退職者のデータの持ち出しはどう防ぐ？　リスクや対応策を解説

競合他社への機密情報の流出による競争力低下

競合他社に機密情報が持ち出された場合、自社の競争力が低下するリスクがあります。退職者が持ち出した情報に独自技術や価格決定のノウハウ、設計図などが含まれていた場合、それを基に他社が模倣してより安価な類似製品やサービスを展開する可能性もあります。場合によっては、自社の市場でのシェアが大きく低下しかねません。

特に独自技術については、特許の取得といった対策が不十分な状態で模倣製品が市場に出回れば、企業の存続が危うくなるような事態も想定されます。

関係者からの損害賠償請求

個人情報や取引先の営業秘密が退職者によって漏洩した場合には、被害を受けた関係者から損害賠償を求められることがあります。個人情報が流出しただけで、情報が悪用される二次被害が発生していない場合でも、企業は損害賠償をしなければなりません。二次被害が発生した場合は、企業の責任はいっそう重くなります。

また、損害賠償の金額は漏洩した情報の内容や件数によって異なりますが、大規模な流出であればあるほど、企業は莫大な損害賠償責任を負うリスクが高まります。

社会的信用の低下

退職者によるものであっても、情報漏洩が発生した場合は、企業の社会的信用を損なうリスクがあります。顧客や取引先から「重要な情報を守れない企業」とみなされ、信頼を失いかねません。

その結果、既存の取引が打ち切られたり、新規の商談が減少したりして、売上や業績に深刻な影響を及ぼす可能性があります。

刑事罰の適用

個人情報が漏洩した場合は、刑事罰の対象にもなります。たとえ退職者による行為であっても、企業が従業員による個人情報の漏洩を防げなかった場合には、個人情報保護法に基づき、法人に対して1億円以下の罰金が科される可能性もあります。

私用メールへの送付

退職者が、業務で使用していたメールアドレスから自身の私用メールアドレスに機密情報や個人情報を送信する手口で、データの持ち出しが行われるケースがあります。データをファイルとして添付する方法だけでなく、メール本文に直接記載する方法でも情報の持ち出しは可能です。

また、データを直接送信するのではなく、機密情報が表示された画面をキャプチャした画像データをメール添付で送信する例も見られます。これらの行為は、メールの送受信を監視する仕組みを導入していないと、企業側が気付くのは困難です。

持ち運び可能な記録媒体への保存

USBメモリや外付けハードディスクなど、持ち運びが容易な記録媒体にデータを保存して持ち出されるケースも一般的です。特に、近年の記録媒体は大容量な製品もあり、大量のデータを一度に持ち出すことが可能なため、企業にとって深刻な被害につながる恐れがあります。

スマートフォンへの転送や画像撮影

データ持ち出しの手口として、Bluetooth機能などを用いて、業務用の端末からプライベートのスマートフォンにデータを転送するケースもあります。また、設計図や顧客リストなどを表示した画面をスマートフォンで撮影するといった手法も用いられます。

特に画面を撮影する手口は履歴が残りにくく、防犯カメラによる監視がないと証拠が残らないため、持ち出しに気付くのが遅れかねません。

クラウドストレージへの保存

Google Drive、Dropbox、OneDriveといったクラウドストレージにデータを保存しておき、後で個人端末からアクセスするようなケースも、情報持ち出しの典型的なパターンです。この方法では、社外の第三者にデータを共有する場合にも単にURLを送信するだけでよいため、情報が拡散しやすいという特徴があります。

在職中のアクセス権限の不正利用

企業が退職者のアカウントを削除し忘れていた場合、退職後にその権限でシステムにアクセスされて、データが持ち出されることもあります。このようなケースは、情報管理体制の不備が原因の1つになっていることが明白です。適切なアカウント情報の管理と、こまめなアカウント情報の更新が重要です。

情報を印刷した紙の持ち出し

退職者による情報の持ち出しでは、データではなく、情報を印刷した紙媒体を持ち出すケースも存在します。退職時の荷物チェックが行われていない企業では、機密情報を印刷した書類を簡単に持ち出されてしまう可能性があります。

