無料会員登録
近年IT化が進み、個人情報や秘密情報をデータ化することが当たり前となり、USBメモリなどの機器を使用し、簡単に外部への持ち運びが可能になりました。
しかし退職者が会社のデータ持ち出しを行い、秘密情報の漏洩や悪用が発生されるケースがあります。顧客名簿や商品開発情報などの秘密情報は会社にとって最重要なデータです。
もし実際に退職者による情報漏洩が起きた場合、どのような対処をとるべきなのでしょうか。また、データ持ち出しを防ぐためにはどのような対策を行うべきなのでしょうか。
今回は、退職者がデータ持ち出しを行った場合の対処方法と今後の対策について説明します。会社の情報が不正に持ち出された可能性があるときは、早急に専門家に相談し、事実関係を調査し適切な対処をとりましょう。
目次
退職者によるデータ持ち出しが増加している
2021年3月、情報処理推進機構(IPA)による「企業における営業秘密管理に関する実態調査2020」が公表されました。
調査では、企業の情報漏洩ルートとして最多であった誤作動が2016年と比べ減り、代わりに中途退職者によるデータ持ち出しが急増し、最多となっていることが明らかになりました。
実際に情報漏洩に遭った企業の4割が推定損害額1,000万円以上の被害を受けているため、退職者のデータ持ち出しを防ぐためにも事前対策を必ず行いましょう。
参照元:「企業における営業秘密管理に関する実態調査2020」報告書について
退職者がデータを持ち出す理由・動機
なぜ退職者は、会社を辞める際にこういった情報を持ち出すのでしょうか? 考えられる理由としては次のものが考えられます。
- 転職先で有利に業務を進めるように利用する
- 会社への恨みや不満
- 過失によるデータ持ち出し
- 情報を転売し現金を得ようとする
転職先・独立先で有利に業務を進めるように利用する
退職者が在籍していた企業の競合他社に転職する際に、顧客情報や取引情報などのデータを持ち出し、競合他社に売却したり流用したりするケースがあります。
退職者が企業した後、明らかに顧客が流出しているような兆候があれば情報の持ち出しを疑いましょう。他社に社外秘の情報が流出すると、技術や顧客を奪われることで経営が難しくなり、最悪の場合倒産してしまう可能性も考えられます。
同種の起業・独立に利用するケースも
退職後に同業種での起業を考えている場合、退職前の顧客情報や営業資料などを持ち出し、会社を軌道に乗せるための材料にしようとするケースもあります。
退職者が企業した後、明らかに顧客が流出しているような兆候があれば情報の持ち出しを疑うこともあるでしょう。
会社への恨みや不満
過去の人間関係のトラブルなどが原因で、会社への恨みや不満から退職者がデータを持ち出すケースも考えられます。
また顧客情報などのデータの持ち出しだけでなく、嫌がらせとして会社内の盗聴やネットへの誹謗中傷の書き込みを行うこともあります。
過失によるデータ持ち出し
会社での管理がそこまで厳しくなく、該当社員が会社用のPCとプライベートのアカウントを紐づけている場合など、公私混同が起こりやすいため意図せずデータを持ち出してしまうこともありえます。
仮に悪質な意図がなくとも、退職者の情報セキュリティへの意識が低く、内部情報を持ち出し・漏洩させてしまえば会社側が責任を問われる可能性があるため注意が必要です。
情報を転売し現金を得ようとする
顧客リストには、顧客の氏名、住所、電話番号、メールアドレスなどの情報が含まれ、営業秘密には製品の設計図や製造方法、販売戦略などの情報が含まれています。
いずれも情報資産としての価値があることから、退職者が当該情報を持ち出す場合、転売することで現金を得ようとする動機が考えられます。
退職者がデータを持ち出す際の手口
退職者がデータを持ち出す際、以下のような手口がとられることがあります。
- 私用のUSBメモリやスマホに情報を不正コピーして持ち出す
- クラウドストレージにアップロードする
- 在職中使用していたアクセス権限・アカウントの悪用
- 個人のメールにデータを添付して送信する
私用のUSBメモリやスマホに情報を不正コピーして持ち出す
業務用PCやサーバーにアクセスできる立場を悪用し、内部のデータや機密情報を私用の記録媒体に保存します。USBメモリは小型で持ち運びが容易なため、外部への持ち出しが容易です。また、スマートフォンはカメラ機能を使って画面の情報を撮影するほか、ファイル転送アプリを利用してデータを無線で送信する手口もあります。
