従業員のデータ持ち出しリスクや情報漏洩の対処・対策まで解説|サイバーセキュリティ.com

従業員のデータ持ち出しリスクや情報漏洩の対処・対策まで解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。

近年、従業員によるデータ持ち出しの被害が増加しています。持ち出されたデータの中には個人情報持ち出されると、競合他社に企業技術や顧客情報が流出する可能性があるだけでなく、企業の情報管理能力が疑われて社会的信用を失う可能性があります。

直近では「かっぱ寿司」や電子部品製造の「アルプスアルパイン」 など、大手企業でも情報持ち出しが発生しており、持ち出しを行った当事者が有罪判決を受けた事例も少なくありません。

今回は、従業員によるデータ持ち出しのリスクや証拠を収集する方法ついて解説します。従業員によるデータ持ち出しの疑いが少しでもある場合は、ぜひ本記事を読んで参考にしてください。

従業員によるデータや個人情報の持ち出しは処分の対象となる

従業員による社内データや個人情報の持ち出しは懲戒処分や損害賠償請求などの対象となります。多くの企業では、従業員に対して秘密保持義務を課し、企業ノウハウや技術上の秘密・顧客情報などの企業秘密を保護しています。

秘密保持義務とは、労働者が企業秘密を許可なく使用・開示してはいけないという義務です。これに違反した場合は、市場における競争力を低下させ、多大な損害を与える可能性があるとして、懲戒処分損害賠償請求などが発生する場合があります。

また、顧客リストや社員の名簿などの個人情報が外部に流出した場合、個人情報保護委員会に3〜5日以内に速報を報告し、調査などを行ったうえで個人情報流出の確報を30日以内に報告しましょう。

万が一従業員にデータが持ち出されてしまい、懲戒処分や損害賠償請求する場合は、正確な証拠を収集することが重要です。証拠が認められない場合は、懲戒処分や損害賠償請求が認められない可能性が高いです。調査する時は、法的に適切な手順で対応してもらえる調査会社に相談しましょう。

社員がデータを持ち出す理由

社員がデータを持ち出す理由は主に以下のようなものがあります。

社外で仕事をするため

テレワークの普及により、自宅やカフェなど会社以外の場所で仕事をする場面も増えています。しかし、許可を取らずに無断で社内のデータを持ち出すと、雇用契約に基づく秘密保持契約に抵触する可能性があります。悪意なくデータを持ち出した場合も問題になるケースがあるため注意しましょう。

個人的な会社の恨みのため

会社や特定の従業員への恨みを晴らすためにデータを持ち出すケースがあります。会社に損害を与えるために、ダークウェブ上や競合他社に対して社外秘の情報を売却する可能性も考えられます。

転職先に提供するため

従業員が転職先にて有利な地位や条件で雇ってもらうため、前職の会社のデータを提供することがあります。転職先が競合他社である場合、既存の顧客に営業をかけられたり、独自の技術を使って製品を作られるなど、多大な損害が発生する可能性があります。

金銭を得るため

単に金銭を得るためという理由で、データを持ち出す従業員がいます。企業が保有する個人情報や技術情報は、通常の方法では検索できないダークウェブ上や、競合他社において、高額で売買されることがあります。

従業員のデータ持ち出しが行われた場合のリスク

従業員のデータ持ち出しが発覚した場合、企業には下記のようなリスクが発生することがあります。

企業のノウハウが流出する

従業員のデータ持ち出しが行われた場合、企業ノウハウが流出するリスクがあります。製品の開発情報や技術が競合他社に知られれば、その損害は計り知れません。企業のノウハウが流出した場合は速やかに調査を開始し、事態を収拾する必要があります。

顧客情報が流出する

顧客の住所や生年月日、電話番号などの個人情報が流出するリスクがあります。この場合、自社の顧客に営業をかけられて顧客を奪われる可能性が考えられます。

また、顧客データが流出したことが世間に知られれば、企業に対する信用が失墜します。一度失った信用を取り戻すことは難しく、信頼の回復には多くの時間を要するでしょう。最悪の場合は会社が倒産することも考えられます。

刑事罰が発生する

従業員によるデータ持ち出しによって個人情報が流出すれば、刑事罰に科されるリスクがあります。国内の法律では、情報持ち出しを行うと、以下の刑事罰の対象となる場合はあります、

法律名 内容 量刑
営業秘密侵害罪 企業や個人の営業秘密を不正に取得、使用、または開示する行為に対して刑事罰を科す 10年以下の懲役または2,000万円以下の罰金(法人の場合は最大5億円の罰金)あるいはその両方
窃盗罪 他人の財物を窃取する(刑法235条) 10年以下の懲役又は50万円以下の罰金(刑法235条)
業務上横領罪 業務上自己の占有する他人の物を横領すること(刑法253条) 10年以下の懲役(刑法第253条)
個人情報データベース等不正提供罪 その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供又は盗用(個人情報保護法第179条) 1年以下の懲役又は50万円以下の罰金(個人情報保護法第179条)

 

