無料会員登録
近年IT化が進み、個人情報や秘密情報をデータ化することが当たり前となり、USBメモリなどの機器を使用し、簡単に外部への持ち運びが可能になりました。
しかし退職者が会社のデータ持ち出しを行い、秘密情報の漏洩や悪用が発生されるケースがあります。顧客名簿や商品開発情報などの秘密情報は会社にとって最重要なデータです。
もし実際に退職者による情報漏洩が起きた場合、どのような対処をとるべきなのでしょうか。また、データ持ち出しを防ぐためにはどのような対策を行うべきなのでしょうか。
今回は、退職者がデータ持ち出しを行った場合の対処方法と今後の対策について説明します。会社の情報が不正に持ち出された可能性があるときは、早急に専門家に相談し、事実関係を調査し適切な対処をとりましょう。
退職者によるデータ持ち出しが増加している
2021年3月、情報処理推進機構(IPA)による「企業における営業秘密管理に関する実態調査2020」が公表されました。
調査では、企業の情報漏洩ルートとして最多であった誤作動が2016年と比べ減り、代わりに中途退職者によるデータ持ち出しが急増し、最多となっていることが明らかになりました。
実際に情報漏洩に遭った企業の4割が推定損害額1,000万円以上の被害を受けているため、退職者のデータ持ち出しを防ぐためにも事前対策を必ず行いましょう。
参照元:「企業における営業秘密管理に関する実態調査2020」報告書について
退職者がデータを持ち出す理由・動機
なぜ退職者は、会社を辞める際にこういった情報を持ち出すのでしょうか? 考えられる理由としては次のものが考えられます。
- 転職先で有利に業務を進めるように利用する
- 会社への恨みや不満
- 過失によるデータ持ち出し
- 情報を転売し現金を得ようとする
転職先・独立先で有利に業務を進めるように利用する
退職者が在籍していた企業の競合他社に転職する際に、顧客情報や取引情報などのデータを持ち出し、競合他社に売却したり流用したりするケースがあります。
退職者が企業した後、明らかに顧客が流出しているような兆候があれば情報の持ち出しを疑いましょう。他社に社外秘の情報が流出すると、技術や顧客を奪われることで経営が難しくなり、最悪の場合倒産してしまう可能性も考えられます。
同種の起業・独立に利用するケースも
退職後に同業種での起業を考えている場合、退職前の顧客情報や営業資料などを持ち出し、会社を軌道に乗せるための材料にしようとするケースもあります。
退職者が企業した後、明らかに顧客が流出しているような兆候があれば情報の持ち出しを疑うこともあるでしょう。
会社への恨みや不満
過去の人間関係のトラブルなどが原因で、会社への恨みや不満から退職者がデータを持ち出すケースも考えられます。
また顧客情報などのデータの持ち出しだけでなく、嫌がらせとして会社内の盗聴やネットへの誹謗中傷の書き込みを行うこともあります。
過失によるデータ持ち出し
会社での管理がそこまで厳しくなく、該当社員が会社用のPCとプライベートのアカウントを紐づけている場合など、公私混同が起こりやすいため意図せずデータを持ち出してしまうこともありえます。
仮に悪質な意図がなくとも、退職者の情報セキュリティへの意識が低く、内部情報を持ち出し・漏洩させてしまえば会社側が責任を問われる可能性があるため注意が必要です。
情報を転売し現金を得ようとする
顧客リストには、顧客の氏名、住所、電話番号、メールアドレスなどの情報が含まれ、営業秘密には製品の設計図や製造方法、販売戦略などの情報が含まれています。
いずれも情報資産としての価値があることから、退職者が当該情報を持ち出す場合、転売することで現金を得ようとする動機が考えられます。
もし退職者と事前に秘密保持誓約書を締結しており、退職者がそれに違反したことによって、企業や組織に損害が生じた場合、民事訴訟を提起して損害賠償を請求することができます。ただ、損害賠償を請求する場合、退職者のパソコンやスマートフォンから、顧客リストや営業秘密の持ち出しを示すデータが見つけ、退職者の持ち出し行為の証拠として使用することによって、ようやく退職者の持ち出し行為について具体的に立証することができます。しかし、これを個人でやるのは困難で証拠を上書きしてしまう恐れがあります。
退職者のデータ持ち出しの調査では「フォレンジック」が有効
