無料会員登録
昔は紙媒体で管理していた顧客情報や会社の機密情報は、現在ハードディスクやUSBなどの記憶媒体で、簡単に持ち出せてしまうようになりました。その背景として、個人・法人問わず、一人一人が管理する情報量が増加していること、インターネットの普及やパソコン・スマホなどのデジタル機器を一人一台持っていること、などが考えられます。
会社にとって、情報を持ち出せることは便利な反面、情報漏えいなどの重大な被害が発生するリスクがあります。データ管理の徹底や、トラブルが発生した時の事実調査は重要になりますが、実態としてデータ管理や調査に関してどのように対処すればいいかわからないという会社が多く、多くの被害が発生しています。
今回の記事では、従業員によるデータの持ち出しの被害を受けた企業が、どのような調査を行うべきか、デジタルフォレンジックに言及しながら詳しく説明していきます。
目次
データ持ち出し事件の傾向
社員によるデータ持ち出しの不正行為の傾向はどのように変化してきたのでしょうか。
情報の持ち出しは、インターネットが普及する前から起こっていた社会的なセキュリティインシデントです。しかし、1970~1980年代にかけての記憶媒体はフロッピーディスクなどの容量の少ないものしかなかったため、大量の機密情報データを外に持ち出すことはできませんでした。また、メールの機能も発達していなかったことから、データや情報売買の取引先を見つけることも難しい時代でした。
しかし現代は、個人情報の電子データ化・記憶媒体の大容量化により、個人の管理できるデータ量は増加しました。また、情報を管理できるツールは、大容量ハードディスクなどの記憶媒体だけではなく、個人の持つパソコンやスマートフォンなどもあり、その容量も年々拡大しています。そのため、大量の電子データを一度に持ち出すことが可能となってしまい、情報持ち出しの社会的影響は甚大なものへと変化してきました。
さらに昔に比べ、情報は「お金になるもの・価値のあるもの」という認識が高まり、機密情報を高値で売買しようとたくらむ人が増加してしまっているのです。
社員によるデータ持ち出しの事例
データの持ち出し事件は、在籍・退職・転職社員問わず発生する可能性があります。近年発生した、社員によるデータ持ち出しの事例を以下で紹介します。
在籍社員によるデータ持ち出し
在籍していた社員が、企業の情報を持ち出した事件として記憶に新しいのは、2020年に発生したソフトバンクの情報漏洩事件です。
当時ソフトバンクに勤務し、統括部長の役職を担っていた在籍社員は、2020年1月不正競争防止法違反の疑いで逮捕されました。逮捕された元社員は、当時勤務していたソフトバンクのサーバーに不正アクセスし、同社の営業秘密などが含まれる機密情報を外部に漏洩しており、ロシアのスパイに情報を流していた容疑をかけられています。機密情報は記憶媒体に保存され、ロシア人のスパイに記憶媒体を手渡しする形で情報漏洩を行ったとされています。
警察庁の調べによると、情報の手渡し1回で約20万前後の報酬を受け取ったとみられています。
退職・転職社員によるデータ持ち出し
2019年、リサイクル業者の元社員が、本来廃棄するはずのハードディスクをオークションに転売していたという事件がありました。
出品されたハードディスクを落札した人の通報で発覚したこの事件ですが、ハードディスクの中には神奈川県庁の機密情報が保存されており、神奈川県民の個人情報も含まれていました。
漏洩を起こした元社員だけではなく、リサイクル業者の社内セキュリティが非常に弱かったことや、社内の管理体制が整っていなかったことも原因とされています。個人情報を多く扱う官公庁や、記憶媒体を扱いサービスを提供している民間企業が、セキュリティ対策の不足により史上最悪ともいえるデータ持ち出し事件を起こしてしまったのです。
データ持ち出しの手口
社員がデータを持ち出すときの主な手口には以下のようなものがあります。
- USBメモリ・HDDの記憶装置で持ち出し
- メール・添付ファイルでデータを私用PCへ送付
- オンラインストレージへ格納し、持ち出す
- 私用のスマホやUSBメモリを使った持ち出し
- 紙面上の印刷物での持ち出し
- 外部から不正アクセス、ログインを行うデータ持ち出し
- ショルダーハッキング(のぞき見などアナログな手段によるデータ持ち出し)
データを持ち出す手口によって、取り組むべきセキュリティ対策が異なります。実際に情報漏えいが発生した際には、情報流出が発生した原因を調査することも必要になります。
特に悪意があって情報を持ち出している社員は、セキュリティ上の不備が存在する場所や私用端末の使用など特定されにくい手法を用いてデータを持ち出している可能性があります。その上、発見されにくいように持ち出した証拠を削除することもあるため、企業が自力で証拠を掴むことはまず難しいです。データ持ち出しの疑いがある場合は、すぐに専門家に相談しましょう。
調査会社に調査を依頼すると、警察や裁判所などの公的機関で活用可能な調査報告書を作成してもらえる場合があります。データ持ち出しで社員に法的措置が必要な場合は相談してみましょう。
データ持ち出しは法律違反になるか?