このような手口は、セキュリティ対策が不十分な環境や、アクセス権限が適切に管理されていない場合に特に発生しやすい傾向にあります。
クラウドストレージにアップロードする
業務用PCやスマートフォンから個人が使用するクラウドストレージ(例: Google Drive, Dropbox, OneDriveなど)にデータを転送します。特に、組織でクラウドサービスの利用制限が緩い場合や、データの暗号化や転送の監視が不十分な場合に実行されやすいです。
中には、業務用メールアカウントを利用して添付ファイルとして送信し、それをクラウドストレージに保存するケースもあります。クラウドストレージの中にはセキュリティが甘いものや、設定ミスなどにより不特定多数がデータを閲覧できてしまう環境にあるため、注意が必要です。
在職中使用していたアクセス権限・アカウントの悪用
従業員が退職後も、業務上のアカウントや権限が残されたままになっている場合、外部から不正アクセスを行い、機密情報の取得や削除などが行われる場合があります。在職中に意図的に情報を蓄積し、退職後に悪用するケースや、退職後も内部ネットワークにアクセスしてデータをダウンロードするケースが含まれます。
この手口は、アカウントの削除や権限管理が不徹底な組織で特に発生しやすく、重要な情報や資産の流出、さらにはシステム破壊のリスクをもたらします。防止には、退職時のアカウント無効化、権限見直し、アクセスログ監視などの適切な管理が不可欠です。
個人のメールにデータを添付して送信する
業務用PCやシステムから取得したデータを個人用のメールアカウント(例: GmailやYahoo!メールなど)に添付して送信します。メールは暗号化やアクセス制限が施されていない場合が多く、外部への持ち出しが容易です。
また、送信先が個人用アカウントであるため、監視が行き届いていない場合は不正が発見されにくい特徴があります。この手口は、セキュリティポリシーが曖昧な組織や、メールの送受信ログが適切に監視されていない環境で特に問題となります。
会社が抱える退職者のデータ持ち出しによるリスク
退職者がデータ持ち出しを行うことで、企業側に発生するリスクは以下のようなものがあります。
- 多額の賠償義務や信用の失墜
- 競合他社や転職先での情報流用
- 経営状態の悪化・倒産
多額の賠償義務や信用の失墜
データを持ち出した退職者がそのデータを転売すると、企業が管理している個人情報や秘密情報が漏洩する可能性が考えられます。
企業が情報漏洩を発生させた際の顧客に対する賠償金額は、1人あたり5,000円~10,000円、合計で数千万円以上になる事例も存在します。
また、ネットニュースや新聞、テレビなどで大々的に報道される可能性も高いです。
顧客からセキュリティ対策が行われていないと認識され、企業イメージが低下すると共に、長期的な顧客離れが起こると考えられます。
日本ネットワークセキュリティ協会(JNSA)が公開した“2018年 情報セキュリティインシデントに関する調査報告書”によると、個人情報漏洩インシデントに関して以下のような報告がされています。
- インシデント件数:443件
- 一件あたりの漏洩人数:1万3,334人
- 一人あたり平均想定損害賠償額:2万9,768円
- 一件あたり平均想定損害賠償額:6億3,767万円
場合によっては億単位の損害が発生し、倒産してしまう可能性もあります。
参照元:日本ネットワークセキュリティ協会(JNSA)“2018年 情報セキュリティインシデントに関する調査報告書”による、個人情報漏えいインシデントに関して
競合他社や転職先での情報流用
在籍していた会社から「お得意様」や「取引先」といった顧客データを持ち出し、顧客の引き抜きを行うケースも少なくありません。
大切な顧客データや長年培ってきた研究データ、技術情報といった企業の根幹に関わる情報を流用されるだけではなく、最悪の場合、競合企業の台頭による売上の減少や社会的信用の損失といった企業の利益に大きく影響を及ぼすことも考えられます。
経営状態の悪化・倒産
顧客情報や取引先の情報だけでなく、会社の根幹をなす技術情報やマニュアルが流出した場合は競合との競争力が低下することが考えられます。
