行政法人情報処理推進機構によると、2020年時点で秘密保持契約を締結していない企業は37.4％でした。2016年より秘密保持契約を締結している企業は増えているものの、いまで未締結の企業も存在します。自身の会社の状況を確認し、未締結の場合は速やかに対応するとよいでしょう。

navigate_next参考：e-GOV法令検索「個人情報の保護に関する法律」

【まとめ】退職者の情報持ち出しはリスク大｜制御と管理で徹底対策を！

退職者による情報持ち出しを防止するために、勤務期間中から定期的な情報セキュリティの教育を行ったり、情報アクセスや使用制限を管理したりと、あらゆる対策が求められます。情報管理の対応は、2020年の個人情報保護法でも厳しく定められており、企業の情報管理能力が問われるでしょう。
MylogStarは、いつ誰が何を行ったのかなど、社員の業務内容を可視化できます。日々の業務内容を記録でき、レポートにまとめられるため、情報流出時の報告や調査にも役立てられます。退職者や不審な行動をする社員にスポットを当てることで、情報漏洩の調査や早期発見ができるでしょう。それぞれの企業に適した運用方法で取り入れられるので、これからログ管理ソフトを導入しようとお考えの企業のご担当者さまは、ぜひMylogStarへお問い合わせください。