個人情報や営業秘密などが含まれるデータを、外部に持ち出すことは法律に違反する行為なのでしょうか?個人情報保護法と不正競争防止違反の観点を解説します。
- 個人情報保護法の違反
- 不正競争防止法の違反
個人情報保護法の違反
個人情報保護法は、個人情報を取り扱う民間企業が遵守しなければならない法律です。個人が特定できるような情報(名前・住所・写真など)を扱う企業は、利用目的を明らかにし個人の同意を得る必要があります。
データを持ち出す行為は、不正に個人情報を取得する行為と同等のため、個人情報保護法第17条の違反となります。また、個人情報は個人の同意がない限り第三者に提供することは制限されているので、データを漏えいした場合、個人情報保護法第23条の違反行為となります。
不正競争防止法の違反
不正競争防止法とは、企業間において公正な営業活動を行うために、不正な行為により競合と適切な営業競争ができなくなるのを防止するための法律です。競合他社の類似製品の販売行為や、他社と誤認させるような表記をする行為をなどだけではなく、営業秘密の情報を不正に取得したり悪用したりする行為も、不正競争防止法違反にあたります。
社員のデータ持ち出しを調査できるデジタルフォレンジック
社員によるデータ持ち出しの事件が発生した場合、企業は法的手段を取らなければいけません。データ持ち出しにパソコンやスマートフォンなどの電子端末が使われた場合、調査の手段の一つとしてデジタルフォレンジック技術が有効です。
デジタルフォレンジックとは
「フォレンジック」とは「法的」という意味です。デジタルフォレンジックとは、法的証拠ととして法廷に提出できるようにするために、デジタル機器を分析・調査する専門技術・手順のことを指しています。
デジタルフォレンジックで調査できる機器の一例は以下の通りです。
- パソコン
- スマートフォン
- カメラ・ビデオカメラ
- ドライブレコーダー
- ボイスレコーダー
- USBメモリ・SDカード など
データ持ち出しの際に、上記のような電子機器や記憶媒体を使用している事例が増加していることもあり、企業からのデジタルフォレンジックの需要は年々右肩上がりとなっています。
デジタルフォレンジックについての詳細は下記のページで説明しています。
デジタルフォレンジック調査でわかるデータ持ち出し
専門家によるデジタルフォレンジック調査でデータ持ち出しを調査すると、以下の内容をより詳細に調査できる場合があります。
- 情報漏洩の有無
- データ持ち出しの詳細
情報漏洩の有無
データ持ち出しの調査において最も重要なことは「社内の重要な情報が外部に流出したかどうか」です。データ持ち出しの手口の一つに私用端末を利用したものや、クラウドストレージにデータを送信するといったものがあります。
デジタルフォレンジック技術で端末調査することで、外部ストレージとの接続履歴などを調査・保全することが可能です。
データ持ち出しの詳細
デジタルフォレンジックでデジタル機器を調査すると、以下のようなデータから不正行為の詳細の手がかりを発見できることができます。
- 記憶媒体(ハードディスクやUSBメモリ)の接続履歴
- デジタル機器内のデータ解析
- ファイルのダウンロード履歴
- メールやチャットの履歴
- アクセスログやログイン履歴
万が一証拠となり得るデータが削除されてしまった場合は、調査会社によっては復旧できる場合があります。以下のページを参考にしてください。
データ復旧とデジタルフォレンジックについて、詳しく解説しています。
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
情報持ち出しには多くのリスクが存在します。社員によるデータ持ち出し事件は、企業に多大なる被害を与えかねません。事前にセキュリティを強化するなど、対策を行うことは非常に大切です。
ですが、残念なことに100%の予防策は存在せず、データ持ち出しはどの企業でも起こりうる社内インシデントの一つです。万が一データが社外に持ち出された場合、適切な対応ができるようにデジタルフォレンジック調査を活用しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