そこで有効な調査手法が「フォレンジック調査」です。フォレンジック調査とは、デジタル機器を分析して、不正の証拠を収集する調査手法であり、退職者の情報持ち出しの調査など、法的な問題が発生する調査で利用される機会が増えています。
具体的にフォレンジック調査では、以下のデータを証拠として収集し、調査報告書としてまとめることができます。
- 顧客リストや営業秘密のファイル
- データの転送やコピーを示すファイル
- データの持ち出しを試みた痕跡
またフォレンジック調査では、証拠隠滅目的で削除されたデータを復元し、不正の証拠を収集・解析することができます。このように、フォレンジック調査は退職者の持ち出し行為を立証する上で重要な調査手法となります。
法的措置を検討する場合は、あらかじめフォレンジック調査を検討しておきましょう。
退職者が持ち出すデータの種類
退職者が持ち出すデータの種類は、大きく分けて以下の4つに分類されます。
- 顧客情報
- 取引情報
- 企業秘密
- 経営状況の情報
①顧客情報
顧客情報とは、企業にとって最も重要な情報の一つです。顧客情報の流出は、企業の信用低下や顧客の離反だけでなく、改正個人情報保護法に抵触する可能性があります。
- 顧客名簿
- 顧客の連絡先情報
- 顧客の購買履歴
- 顧客の個人情報
②取引情報
取引情報とは、企業が取引先と行う取引に関する情報を指します。具体的には、以下のようなものが挙げられます。
- 取引先情報
- 取引先の名称、住所、電話番号、担当者名など
- 取引内容
- 取引品目、取引価格、取引条件など
- 取引履歴
- 過去の取引実績、取引に関する連絡記録など
③企業秘密
企業秘密とは「企業が有する営業上、技術上、経営上の秘密情報であり、公然に知られていないもの」であって、かつ「その秘密の保持により当該企業に財産上の利益、営業上の利益又は技術上の利益が確保されているもの」を指します。
企業秘密の代表的な例としては、以下のようなものが挙げられます。
- 製造方法や技術に関する情報
- 新製品やサービスに関する情報
- 顧客情報や取引情報
- 経営戦略や財務情報
営業秘密の侵害は刑事罰の対象となる
不正競争防止法では、企業秘密の不正取得、使用、開示を行った者は、3年以下の懲役または300万円以下の罰金に処せられる可能性があります。
具体的には、不正競争防止法第2条第1項第5号では、以下の行為を不正競争として禁止しています。
営業秘密について、不正取得行為が介在したことを知って、若しくは重大な過失により知らないで営業秘密を取得し、又はその取得した営業秘密を使用し、若しくは開示する行為
営業秘密を(不正取得されたことを知らずに)取得した後に、その営業秘密について不正取得行為が介在したことを知り、または重大な過失により知らないで、その取得した営業秘密を使用し、または開示する行為
したがって企業秘密を不正に取得し、使用し、または開示した者は、不正競争防止法によって罰せられる可能性があります。企業秘密を不正に取得し、使用し、または開示した者を刑事訴追する手続きは、以下のとおりです。
- 被害企業が、警察に対して被害届を提出
- 警察が、被害届を受理した後、捜査を開始
- 警察が、捜査の結果、不起訴処分とするか、起訴するかを判断
- 起訴された場合、裁判所が審理を行い、有罪判決か無罪判決を下す
④経営状況の情報
経営状況の情報は、企業の財務状況や経営戦略などに関する情報です。経営状況の情報の流出は、株価の下落や投資家からの信頼低下につながる可能性があります。
- 売上情報
- 財務情報
- 会計利益情報
退職者がデータ持ち出しを行う際に、企業から持ち出されるデータの共通点としては、以下を挙げることができます。
- 企業の競争力を高めるために重要な情報
- 競合他社に漏洩すると、企業に大きな損害を与える情報
- 退職者が転職先で活用できる情報
退職時にどこまで持ち出したら違法になるか
基本的には、退職時にどのようなデータであっても持ち出す・流用することは、違法にあたる可能性が高いです。基本的には就業規則や誓約書に記載されている内容に違反すると、会社から秘密保持義務違反を追求されかねません。
また、記載されていないデータの場合は、会社が持ち出されたデータを「企業秘密に相当する」ことを証明できれば、違法になる可能性があります。