紙媒体による情報の移動は、デジタルデータの送受信だけを監視するシステムでは検出できないため、印刷操作を監視して制限できるシステムなどの導入も重要です。

機密情報などを取り扱う際のルールの策定

情報の持ち出しを防ぐためには、社内ルールを整備することが重要です。機密情報や個人情報に対してアクセスできる管理者を明確にし、利用時には必ず記録を残すようにします。また、情報の種類ごとにアクセス権限を持つ担当者を決めることも有効です。

加えて、スマートフォンやUSBメモリ、外付けHDDといった私物の記録媒体を社内に持ち込ませないルールを設け、企業側で許可した記録媒体以外は社内ネットワークに接続できない仕組みを導入することで、持ち出しのリスクを軽減できます。

機密情報や個人情報へのアクセスを物理的に防ぐ環境の構築

情報そのものへのアクセスを制限する物理的対策も、情報漏洩を防ぐために重要です。例えば、機密情報や個人情報が保存されている端末を専用の部屋に隔離し、入室できるのはアクセス権限を持つ担当者のみに制限する「ゾーニング」の導入が有効です。

併せて、監視カメラの設置や入退室管理システムの導入により、不審な行動を監視・抑止するケースもあります。権限のない情報へのアクセスを禁じる社内規程も整備して、従業員にも周知し、情報漏洩を許さないという姿勢を明確にしましょう。

データの操作履歴などを監視するツールの導入

日常的にデータの操作状況を監視できるツールを導入することで、データを持ち出そうとする行為の抑止効果が期待できます。アクセスログの記録、メールの送受信内容の確認、外部記録媒体の接続監視といった機能を備えたツールを使えば、機密情報・個人情報の不正利用の兆候を早期に発見することができます。

退職間際の行動に注視するだけでなく、日頃から継続的に監視体制を整備しておくことが重要です。

退職予定の従業員との秘密保持契約などの締結

退職者による情報の持ち出しを防ぐには、契約などによる法的な抑止も有効です。退職予定の従業員と秘密保持契約や競業避止義務契約をあらためて結び、情報漏洩や不正使用が法的責任を伴うことを明確に伝えましょう。

入社時に同様の契約を結んでいた場合でも、退職時に再度契約を結ぶことで心理的な抑止力となり、不正行為を防ぐ一助となります。

従業員の教育

情報の持ち出しを防ぐためには、ルールやツールの導入だけでなく、従業員の意識改革も不可欠です。情報漏洩が企業にもたらす損害や影響を理解してもらえるよう、定期的な教育や研修を実施しましょう。

従業員教育では、どのような情報を漏洩させてはならないかを明確に示して、情報の扱い方を周知することが重要です。また、就業規則に情報漏洩の禁止を定め、違反した場合の懲戒処分の規程も設けて、全従業員に周知徹底することも必要です。

1.初動対応

退職者による情報の持ち出しを把握した場合、最初に優先するのは、被害を最小限に抑えるための迅速な初動対応です。事実確認を行い、情報の持ち出しの真偽や範囲を確認する必要があります。

退職者による情報持ち出しが事実であることを確認したら、直ちに退職者本人に連絡を取り、持ち出した情報の利用を中止するよう警告することが重要です。また、情報の流出先が判明しているのであれば、流出先にも利用中止の警告を行いましょう。

この段階での対応の遅れが二次被害の拡大を招く可能性もあるため、迅速な対応が求められます。

2.持ち出した事実の詳細な調査

初動対応の後は、持ち出された情報の内容や持ち出した方法を特定するために、より詳細な調査を行います。退職者本人への聞き取り、目撃者へのヒアリング、アクセスログやメール履歴の確認など、複数の手段を組み合わせて実態を解明していきます。

パソコンのデータを消去して証拠隠滅を図るケースもあるため、必要に応じてデジタル機器に残された電子的な痕跡を解析するフォレンジック調査を実施し、削除されたデータの復元や証拠の確保を行うことも有効です。

3.調査後の対応

詳細な調査によって事実関係が明らかになったら、社内外への影響と被害を評価し、必要な措置をとります。社内関係者や取引先、顧客への影響を確認し、必要に応じて個人情報保護法に基づく報告や関係者に対する謝罪・補償などの対応を行います。

また、情報を持ち出した退職者に対しては、法的措置として、損害賠償請求などの民事責任の追及が可能です。さらに、情報の内容や持ち出し方法によっては不正競争防止法や不正アクセス禁止法に違反する可能性があり、その場合は捜査機関への協力も行うことになります。