そもそも情報の流出は会社のデータ管理体制自体がずさんである可能性を問われかねないため、企業としての信用も同時に失い、経営状態の悪化・場合によっては倒産に追い込まれるリスクがあります。
退職時にどこまで持ち出したら違法になるか
基本的には、退職時にどのようなデータであっても持ち出す・流用することは、違法にあたる可能性が高いです。基本的には就業規則や誓約書に記載されている内容に違反すると、会社から秘密保持義務違反を追求されかねません。
また、記載されていないデータの場合は、会社が持ち出されたデータを「企業秘密に相当する」ことを証明できれば、違法になる可能性があります。
いずれにせよ、退職者がデータを持ち出す際は以下のような共通点があるため、会社としては、違法性を証明できるかどうかでとれる対応が変わってきます。
- 企業の競争力を高めるために重要な情報であること
- 競合他社に漏洩すると、企業に大きな損害を与える可能性がある情報であること
- 退職者が転職先で活用できる情報であること
法的に訴えかけるためには、具体的にどのようなデータが、いつ(時期)、何の目的で持ち出されたのか正確な調査が必要です。疑わしい人物がいる場合は、退職者の機器調査に対応できる会社に依頼して、証拠の収集・解析をすることを推奨します。
また2017年に施行された改正個人情報保護法により、退職者が抜き出した情報によって個人情報漏洩が発生すると、個人情報を取り扱うすべての事業者は1年以下の懲役または50万円以下の罰金を課される可能性があります。
個人情報保護法は法人である企業に対しても適用されるものであり、年々罰則が厳しくなっているため注意が必要です。
会社の情報が不正に持ち出された可能性があるときは、早急に専門家に相談し、事実関係を調査し適切な対処をとりましょう。
退職者のデータ持ち出し発覚時、会社がとるべき対処法
退職者のデータ持ち出しが発覚したら、会社がとるべき対処法は次のとおりです。
- 事実関係と証拠を調査する(退職者のPCログを調査する)
- 関係者への聞き取りを行う
- 法的措置の検討(内容証明郵便で警告する)
- フォレンジック調査を依頼する
①事実関係と証拠を調査する(退職者のPCログを調査する)
退職者がデータ持ち出しを行っているかを判断するためには、まず、事実関係と証拠を調査する必要があります。
この際、退職者のPCログを調査することで、データ持ち出しの有無や、持ち出したデータの種類や量などを特定することができます。PCログには、ファイルのアクセス履歴や、USBなどの外部デバイスとの接続履歴などが記録されています。事実関係を調査する場合は、退職者のパソコンや携帯電話を調査したりするなどの方法があります。
既に何らかの被害を受けていて法的手段を取る際には、退職者による情報漏洩や盗用の有無を立証するために、以下のような証拠を集める必要があります。
- USBメモリなどの外部機器を通じてデータが抜き取られていないか調査する
- 削除されたメールを復元し、情報持ち出しの証拠がないか調査する
万一、退職者による情報の漏洩が発覚した場合、時間が経つにつれて、被害が拡大する危険性も考えられるため迅速に対応することが大切です。
②関係者への聞き取りを行う
退職者の上司や同僚など、関係者への聞き取りを行うことで、データ持ち出しの可能性や、持ち出したデータを誰に渡そうとしたのかなどを把握することができます。
聞き取りを行う際には、聞き取りの目的を明確にすることで、聞き取りの方向性を定めることができます。また、聞き取りの記録は、録音や録画、メモなどで残し、証拠として提出する可能性があることを伝えておくことをおすすめします。
③法的措置の検討(内容証明郵便で警告する)
情報持ち出しが確定していれば、情報持ち出しによる被害をこれ以上拡大させないように持ち出した本人に内容証明郵便を送ることが有効です。
内容証明郵便を送る際は、自社名義で送るよりも弁護士に依頼する方が警告の効果が高まります。
もし機密情報や顧客情報を持ち出されていた場合、重大な犯罪となります。しかし、刑事告訴や損害賠償請求などの準備は時間がかかるため、内容証明郵便のなかで「刑事告訴や損害賠償請求を予定している」と記載するのがポイントです。
内容証明郵便で警告するには、確固たる証拠を掴むことが必要になるので、できるだけ早く事実関係の調査を行いましょう。
退職者の情報持ち出し調査ならフォレンジック調査が有効
