転職時の情報持ち出しリスクとは?手土産転職の実態と防止策を解説
近年、会社の情報漏洩リスクとして注目を集めているのが、従業員の退職や転職に伴う機密情報の持ち出しです。営業リストや顧客データ、開発資料といった情報資産を次の職場に「手土産」として持ち出す、「手土産転職」の事例が後を絶ちません。表面化しづらいものの、競合他社への情報流出や不正競争防止法違反に発展するケースもあり、軽視できないリスクとなっています。
このコラムでは、手土産転職の実態と典型的な持ち出しパターンを解説するとともに、会社が取るべき効果的な防止策について詳しく解説します。
目次[非表示]
▶ 事例から学ぶ、転職者による情報持ち出し特徴の資料を【無料】ダウンロード
退職・転職時に情報漏洩リスクが高まる理由
会社にとって、製品の設計図や顧客リスト、社内ノウハウといった機密情報は、従業員の日常的な業務の中に存在するため、退職や転職といった「人の移動」をきっかけに外部へ流出するリスクが常に存在します。特に、デジタル化が進んだ近年では、USBメモリやクラウドストレージを使うことで、短期間で大量のデータを簡単にコピーできるため、会社が情報漏洩に気づく頃には、既に情報が広範囲に拡散していることも少なくありません。
情報漏洩のリスクが最も高まるタイミングの一つが従業員の退職・転職時であるのは、従業員が「もう辞めるから」という心理的な緩みや、転職先で使えるという動機から、情報を不正に持ち出してしまうケースが多いからです。さらに、退職手続きに追われる中で、会社側がアカウントの停止やデバイスの回収を遅らせてしまうと、情報へのアクセスを見逃してしまい、対処が後手に回る可能性が高まります。
このように、退職・転職時は、会社の監視体制が緩み、従業員の不正行為が起きやすい非常に危険なタイミングだと言えます。
情報持ち出しが会社にもたらす影響
情報漏洩が発生した場合、会社はさまざまな側面で深刻な影響を受ける可能性があります。
以下では、代表的な3つの影響について説明します。
影響① 顧客や取引先との信頼関係の崩壊
顧客情報や取引データが外部に漏洩すると、顧客や取引先は直接的な被害を受け、「この会社に大切な情報を任せて大丈夫か」という不信感を抱くようになり、取引の見直しや契約解除につながるリスクがあります。特に、慎重な個人情報の取り扱いが重要視される業界では、一度失われた信頼を回復するには長い時間と多大な労力が必要となります。
影響② ブランドイメージと市場価値の低下
情報漏洩が公になると、築き上げてきたブランドイメージが大きく損なわれることになります。SNSなどを通じてネガティブな情報が瞬く間に拡散する現代において、信頼が失われることで顧客離れが進み、株価の下落や採用活動への悪影響など、市場価値に影響が及ぶ可能性があります。
影響③ 法的責任と経済的損失の発生
情報漏洩が発生した場合、会社は個人情報保護法や不正競争防止法といった各種法令に基づく責任を問われることになります。行政指導や課徴金、さらには被害を受けた顧客や取引先から損害賠償を求められる可能性があり、数千万から数億円単位の賠償責任を負うことも珍しくありません。
また、法的対応や調査、再発防止策の実施にも多大な費用がかかるため、会社の財務に大きな負担を与えることは避けられません。
情報漏洩に対する会社や個人の責任に関する法律については、こちらのコラムもご確認ください。
「手土産転職」が増える背景
出典:情報セキュリティ10大脅威 2019 – IPA
「手土産転職」とは、従業員が前職の営業リストや顧客情報、技術資料などの機密情報を不正に持ち出し、転職先の会社に提供する行為を指します。転職者が在職中または退職時に行う内部不正の一種であり、競合他社への情報漏洩につながるため、会社の競争優位性の喪失、顧客からのクレーム、さらには売上の減少といった直接的な損害を引き起こします。
その背景には、主に4つの管理体制の不備が存在します。
▶ 事例から学ぶ、転職者による情報持ち出し特徴の資料を【無料】ダウンロード
要因① 曖昧な情報管理ルール
手土産転職によるデータ持ち出しを防ぐためには、機密情報の区分けやアクセス権限、パスワードの運用方法といった明確なルールが必要です。しかし、ルールが十分に整っていなかったり、古いままで現状に合っていなかったりすると、従業員はどこまでが許可された行為なのか判断できず、知らずのうちに情報漏洩につながる場合があります。
手土産転職の予防策として、実効性のあるルールを策定し、全従業員に徹底させることが、会社を守るための第一歩です。
要因② 従業員の情報リテラシー不足
どれほど優れたシステムを導入しても、最終的に情報を扱うのは人間であるため、従業員一人ひとりが情報の重要性や正しい取り扱い方について理解していなければ、意図せず不用意な操作や誤送信によって情報漏洩を引き起こしてしまう可能性があります。
アルバイトや外部委託などの形態の従業員、新人の従業員などへの教育が不十分な場合に、特にリスクが高まるため、日々の注意喚起や継続的な教育を通じて、従業員の情報リテラシーを高める取り組みが求められます。
要因③ 退職・異動に伴う管理の緩み
従業員の退職や部署異動のタイミングは、手土産転職によるデータ持ち出しリスクが最も高まる時期であり、アクセス権限やアカウントの見直しが必要ですが、対応が後回しにされてしまうことも少なくありません。
このような隙を突かれて情報が持ち出されるケースが後を絶たず、特に退職前に大量のデータをダウンロードしていたり、私物端末に転送したりといった行為が監視されにくく、重大な情報漏洩につながることがあります。人事・IT部門の連携と、退職前後のチェック体制が不可欠です。
