退職する人というのは、当たり前ですが社員として一定期間その企業に勤務していた人です。
その人の役割等によって程度の差はありますが、会社内部の情報に触れていたはずです。その人が辞めてしまうということは、そこから情報が外部に漏れるリスクが発生するということにつながるのです。社員1人が退職するということは、このように様々な面で多くのリスクが発生することです。
本記事では「退職者が使っていたPCから情報漏えいを防ぐ」ということに着目して、退職者が出た場合に情報システム部門がやるべきことを説明していきます。
この記事の目次
中途退職者による情報漏洩が増加している
近年、中途退職者による情報漏洩が深刻化しています。それを裏付けるデータをIPAが公開しています。たとえばIPAが2016年時点でおこなった調査では、現職従業員等の誤操作・誤認等が最たる情報漏洩の原因でした。しかし、2020年にIPAが行った調査では、中途退職者による漏洩が1位となりました。そのため、企業においては退職者による情報の持ち出し・漏洩に対する対策の必要性が高まっています。
情報漏洩の原因は、人材の流動化や働き方の多様化、インターネット技術の進化、情報記憶装置の小型化・大容量化などが挙げられます。こうした原因を生まないためにも、組織は情報管理の徹底(アクセス制限、監視システムの導入など)、ならびに従業員に対する教育や意識啓発活動をおこなうことが求められています。
参照「企業における営業秘密管理に関する実態調査2020」(IPA)
退職者による情報漏洩リスク
企業にとって、退職者による情報漏洩は深刻なリスクとなっています。以下にその主なリスクを列挙します。
- ノウハウや顧客情報が他社に流出するリスク
- 個人から損害賠償請求を受けるリスク
- 他社から損害賠償請求を受けるリスク
- 誹謗中傷や風評被害リスク
- 行政からの勧告・命令や刑事罰を受けるリスク
ノウハウや顧客情報が他社に流出するリスク
退職者が持っていた技術やノウハウ、顧客情報などの重要な情報が漏洩し、競合他社に利用される可能性があります。
これにより、企業の競争力が低下するリスクがあります。また、漏洩された情報を元に、顧客からの信頼を失い、取引先との信頼関係にも影響が出る可能性があります。このため、情報漏洩は企業にとって大きな損失をもたらすことがあります。
個人から損害賠償請求を受けるリスク
退職者が個人情報や機密情報を漏洩させた場合、被害を受けた個人から損害賠償を請求される可能性があります。
また、漏洩された情報によって被害が生じた場合、風評面で企業の信用は失墜し、顧客からの信頼を失う可能性があります。
他社から損害賠償請求を受けるリスク
転職してきた退職者が、元勤務先の機密情報を提供してきた場合、不正競争行為や市場での不正な利得が生じる可能性があります。不正競争行為とは、公正な競争を害する行為です。市場での不正な利得とは、不正な手段で利益を得る行為です。転職してきた退職者が元勤務先の機密情報を提供してきた場合、これらの行為に該当する可能性があります。
転職した退職者が元勤務先の機密情報を提供してきた場合、企業はすぐに弁護士に相談して対応策を検討する必要があります。
誹謗中傷や風評被害リスク
退職者が企業に対して誹謗中傷や不正確な情報を流布することで、企業の評判や信用が損なわれるリスクがあります。これにより、顧客や取引先との信頼関係が傷つく可能性があります。また、誹謗中傷や不正確な情報がインターネット上に拡散されることで、広く一般の人々からの信用を失う可能性もあります。
行政からの勧告・命令や刑事罰を受けるリスク
退職者による情報漏洩が社会問題化した場合、行政機関からの勧告や命令を受ける可能性があります。
さらに、不適切な情報の取り扱いにより、情報漏洩が法律違反に該当する場合には、企業は刑事罰を受けるリスクもあります。
たとえば不正競争防止法では、次の行為が禁止されています。
- 不正な手段で営業秘密を取得・使用・開示する行為
- 他人の商標や著作権を侵害する行為
- 他人の信用を毀損する行為
- 他人の取引を妨害する行為
不正競争防止法とは、公正な競争と国際約束の的確な実施を確保するため、不正競争の防止を目的として設けられた法律です。
こうした法的リスクに対して企業は情報管理の徹底し、セキュリティ対策の強化などを行うことが必要です。また退職者に対する契約や取り決めの見直しを行うことも重要です。
【退職前】情報漏えいを防ぐ対策
退職前の従業員による情報漏洩を防ぐための対策は、次のとおりです。
- アクセス権の限定
- 事務室への入退室管理
- パソコンの持ち出しを禁止
- 私物の電子機器の持ち込みを制限
- 外部記録媒体のパソコン接続を制限
- 社内規定で機密情報や守秘義務、罰則を定義
- 従業員に誓約書提出を義務付け
- 社内研修で社内規定や罰則について周知
- 監視カメラの設置
- 電子メールやシステムへのアクセスログをモニタ
これらの対策は、情報漏洩リスクを最小限に抑えるために欠かせません。また、企業は退職者に対して情報漏洩の重大性や倫理規定についての教育も行うことが重要です。従業員全体のセキュリティ意識を高めることで、情報漏洩リスクをより効果的に管理することが可能となります。