フォレンジック調査の概要・特徴は次のように言い表すことができます。
フォレンジックとは
「フォレンジック調査」は、PC・HDD・スマートフォンなどの電子機器や記録媒体、またはネットワークに残存する電磁的記録(デジタルデータ)から発生したデジタルインシデントの事実確認、サイバー攻撃や不正アクセスの被害状況を解明する調査手法を指します。
フォレンジックとは「法廷の」を意味し、この調査方法は裁判でも法的効力を持ちます。そのため、フォレンジック調査の結果はただの事実確認だけでなく、法廷などで公的な調査資料としても活用可能です。このことから、日本の警察は2006年以降、デジタル・フォレンジックを「犯罪の立証のための電磁的記録の解析技術及びその手続き」(警察自書)と定義しています。
なお、フォレンジック調査は、裁判上での証拠保全に限らず、さまざまな場面で、法人・個人を問わず、広く活用されています。たとえばマルウェアの感染調査、あるいは不正アクセスによる顧客情報流出の事後調査などのケースで用いられます。
専門業者に相談することで、次のメリットがあります。
- 専門的な知識と経験により、効率的に退職者PC調査を行うことができます。
- 法的にも問題のない方法で退職者PC調査を行うことができます。
- 退職者PC調査の結果を証拠として使用することができます。
専門業者は豊富な知識と経験を持ち、適切な技術と手法を用いて問題解決を行うことができます。ただし、PCの調査・解析・保全には高度な技術と知識が必要であり、信頼できる業者も限られます。高い費用と労力をかけたにもかかわらず、「簡単な調査しかしてもらえなかった」「裁判所や警察などに証拠不十分と言われた」となっては意味がありません。
そのような事態を避けるため、ここで調査してもらえば間違いないという調査会社を見極める必要があります。
調査会社を選ぶポイント
フォレンジック調査会社を選ぶときのポイントは次のとおりです。
上記5ポイントを満たした信頼できるフォレンジック調査会社を先に知りたいという方はこちらからご覧ください。
官公庁・捜査機関・大手法人の依頼実績がある
フォレンジック調査は、専門的な知識や技術が必要なため、実績と信頼性のある調査会社を選ぶことが重要です。フォレンジック調査会社の実績は会社によって異なり、そもそも実績を公表していない会社も多くあります。
一方、官公庁・捜査機関・大手法人などの実績がある会社は、一定の信頼性があると判断できます。また、過去の調査実績を参考にすることで、自社のニーズに合った調査会社かどうかを判断することができます。
特に調査実績が認められ第三者機関からの表彰されているような会社ほど、調査に関する知識やノウハウが蓄積しています。HPに掲載されている表彰歴・受賞歴を確認することをおすすめします。
スピード対応できる・出張での駆けつけ対応が可能
ダークウェブ調査は、迅速に行われるべきであり、スピード対応できる会社を選ぶことで、被害の拡大を防止できます。24時間365日受付の会社であれば、調査開始までの時間を短縮でき、より迅速に調査を開始することができます。
費用形態が明確である・自社内で調査しており外注費用がかからない
調査を依頼するときは、まず無料で相談~見積まで対応してもらえる会社に相談して見積を出してもらうことをおすすめします。調査会社で料金が変化する要素は以下があります。
受付だけして作業を外注している会社は、仲介料金が発生するため、他社と比較して高額になりやすい傾向があります。一方、自社内で調査できる会社は不要な中間コストを削減でき、業界水準と比較して安価に調査できる場合があります。
法的証拠となる調査報告書を発行できる
個人情報保護委員会への報告などでフォレンジック調査を行う場合は、法的利用が可能な調査報告書を発行できるフォレンジック調査会社に調査を依頼しましょう。
法的利用が可能な調査報告書は、行政機関に提出できる法的証拠としても利用できます。
セキュリティ体制が整っている
フォレンジック調査では、セキュリティ体制が整っている会社を選びましょう。「プライバシーマーク」や「ISO認証」などの世界基準で規定されているセキュリティ認証を所有している会社は信頼できます。他にも、経済産業省が規定した「情報セキュリティーサービス基準」にクリアした企業はセキュリティ面で信頼がおけます。
情報セキュリティサービス基準とは?