いずれにせよ、退職者がデータを持ち出す際は以下のような共通点があるため、会社としては、違法性を証明できるかどうかでとれる対応が変わってきます。
- 企業の競争力を高めるために重要な情報であること
- 競合他社に漏洩すると、企業に大きな損害を与える可能性がある情報であること
- 退職者が転職先で活用できる情報であること
法的に訴えかけるためには、具体的にどのようなデータが、いつ(時期)、何の目的で持ち出されたのか正確な調査が必要です。疑わしい人物がいる場合は、退職者の機器調査に対応できる会社に依頼して、証拠の収集・解析をすることを推奨します。
退職者のデータ持ち出し発覚時、会社がとるべき対処法
退職者のデータ持ち出し発覚時、会社がとるべき対処法は次のとおりです。
- まずは事実関係と証拠を調査する(退職者のPCログを調査する)
- 関係者への聞き取りを行う
- 法的措置の検討(内容証明郵便で警告する)
- フォレンジック調査を依頼する
①まずは事実関係と証拠を調査する(退職者のPCログを調査する)
退職者がデータ持ち出しを行っているかを判断するためには、まず、事実関係と証拠を調査する必要があります。
この際、退職者のPCログを調査することで、データ持ち出しの有無や、持ち出したデータの種類や量などを特定することができます。PCログには、ファイルのアクセス履歴や、USBなどの外部デバイスとの接続履歴などが記録されています。事実関係を調査する場合は、退職者のパソコンや携帯電話を調査したりするなどの方法があります。
既に何らかの被害を受けていて法的手段を取る際には、退職者による情報漏洩や盗用の有無を立証するために、以下のような証拠を集める必要があります。
- USBメモリなどの外部機器を通じてデータが抜き取られていないか調査する
- 削除されたメールを復元し、情報持ち出しの証拠がないか調査する
万一、退職者による情報の漏洩が発覚した場合、時間が経つにつれて、被害が拡大する危険性も考えられるため迅速に対応することが大切です。
②関係者への聞き取りを行う
退職者の上司や同僚など、関係者への聞き取りを行うことで、データ持ち出しの可能性や、持ち出したデータを誰に渡そうとしたのかなどを把握することができます。
聞き取りを行う際には、聞き取りの目的を明確にすることで、聞き取りの方向性を定めることができます。また、聞き取りの記録は、録音や録画、メモなどで残し、証拠として提出する可能性があることを伝えておくことをおすすめします。
③法的措置の検討(内容証明郵便で警告する)
情報持ち出しが確定していれば、情報持ち出しによる被害をこれ以上拡大させないように持ち出した本人に内容証明郵便を送ることが有効です。
内容証明郵便を送る際は、自社名義で送るよりも弁護士に依頼する方が警告の効果が高まります。
もし機密情報や顧客情報を持ち出されていた場合、重大な犯罪となります。しかし、刑事告訴や損害賠償請求などの準備は時間がかかるため、内容証明郵便のなかで「刑事告訴や損害賠償請求を予定している」と記載するのがポイントです。
内容証明郵便で警告するには、確固たる証拠を掴むことが必要になるので、できるだけ早く事実関係の調査を行いましょう。
④フォレンジック調査を依頼する
退職者のPC調査は、専門的な知識と経験が必要となります。退職者のPCには、さまざまな情報が保存されています。その中から、データ持ち出しの証拠を特定するためには、デジタル機器の利用履歴やファイルの属性などを分析する知識と経験が必要です。
そこで、退職者によるデータ持ち出しの調査には「フォレンジック調査」が有効です。
フォレンジック調査とは、デジタル機器の利用履歴から情報の持ち出しの有無を調査する手法です。フォレンジック調査では、データが捏造されていないことを証明するために「証拠保全作業」を行い、第三者の立場で適切な調査の実施と法的効力を持つ報告レポートの作成を行うことが可能です。
ただし、これは専門知識と経験を持ったフォレンジック調査の専門家が行うため、退職者によるデータ持ち出しの調査においては、フォレンジック調査の専門業者に依頼するのが一般的です。
個人情報の漏洩を詳しく調査する場合「フォレンジック」調査が有効―調査会社を選ぶポイントとは?