【退職後】情報漏えいを防ぐ対策
退職者が出た場合に、PCに対して情報漏えいを防ぐために情報システム部門がまず行うべきことは、次のとおりです。
- 退職者のPCを確保
- 退職者のアクセス権を削除する
- 退職者のPCを初期化する
これらの対策を講じることで、退職者による情報漏えいを防ぐことができます。以下で詳しく見ていきましょう。
退職者のPCを確保
当たり前ですがまず退職した社員が使用していたPCを回収・確保します。第三者が利用して、データが不用意に改ざんや漏えいされるのを防ぐ意味合いがあります。
PCを確保してしまえば、そこから情報が漏れることはなくなりますから、まずは第一関門クリアと言えます。
退職者のアクセス権を削除する
退職者が退職後も企業のシステムやデータにアクセスできると、情報漏洩のリスクが高まります。
適切な退職手続きの一環として、アクセス権限の即時削除を行いましょう。これにより、退職者が機密情報にアクセスすることが防止されます。
PC内のデータの確保と保全
PC内のデータの確保と保全を行います。最終的にはデータを消去(初期化)しますが、その前に全てのデータを確保して、別の場所に保存しておく必要があります。
それは、万が一に退職者が情報漏えいなどの犯罪に関与していた場合の証拠になる可能性があるためです。仮に退職者が外部への意図的な情報流出などをしていた場合、証拠は個人のPCやメールなどに残ることがあります。したがってこれらを証拠として使えるように保存しておくのです。
これは永久に保存しておくのは保存場所等の問題もありますから、3年とか一定の保存期間を社内の情報セキュリティポリシーとして決めておくのが良いでしょう。
退職者のPCを初期化する
退職者が使用していたPCやモバイルデバイスには、機密情報やアクセス権限が保存されている可能性があります。
退職者が企業の情報を持ち出すリスクを軽減するために、退職者のPCを初期化し、機密データを完全に削除することが重要です。
その他の注意点
データ消去では、いずれの場合であっても消去が不完全であるとデータが漏えいする可能性があるので、確実に行いましょう。特にPCを廃棄する場合は、ハードディスクが社外に出ますので、データが完全消去されたことを特に念入りに確認する必要があります。場合によっては信頼できる外部の廃棄業者にこれらの作業を委託し、廃棄されたことを示す消去証明書を受け取るという方法も使えます。
退職者からの情報漏えいを防ぐには、当然PC以外にもサーバ上のデータやクラウド上のデータなど管理すべきデータはまだまだあります。
また退職者本人にも情報漏えいを防ぐための誓約書をとるといった対策が必要になるでしょう。これらは非常に手間のかかる作業ですから、社内ポリシーとして退職者の取り扱いに対するルールとして規定し、定型処理化しておく必要があります。この作業まで完了するとPC経由からの情報漏えいの可能性はゼロと言っても過言ではないでしょう。
退職者による情報漏洩が起きてしまった際の対応
退職者による情報漏洩が発生した場合、証拠の確保と法的措置の観点から、下記の対応を検討することが重要です。
証拠の確保
情報漏洩の発覚後、証拠を確実に保持することが不可欠です。この際、フォレンジック調査が有効です。これはデジタル証拠の収集・分析に特化した手法であり、情報漏洩の原因や経緯を解明するのに役立ちます。
これはコンピュータやネットワーク上のアクティビティログ、ファイルのメタデータ、通信履歴など、証拠となるデータを適切に保全することが目的です。
法的措置の裏付け
フォレンジック専門家は、データの解析や調査結果の報告書作成などを行い、証拠としての信頼性を高めます。
フォレンジック調査によって収集された証拠は、法的な手続きや訴訟において有効な裏付けとなります。証拠保全および調査結果について正確性を担保することは、企業が法的措置を取る上で必要不可欠です。
ただし、フォレンジック専門家の選定では、信頼性の高い場所を選ぶことが重要です。経験と専門知識を持つ専門家が、適切な手法とツールを用いて調査を実施できるからです。
おすすめフォレンジック調査会社
フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計2.4万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | 社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、デジタル遺品、離婚問題・浮気調査 など |
特長 | ✔官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
おわりに
新しい人が入社し、一緒に働いてきた人が退社する。これは企業にとって日常茶飯事です。しかし、そこには大きな情報漏えいのリスクがあります。
そのことを改めて認識し、今回説明したPCの対策を含めて、しっかりと行うべき対策をしてセキュリティ事故につながることが無いようにしていきましょう。