近年高まるセキュリティ対策の必要性に応じて、専門知識をもたない人でも一定以上のサービス品質を満たしているかどうか判断できるように経済産業省が規定した基準です。セキュリティーサービス基準を満たした調査会社についてはこちらの記事でも紹介しています。
おすすめフォレンジック調査会社:デジタルデータフォレンジック
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
フォレンジック調査を依頼するメリット
フォレンジック調査では専用の設備とノウハウを駆使した調査を行います。主なメリットは以下のようなものがあります。
- 法的証拠能力を保持した状態で調査可能
- 短期間で正確な調査が可能
- 報告用のレポートの作成が可能
法的証拠能力を保持した状態で調査可能
情報持ち出しの証拠データを法執行機関に提出する際、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要です。
デジタルデータは改変や改ざんが簡単にできてしまうため、オリジナルのデータには手を加えず、「正当な手続きのもと調査・解析を行った」という証明を行うために、普通のデータコピーではなく、専用のツールを使用する必要があります。
デジタル機器の調査を専門としているフォレンジック調査業者では、この証拠保全を正確に行うことができるため、抽出したデータの信頼性や正確性を担保することが可能です。
短期間で正確な調査が可能
フォレンジック調査業者では、短期間で正確な調査が可能です。膨大なデータ量から目的のデータを抽出するために、一般的なソフトや技術では、数か月・数年かかる作業がほとんどです。しかし、フォレンジック調査会社では、調査にかかる期間は、約1週間から2週間ほどで調査を完了します。
裁判の証拠提出期日や調査結果の公表期限が決まっている場合でも、短期間で調査することが可能ですので、インシデント発生時すぐに調査会社に相談しましょう。
報告用のレポートの作成が可能
フォレンジック調査会社では、公的機関や裁判所提出するためのレポートの作成が可能です。これは、証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、第三者の中立的な資料として法廷利用可能な資料を指します。
個人情報漏えいの報告や、損害賠償請求の証拠資料として利用する場合には、フォレンジック調査会社に相談してレポートを作成してもらうことが必須になりますので、すぐに相談するようにしましょう。
法人は改正個人情報保護法に沿った対応が望まれる
2022年4月1日に施行された個人情報保護法改正では、データ漏えいに対する罰則が強化されました。企業が機密情報や個人情報を漏洩させた場合、個人情報保護委員会への報告が2段階で求められます。
速報では3~5日以内に漏えいの概要を報告し、確報では30日以内に詳細な情報と再発防止策を報告する必要があります。不完全な情報での通知は信頼喪失につながりかねず、被害調査や公表には第三者機関の協力が必要。報告遅れや隠ぺいは行政処分や損害賠償の対象となることに留意しておきましょう。
措置命令違反の罰則
個人情報保護委員会の措置命令に違反した場合、事業者には最大で6か月の懲役または30万円以下の罰金が科せられます。
報告義務違反の罰則
悪意のある第三者による個人情報漏えいが発生し、速やかな報告が求められる場合、報告義務を怠った事業者には最大で1年の懲役または50万円以下の罰金が科せられます。
>情報漏えいが発生した企業の個人情報保護委員会への報告義務についてはこちら
過去の機密・社内情報の漏洩事例
過去の代表的な機密・社内情報漏洩事例として下記のものがあります。
- 産業用ロボット設計データを不正持ち出し
- ソフトバンク・楽天モバイル事件
- はま寿司データ持ち出し事件
具体的な事例から退職者によるデータ持ち出しのリスクを再確認しましょう。
産業用ロボット設計データを不正持ち出し
2020年、愛知県警はロボットシステムを製造・販売する豊電子工業から営業秘密を不正に持ち出したとして元社員を不正競争防止法違反で逮捕しました。元社員は設計情報などを電磁的記録媒体に転送し、不正に利益を得ようとした疑いが持たれています。からソフトバンク・楽天モバイル事件