データ持ち出しの処分を下す流れ

従業員のデータ持ち出しが発覚した際は、下記の流れで対処しましょう。企業として速やかに対処することが重要です。

証拠の収集

まずは従業員がデータを持ち出した証拠を収集しましょう。個人情報をはじめとする社内データの持ち出しが証明できる証拠例は以下の通りです。

  • 監視カメラの映像
  • 関係者の証言
  • アクセスログ
  • ファイル操作ログ
  • 外部デバイスの接続履歴
  • メールの送信履歴

以上の証拠のうち、電子機器のログや履歴を収集する際は注意が必要です。電子データは削除や改ざんが容易にできるため、社内で取得できた証拠が必ずしも法廷などで証拠として認められない場合があります。警察や裁判所などに、電子データを証拠として提出したい場合は、公的機関に提出できる報告書の作成を行っている「フォレンジック調査会社」に相談すると、証拠の提出をスムーズに行える場合があります。

「フォレンジック」とは電子端末から電子データを証拠として保全・解析する専門技術です。第三者が行うことで電子データに改ざんがないことを客観的に証明し、電子データの証拠能力を補強できる場合があります。

内容証明郵便で報告

証拠を収集できたら、内容証明郵便で報告しましょう。従業員によるデータ持ち出しが起こった場合、迅速に関係各所に報告することが必要です。まずは顧客や取引先・個人情報保護委員会に報告し、必要に応じて警察やIPA、マスコミなどにも報告しましょう。

報告するにあたって必要な資料は、専門業者で調査してから作成することで、円滑に作成することができます。

賠償金の請求

企業は不正行為をした従業員に対し、損害賠償を請求することができます。損害賠償の請求にあたっては、「不正行為が原因で企業に不利益が生じていること」「不正行為を証明できること」などを証明することが必要です。

不正行為を証明することができたら、データ持ち出しによって発生した具体的な損害と被害額を算出しましょう。

懲戒処分

懲戒処分とは、従業員が会社の規則や規定を破った際に行われる処分のことです。具体的に、減給勤務停止退職推奨解雇などがあり、違反行為の重さによって処分が異なります。一通りの調査を終えて弁明の機会を与えたうえで、書面で懲戒処分の理由や有効日などを本人に通知しましょう。

懲戒解雇

懲戒処分のうち最も重い処分が「懲戒解雇」です。

日本の労働法では、従業員を解雇するハードルが高く、横領などの不正や、職務怠慢などの素行不良を繰り返し、企業秩序を著しく乱すなど、正当な理由が必要です。無暗な懲戒解雇は、裁判になった際に解雇無効の判断が下され、損害賠償金の支払いを求められる場合があります。

懲戒処分には明確な証拠が必要

従業員を懲戒処分するには、客観的に合理的な理由が必要です。明確な証拠が必要です。客観的に不正行為を証明できる証拠を用意できない場合、不服を申し立てられ、適切な処分ができない可能性があります。そのため、まずは従業員が社内データを持ち出したという証拠を一つでも多く掴みましょう。

証拠となるデータを確実に収集するには、第三者の調査機関でフォレンジック調査をすることが必須です。フォレンジック調査とは、パソコンやスマートフォンなどのデジタル機器を解析し、情報漏えいの証拠を調査する手法です。

自社調査では難しい被害の全容把握や、削除されたデータの調査を行うことができます。社内システム担当者が調査を行うと、誤った対処をして証拠が消失したり、客観的な証拠を集められなかったりする可能性がありますが、専門業者であればその心配はありません。

機器に残されたデータから、証拠能力を維持した状態で調査可能ですので、裁判で争うことになった際にも役立ちます。そのため、確実に証拠を収集したい場合は、専門のフォレンジック調査会社に依頼しましょう。

おすすめのフォレンジック調査会社

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • 緊急時のスピード対応が可能
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

デジタルデータフォレンジック

公式サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、累計3万2千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も360件以上ある国内有数のフォレンジック調査サービスです。

一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。

運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等
サービス ●サイバーインシデント調査:
マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査
●社内不正調査:
退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元
●その他のサービス:
パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等
※法人・個人問わず対応可能
特長 官公庁・法人・捜査機関への協力を含む、累計32,000件以上の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査
※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)
基本情報 運営会社:デジタルデータソリューション株式会社
所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階
受付時間 24時間365日 年中無休で営業(土日・祝日も対応可)
★最短30分でWeb打合せ(無料)

>フォレンジック調査会社の一覧リストはこちら

まとめ

今回は、従業員によるデータ持ち出しのリスクや証拠を収集する方法について解説しました。社内の機密データを持ち出した従業員を解雇したい場合は、従業員の不正を確実に証明できる証拠を収集することが非常に重要です。

万が一、顧客情報などの流出を放置してしまった場合、最大一億円の罰金が科される可能性があります。企業として情報の流出が発覚した時は速やかに事実調査を行いましょう。

  • 中小企業の情報瀬キィリティ相談窓口[30分無料]
  • 情報処理安全確保支援士(登録セキスペ)募集
  • サイバー保険比較
  • 【企業専用】セキュリティ対策無料相談