フォレンジック調査の概要・特徴は次のように言い表すことができます。
フォレンジックとは
「フォレンジック調査」は、PC・HDD・スマートフォンなどの電子機器や記録媒体、またはネットワークに残存する電磁的記録(デジタルデータ)から発生したデジタルインシデントの事実確認、サイバー攻撃や不正アクセスの被害状況を解明する調査手法を指します。
フォレンジックとは「法廷の」を意味し、この調査方法は裁判でも法的効力を持ちます。そのため、フォレンジック調査の結果はただの事実確認だけでなく、法廷などで公的な調査資料としても活用可能です。このことから、日本の警察は2006年以降、デジタル・フォレンジックを「犯罪の立証のための電磁的記録の解析技術及びその手続き」(警察自書)と定義しています。
なお、フォレンジック調査は、裁判上での証拠保全に限らず、さまざまな場面で、法人・個人を問わず、広く活用されています。たとえばマルウェアの感染調査、あるいは不正アクセスによる顧客情報流出の事後調査などのケースで用いられます。
専門業者に相談することで、次のメリットがあります。
- 専門的な知識と経験により、効率的に退職者PC調査を行うことができます。
- 法的にも問題のない方法で退職者PC調査を行うことができます。
- 退職者PC調査の結果を証拠として使用することができます。
専門業者は豊富な知識と経験を持ち、適切な技術と手法を用いて問題解決を行うことができます。ただし、PCの調査・解析・保全には高度な技術と知識が必要であり、信頼できる業者も限られます。高い費用と労力をかけたにもかかわらず、「簡単な調査しかしてもらえなかった」「裁判所や警察などに証拠不十分と言われた」となっては意味がありません。
そのような事態を避けるため、ここで調査してもらえば間違いないという調査会社を見極める必要があります。
調査会社を選ぶポイント
フォレンジック調査会社を選ぶときのポイントは次のとおりです。
上記5ポイントを満たした信頼できるフォレンジック調査会社を先に知りたいという方はこちらからご覧ください。
官公庁・捜査機関・大手法人の依頼実績がある
フォレンジック調査は、専門的な知識や技術が必要なため、実績と信頼性のある調査会社を選ぶことが重要です。フォレンジック調査会社の実績は会社によって異なり、そもそも実績を公表していない会社も多くあります。
一方、官公庁・捜査機関・大手法人などの実績がある会社は、一定の信頼性があると判断できます。また、過去の調査実績を参考にすることで、自社のニーズに合った調査会社かどうかを判断することができます。
特に調査実績が認められ第三者機関からの表彰されているような会社ほど、調査に関する知識やノウハウが蓄積しています。HPに掲載されている表彰歴・受賞歴を確認することをおすすめします。
スピード対応できる・出張での駆けつけ対応が可能
ダークウェブ調査は、迅速に行われるべきであり、スピード対応できる会社を選ぶことで、被害の拡大を防止できます。24時間365日受付の会社であれば、調査開始までの時間を短縮でき、より迅速に調査を開始することができます。
費用形態が明確である・自社内で調査しており外注費用がかからない
調査を依頼するときは、まず無料で相談~見積まで対応してもらえる会社に相談して見積を出してもらうことをおすすめします。調査会社で料金が変化する要素は以下があります。
受付だけして作業を外注している会社は、仲介料金が発生するため、他社と比較して高額になりやすい傾向があります。一方、自社内で調査できる会社は不要な中間コストを削減でき、業界水準と比較して安価に調査できる場合があります。
法的証拠となる調査報告書を発行できる
個人情報保護委員会への報告などでフォレンジック調査を行う場合は、法的利用が可能な調査報告書を発行できるフォレンジック調査会社に調査を依頼しましょう。
法的利用が可能な調査報告書は、行政機関に提出できる法的証拠としても利用できます。
セキュリティ体制が整っている
フォレンジック調査では、セキュリティ体制が整っている会社を選びましょう。「プライバシーマーク」や「ISO認証」などの世界基準で規定されているセキュリティ認証を所有している会社は信頼できます。他にも、経済産業省が規定した「情報セキュリティーサービス基準」にクリアした企業はセキュリティ面で信頼がおけます。
情報セキュリティサービス基準とは?