ソフトバンク・楽天モバイル事件
2021年、楽天モバイルの元社員が機密情報を不正に持ち出し、不正競争防止法違反容疑で逮捕されました。元社員は、会社のメールアドレスから個人のメールアドレスに送信したり、クラウドストレージにアップロードしたりすることで、ソフトバンクから多数の電子ファイルなどを盗んだ疑いが持たれています。
同人物は、不正競争防止法違反容疑で起訴され、ソフトバンクは楽天モバイルと同人物に対して約1000億円の民事訴訟を東京地方裁判所へ提起しました。なお、以前にも、元社員が外交官から接待を受け、会社の営業秘密を漏えいさせた事件が発生しており、セキュリティ体制の問題が指摘されています。
はま寿司データ持ち出し事件
2022年、回転寿司チェーン「かっぱ寿司」の代表者が、以前在籍していた「はま寿司」の仕入れ原価や仕入れ元等に関する情報が持ち出した疑いで逮捕されました。同人物は、同店を退職後、同種の回転寿司チェーンに転職「かっぱ寿司」し、持ち出したデータを転職先で使用していたとのことです。「はま寿司」は同人物に対して、不正競争防止法違反の疑いで告訴しています。
退職者によるデータ持ち出しを防ぐ対策
今後、退職者によるデータ持ち出しを防ぐためにも、すぐに以下の対策を行ってください。
- ID情報の徹底管理
- 機器の確保や情報のアクセス制限
- 競業避止義務契約や秘密保持義務の締結
- 従業員の教育を行う
- 監視ソフトを導入する
ID情報の徹底管理
社内でID情報を徹底管理することで、誰が何をしているかといった行動履歴を取得することができます。
退職者によるデータ持ち出しは、機密情報を個人で利用するクラウドストレージにアップロードすることで発生する手口もあるため、ID情報を管理して事前に対策を行う必要があります。
退職予定者がいる場合はログ取得を明言し、不正の機会を与えないようにしましょう。
機器の確保や情報のアクセス制限
ID情報の管理に加えて、退職予定者が使用している機器の確保や情報のアクセスを制限しましょう。
退職する直前に、機器から重要なデータを抜き出したり外部へ転送する可能性があります。
またデータ持ち出しの証拠となり得るメールやアクセス履歴などを削除し、隠蔽することも考えられます。
このような事態になる前に、退職予定者には顧客情報や機密情報へのアクセスを制限するなどして、事前の対策を行ってください。
競業避止義務契約や秘密保持義務の締結
競業避止義務契約は、退職後一定期間、従業員が競合企業に就職したり、同業で起業したりすることを禁止するもので、企業のノウハウや顧客情報が外部に流出するリスクを軽減します。一方、秘密保持義務契約(NDA)は、業務上知り得た企業の機密情報を第三者に開示・利用しないことを従業員に義務付けるもので、退職後も情報漏洩を防止する効果があります。これらの契約は、企業が情報の流出を防ぎ、従業員の責任を明確にする重要な手段であり、法的な抑止力を持ちます。
従業員の教育を行う
従業員に情報セキュリティの基本知識や、機密情報の適切な取り扱い方法を学ばせることで、業務中の情報漏洩リスクを減らすことができます。また、情報漏えいに関する社内規則を作成し、機密情報の取り扱い規則を徹底させましょう。
監視ソフトを導入する
データ持ち出しなどの不正行為を早期発見するには、社内データや端末を監視できるようなソフトの導入や環境作りを行ってください。
例えば社内端末に監視ソフトを導入することで、機密情報へのログインや業務と無関係なソフトウェアのインストールの有無などを製品によっては知ることができます。
まとめ
退職者によるデータ持ち出しは、いつどこで発生してしまうか分かりません。
企業側が未然に防ぐ対策を行い、徹底したセキュリティ管理などを行うことが大切になります。
退職者による情報漏洩が起こる可能性を最低限に減らし、万が一情報漏洩に関し不安を感じた際には、フォレンジック調査会社への相談をおすすめします。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