近年高まるセキュリティ対策の必要性に応じて、専門知識をもたない人でも一定以上のサービス品質を満たしているかどうか判断できるように経済産業省が規定した基準です。セキュリティーサービス基準を満たした調査会社についてはこちらの記事でも紹介しています。
おすすめフォレンジック調査会社:デジタルデータフォレンジック
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
フォレンジック調査を依頼するメリット
フォレンジック調査では専用の設備とノウハウを駆使した調査を行います。主なメリットは以下のようなものがあります。
- 法的証拠能力を保持した状態で調査可能
- 短期間で正確な調査が可能
- 報告用のレポートの作成が可能
法的証拠能力を保持した状態で調査可能
情報持ち出しの証拠データを法執行機関に提出する際、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要です。
デジタルデータは改変や改ざんが簡単にできてしまうため、オリジナルのデータには手を加えず、「正当な手続きのもと調査・解析を行った」という証明を行うために、普通のデータコピーではなく、専用のツールを使用する必要があります。
デジタル機器の調査を専門としているフォレンジック調査業者では、この証拠保全を正確に行うことができるため、抽出したデータの信頼性や正確性を担保することが可能です。
短期間で正確な調査が可能
フォレンジック調査業者では、短期間で正確な調査が可能です。膨大なデータ量から目的のデータを抽出するために、一般的なソフトや技術では、数か月・数年かかる作業がほとんどです。しかし、フォレンジック調査会社では、調査にかかる期間は、約1週間から2週間ほどで調査を完了します。
裁判の証拠提出期日や調査結果の公表期限が決まっている場合でも、短期間で調査することが可能ですので、インシデント発生時すぐに調査会社に相談しましょう。
報告用のレポートの作成が可能
フォレンジック調査会社では、公的機関や裁判所提出するためのレポートの作成が可能です。これは、証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、第三者の中立的な資料として法廷利用可能な資料を指します。
個人情報漏えいの報告や、損害賠償請求の証拠資料として利用する場合には、フォレンジック調査会社に相談してレポートを作成してもらうことが必須になりますので、すぐに相談するようにしましょう。
会社が抱える退職者のデータ持ち出しによるリスク
退職者がデータ持ち出しを行うことで、企業側に発生するリスクは以下のようなものがあります。
- 多額の賠償義務や信用の失墜
- 競合他社や転職先での情報流用
- 経営状態の悪化・倒産
多額の賠償義務や信用の失墜
データを持ち出した退職者がそのデータを転売すると、企業が管理している個人情報や秘密情報が漏洩する可能性が考えられます。
企業が情報漏洩を発生させた際の顧客に対する賠償金額は、1人あたり5,000円~10,000円、合計で数千万円以上になる事例も存在します。
また、ネットニュースや新聞、テレビなどで大々的に報道される可能性も高いです。
顧客からセキュリティ対策が行われていないと認識され、企業イメージが低下すると共に、長期的な顧客離れが起こると考えられます。
日本ネットワークセキュリティ協会(JNSA)が公開した“2018年 情報セキュリティインシデントに関する調査報告書”によると、個人情報漏洩インシデントに関して以下のような報告がされています。
- インシデント件数:443件
- 一件あたりの漏洩人数:1万3,334人
- 一人あたり平均想定損害賠償額:2万9,768円
- 一件あたり平均想定損害賠償額:6億3,767万円
場合によっては億単位の損害が発生し、倒産してしまう可能性もあります。
参照元:日本ネットワークセキュリティ協会(JNSA)“2018年 情報セキュリティインシデントに関する調査報告書”による、個人情報漏えいインシデントに関して
競合他社や転職先での情報流用
在籍していた会社から「お得意様」や「取引先」といった顧客データを持ち出し、顧客の引き抜きを行うケースも少なくありません。
大切な顧客データや長年培ってきた研究データ、技術情報といった企業の根幹に関わる情報を流用されるだけではなく、最悪の場合、競合企業の台頭による売上の減少や社会的信用の損失といった企業の利益に大きく影響を及ぼすことも考えられます。
経営状態の悪化・倒産
顧客情報や取引先の情報だけでなく、会社の根幹をなす技術情報やマニュアルが流出した場合は競合との競争力が低下することが考えられます。
そもそも情報の流出は会社のデータ管理体制自体がずさんである可能性を問われかねないため、企業としての信用も同時に失い、経営状態の悪化・場合によっては倒産に追い込まれるリスクがあります。
最悪の場合、刑事罰の対象に
退職者にデータを持ち出された場合、損害賠償だけでなく刑事罰に問われる可能性もあります。
2017年に施行された改正個人情報保護法により、退職者が抜き出した情報によって個人情報漏洩が発生すると、個人情報を取り扱うすべての事業者は1年以下の懲役または50万円以下の罰金を課される可能性があります。
個人情報保護法は法人である企業に対しても適用されるものであり、年々罰則が厳しくなっているため注意が必要です。
会社の情報が不正に持ち出された可能性があるときは、早急に専門家に相談し、事実関係を調査し適切な対処をとりましょう。
法人は改正個人情報保護法に沿った対応が望まれる
2022年4月1日に施行された個人情報保護法改正では、データ漏えいに対する罰則が強化されました。企業が機密情報や個人情報を漏洩させた場合、個人情報保護委員会への報告が2段階で求められます。
速報では3~5日以内に漏えいの概要を報告し、確報では30日以内に詳細な情報と再発防止策を報告する必要があります。不完全な情報での通知は信頼喪失につながりかねず、被害調査や公表には第三者機関の協力が必要。報告遅れや隠ぺいは行政処分や損害賠償の対象となることに留意しておきましょう。
措置命令違反の罰則
個人情報保護委員会の措置命令に違反した場合、事業者には最大で6か月の懲役または30万円以下の罰金が科せられます。
報告義務違反の罰則
悪意のある第三者による個人情報漏えいが発生し、速やかな報告が求められる場合、報告義務を怠った事業者には最大で1年の懲役または50万円以下の罰金が科せられます。
>情報漏えいが発生した企業の個人情報保護委員会への報告義務についてはこちら
内容証明郵便で警告する際のポイント
内容証明郵便は、法律上の手続きとして認められているため、退職者に警告を強く伝えることができます。また、内容証明郵便は、後日、法的措置をとる際に証拠として使用することができます。
基本的な記載事項
内容証明郵便を使用して警告を行う際には、以下の基本的な記載事項を含めることが重要です。
- 警告の内容
- 警告の根拠
- 警告の期限
- 警告に応じない場合の法的措置
警告の内容は、退職者がデータ持ち出しを行ったこと、そのデータが企業にとって重要な情報であること、データ持ち出しが企業に損害を与える可能性があることなどを具体的に記載する必要があります。警告の根拠は、不正競争防止法や特許権侵害などの法的根拠を記載する必要があります。
内容証明郵便を送付する際には、上記のポイントを参考にして、慎重に作成するようにしましょう。
ここからは上記のポイントをより具体的に解説します。
①民事上の損害賠償請求の予定を明記する
民事上の損害賠償請求を予定している場合、内容証明郵便の文書にその旨を明記します。
たとえば具体的な損害の内容や金額、賠償請求の根拠などを述べます。また、相手方に対して和解の提案をする場合は、それについても明記します。
②刑事告訴を予定している場合、その旨を明記する
刑事告訴の予定がある場合、内容証明郵便の文書にその旨を明記します。(刑事告訴は警察や検察に直接行うべきであり、内容証明郵便だけで完結するものではありません)ここでは具体的な犯罪行為や法的な根拠について言及し、告訴の意思を相手方に伝えます。
ただ、刑事告訴は司法手続きに基づくものであり、時間がかかる場合や手続きが複雑な場合があります。
また被告人の有罪が確定し、身柄が拘置されると、損害賠償の請求が難しくなる恐れもあります。したがって、刑事告訴には慎重に検討すべきです。代わりに、民事訴訟による損害賠償請求を検討することで、迅速な解決や訴訟費用の節約、訴訟手続きの柔軟性などの利点を得ることができます。
③身元保証人への内容証明郵便の送付を検討する
相手方の身元保証人が存在する場合、その人物への内容証明郵便の送付を検討することがあります。身元保証人に対しても警告を伝えることで、相手方の責任を強調し、紛争解決に向けた圧力をかけることができます。ただし、身元保証人への送付は慎重に判断し、法的な制約や倫理的な考慮を忘れないようにしてください。
④転職先への内容証明郵便の送付を検討する
相手方が転職先を変えた場合、その転職先への内容証明郵便の送付を検討することがあります。転職先に対して警告を伝えることで、退職者が持ち出した情報を使用させないよう要請することができます。ただし、転職先への送付も法的な制約やプライバシーの保護に留意する必要があります。
また転職先への内容証明郵便に記載する内容は、正確かつ証拠に基づいたものであることが重要です。たとえば具体的な出来事や行為について、客観的な証拠を持つことが望ましいです。虚偽の情報や根拠のない主張は避け、信頼性を保つようにしましょう。
退職者がデータ持ち出しを行っているかを判断するためには、まず、事実関係と証拠を適切に調査する必要があります。
確実な調査を行いたい場合は、フォレンジック調査サービスに相談をする
確実な調査を行いたい場合は、フォレンジック調査サービスに相談をすることを検討してください。
フォレンジック調査では、専門のエンジニアによるPCの操作ログ調査を行うだけでなく、不正な操作や不正アクセス、その他のサイバー攻撃によって被害を受けた企業や個人が、法的証拠を押さえるために実施するデジタル鑑識を受けることができます。
また、その調査レポートは裁判での法的証拠として使用することができるため、調査だけでなくその後の法的対応という面でも有効に活用ができます。
退職者がデータを持ち出す際の手口
退職者がデータを持ち出す際、以下のような手口がとられることがあります。
- USBメモリに情報を不正コピーして持ち出す
- クラウドストレージにアップロードする
- 在職中に割り当てられていたアクセス権限・アカウントの悪用
- 個人のメールにデータを添付して送信する
これらの手口を防ぐためには、以下の対策が必要です。
- 退職者に対するデータ持ち出しの教育・啓発を行う
- 退職者に対するPCの使用制限を行う
- クラウドストレージの利用を制限する
- アクセス権限・アカウントの監査を行う
また、データ持ち出しの証拠を隠ぺいするため、メールでのやり取りや特定期間のファイル・ログが削除されているケースも多いです。
そもそもパソコンは起動するだけでログが書き換えられてしまいます。上記のような手段で不正にデータが持ち出されたかどうかを調べたいときは、できるだけ早い段階でフォレンジック調査機関に依頼し、適切な手順で証拠の保全作業をしてもらいましょう。
過去の機密・社内情報の漏洩事例
過去の代表的な機密・社内情報漏洩事例として下記のものがあります。
- 産業用ロボット設計データを不正持ち出し
- ソフトバンク・楽天モバイル事件
- はま寿司データ持ち出し事件
具体的な事例から退職者によるデータ持ち出しのリスクを再確認しましょう。
産業用ロボット設計データを不正持ち出し
2020年、愛知県警はロボットシステムを製造・販売する豊電子工業から営業秘密を不正に持ち出したとして元社員を不正競争防止法違反で逮捕しました。元社員は設計情報などを電磁的記録媒体に転送し、不正に利益を得ようとした疑いが持たれています。からソフトバンク・楽天モバイル事件
ソフトバンク・楽天モバイル事件
2021年、楽天モバイルの元社員が機密情報を不正に持ち出し、不正競争防止法違反容疑で逮捕されました。元社員は、会社のメールアドレスから個人のメールアドレスに送信したり、クラウドストレージにアップロードしたりすることで、ソフトバンクから多数の電子ファイルなどを盗んだ疑いが持たれています。
同人物は、不正競争防止法違反容疑で起訴され、ソフトバンクは楽天モバイルと同人物に対して約1000億円の民事訴訟を東京地方裁判所へ提起しました。なお、以前にも、元社員が外交官から接待を受け、会社の営業秘密を漏えいさせた事件が発生しており、セキュリティ体制の問題が指摘されています。
はま寿司データ持ち出し事件
2022年、回転寿司チェーン「かっぱ寿司」の代表者が、以前在籍していた「はま寿司」の仕入れ原価や仕入れ元等に関する情報が持ち出した疑いで逮捕されました。同人物は、同店を退職後、同種の回転寿司チェーンに転職「かっぱ寿司」し、持ち出したデータを転職先で使用していたとのことです。
「はま寿司」は同人物に対して、不正競争防止法違反の疑いで告訴しています。
フォレンジック調査は、裁判上での証拠保全に限らず、マルウェア感染調査や、不正アクセスによる顧客情報流出の事後調査など、さまざまな場面で、法人・個人を問わず、広く活用されています。
おすすめのフォレンジック調査会社
データが漏えいしている可能性がある場合、特に法人は個人情報保護の観点から、情報漏えいや不正アクセス被害の有無を確認するなど適切な対応をとる必要があります。このような情報漏えいや不正アクセス被害の調査や対応においては、フォレンジック調査会社との提携が重要です。
ただ、フォレンジック調査には高度な技術と知識が必要であり、信頼できる業者も限られますが、上記のポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
デジタルデータフォレンジックは、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。累計2.4万件以上の相談実績を持ち、大手企業や警察からの捜査依頼も多数解決しているため、実績・経験は申し分ないスマホのハッキング調査対応業者です。
調査・解析専門のエンジニアとは別に、相談窓口として調査専門アドバイザーも在籍しており、年中無休で対応しているため、初めて調査を依頼する場合でも安心して相談することができます。なお、法人/個人を問わず対応しており、見積まで無料のため費用面でも安心といえます。
フォレンジック調査会社の調査の流れ
フォレンジック調査会社に依頼する際は、機器を渡してすぐに調査を始めるわけではありません。調査を依頼する前にインシデントの発生状況から何を調査刷ればいいのかを明確にします。フォレンジック調査は特殊な調査であるため、依頼者の認識と必要なデータに乖離がある可能性があるためです。
具体的に、フォレンジック調査会社の調査の流れは以下に沿って進めていきます。
- ヒアリング
- 証拠保全
- 調査・解析
- 報告
ヒアリング
まずはどのような問題が発生したのかヒアリングを行い、解決すべき問題を明確にします。そこから相談案件に沿った仮説を立て、調査項目の優先順位を決めていきます。ヒアリングを行うことで、新たな対象者や対象物が発見されることもあるため、的確な分析を行う上で非常に重要な過程となります。
証拠保全
調査対象となる機器のデータを保全するために、全体の複製を行います。保全とは裁判などで使用する証拠を確保することです。
問題が発生した際の状態を正確に記録することが重要となるため証拠の保全を行うことで、対象機器内にあるデータの改ざんが行われることがなくなり、証拠として使用することができるようになります。
調査・解析
ヒアリングで得た情報と対象機器の情報を照らし合わせながら、実際に何が起こったのか解析を行います。
証拠データはメールや履歴など膨大な情報量であるため、その中から証拠や原因を見つけ出す技術が必要となります。
報告
解析終了後に解析結果をまとめ、報告書として調査対象となる企業へと提出します。調査終了後は、全作業データを完全に消去し、破棄します。この時に、必要な場合は法的機関での利用が可能なレポートの作成を依頼することもできます。
退職者によるデータ持ち出しを防ぐ対策
今後、退職者によるデータ持ち出しを防ぐためにも、すぐに以下の対策を行ってください。
- ID情報の徹底管理
- 機器の確保や情報のアクセス制限
- 競業避止義務契約や秘密保持義務の締結
- 持ち出し困難化
- 視認性の確保
ID情報の徹底管理
社内でID情報を徹底管理することで、誰が何をしているかといった行動履歴を取得することができます。
退職者によるデータ持ち出しは、機密情報を個人で利用するクラウドストレージにアップロードすることで発生するケースが多いため、ID情報を管理して事前に対策を行う必要があります。
退職予定者がいる場合はログ取得を明言し、不正の機会を与えないようにしましょう。
機器の確保や情報のアクセス制限
ID情報の管理に加えて、退職予定者が使用している機器の確保や情報のアクセスを制限しましょう。
退職する直前に、機器から重要なデータを抜き出したり外部へ転送する可能性があります。
またデータ持ち出しの証拠となり得るメールやアクセス履歴などを削除し、隠蔽することも考えられます。
このような事態になる前に、退職予定者には顧客情報や機密情報へのアクセスを制限するなどして、事前の対策を行ってください。
競業避止義務契約や秘密保持義務の締結
退職者含め従業員の秘密情報に対する意識が低い可能性が考えられます。
退職時にデータ持ち出しを行い情報漏洩した場合、「秘密情報であると認識していなかった」という事態も多く発生しています。
こういった事態を招かないために、企業の利益に著しく反する競業を差し控える「競業避止義務契約」や企業の秘密を保持する「秘密保持契約」を締結し、秘密情報に対する意識を向上させることが重要です。
持ち出し困難化
会社のデータ持ち出しを阻止することが重要です。
退職の申出があった場合には、まず使用していたPCやUSBなどの機器をすべて返却してもらいます。
そして退職までは初期化された新しいPCで作業を行ってもらいましょう。
私物の記憶媒体などの持ち込みを禁止を検討することも、データ持ち出しの防止に効果的な手段だと言えます。
視認性の確保
データ持ち出しなどの不正行為を見つけやすい環境作りを行ってください。
例えば、会社の重要データを扱っている機器がある部屋には監視カメラの設置を行ったり、入退室管理システムの導入を行うなどの方法です。
これらの対策を行った場合は、社内全体にアナウンスを行うことでより導入の効果が見込まれます。
まとめ
退職者によるデータ持ち出しは、いつどこで発生してしまうか分かりません。
企業側が未然に防ぐ対策を行い、徹底したセキュリティ管理などを行うことが大切になります。
退職者による情報漏洩が起こる可能性を最低限に減らし、万が一情報漏洩に関し不安を感じた際には、フォレンジック調査会社への相談をおすすめします。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