要因④ IT資産・アクセス権限の管理不備
従業員が利用するPCやスマートフォン、USBメモリ、クラウドサービスなどのIT資産は、適切に管理されていないと情報漏洩の温床になります。たとえば、退職者のアカウントが有効のままだったり、部署異動後も前部署の情報にアクセスできたりする状況では、意図的・偶発的にかかわらず漏洩リスクが高まります。
さらに、誰がどの情報にアクセスしたかをログとして追跡できない環境では、インシデント発生後の調査すら困難になります。情報資産の棚卸しと管理、及びアクセス権限の適正設定を行うことが重要です。
要因⑤ 在宅勤務や私物デバイスの利用
コロナ禍以降、テレワークやBYOD(私物端末の業務利用)が普及したことで、従業員が社外から情報にアクセスする機会が大幅に増えました。
しかし、家庭のWi-Fiセキュリティや個人端末のウイルス対策が不十分な場合、第三者による情報の流出の危険があり、会社のデータを自宅のパソコンに保存したまま退職してしまうと、意図せず情報が漏洩する可能性もあります。
柔軟な働き方を続けるためには、会社と従業員双方が情報管理に対する責任を明確にすることが必要です。
転職直前に起きやすい情報持ち出しの手法
出典:情報セキュリティ10大脅威 2020 – IPA
以下に、退職直前の従業員が実際に利用する可能性のある、4つの情報持ち出し手法と、それに潜むリスクを説明します。
手法① 外部記録媒体を利用した情報持ち出し
依然として多く見られる手法が、USBメモリや外付けHDDといった外部記録媒体にデータをコピーして持ち出す方法であり、業務に必要なデータ保存を装って大量の顧客リストやファイルを転送するケースが頻発しています。
特に社内でのUSBメモリ使用が制限されていない環境では、監視が難しいため発覚が遅れやすく、退職直前にファイルアクセスやコピーの履歴を確認することが、不正の兆候を検知する上で極めて重要となります。
手法② クラウドサービスやSNSの不適切な利用
近年増加しているのは、Google Drive、Dropbox、OneDriveなどの個人のクラウドストレージを利用して業務ファイルをアップロードし、自宅からアクセスする手法です。
さらに、匿名掲示板やメモアプリに情報をアップロードし、後からダウンロード・共有する手法も増加傾向にあり、ネットワーク制限やファイル転送制御が不十分な環境では、短時間で大量のデータが持ち出される可能性があります。
業務上の利便性を理由に私的アカウントを利用することは、不正利用とみなされると不正アクセス禁止法に違反する可能性があり、会社の情報を私的な環境で管理する行為そのものがセキュリティ上のリスクを高めるため、運用ルールの明確化が不可欠です。
手法③ 個人メールへのファイル送信
簡便な方法として広く行われているのが、私用のGmailやYahoo!メールなどに業務ファイルを添付して送る手法です。「在宅勤務用に送った」「家で作業を続けるため」といった業務上必要な理由で自分宛てに資料を送信する行為が、実際には情報持ち出しの温床になることがあります。
メール監視が不十分な会社では、送信ログの確認ができず、不正が退職後に発覚するケースもあるため、個人メール宛の送信制限や監視体制の構築が求められます。
手法④ 印刷・スマホ撮影による情報記録
USBメモリやネットワーク接続の制限を回避するアナログな手法として、機密情報を紙に印刷して持ち帰ったり、PC画面をスマートフォンで撮影したりするケースがあります。
特に、ファイル出力が制限された社内システムの画面情報を画像で記録し再利用する行為は検知が困難であり、紙媒体の資料は漏洩後の追跡が難しいことに加え、自宅や転職先にそのまま持ち込まれてしまうリスクがあります。技術的な対策と併せて、画面操作の記録や物理的な監視体制も重要です。
▶ 事例から学ぶ、転職者による情報持ち出し特徴の資料を【無料】ダウンロード
実際に起きた「転職による情報漏洩」事例
転職に伴う情報漏洩は、実際の現場でも繰り返し発生しており、深刻な経営リスクとなっています。営業リストや技術資料などが不正に持ち出され、競合他社で活用されるケースも多く、ブランドや顧客信頼の喪失、法的トラブルに発展する事例もあります。
事例① 保険会社の元従業員による顧客情報持ち出し
生命保険会社の元従業員が、在籍中に担当していた顧客情報を持ち出し、転職先の生命保険代理店に流出した事例です。元従業員が別の元従業員からの依頼を受け、顧客の同意を得ることなく不正に顧客契約情報の一部を伝えたことが明らかになり、漏洩の事実が確認された40名以上の顧客情報には、氏名、連絡先、生年月日、保険内容が含まれていました。
会社側は、金融庁や個人情報保護委員会への報告、警察への相談を実施した上で、該当する顧客に個別に通知し謝罪を行ったほか、再発防止策として退職時の誓約プロセス、年次の宣誓書の作成、個人情報漏洩に関するモニタリング体制の強化などの措置を講じ、漏洩に関与した従業員への処分と事例の全社共有を行いました。
事例② 不動産会社の元従業員による顧客情報の不正利用
不動産会社の元従業員が同業他社へ転職する際、不動産登記簿に記載のある2万5千人超の所有者情報を持ち出し、データの一部をダイレクトメールの送付に不正に利用していた事例です。
会社側は発覚後に被害者へ個別に書面で連絡し、再発防止策として、退職予定者を含む全従業員への再教育を実施した上で、動作検知システムの監視強化や社内業務管理システムへのアクセス権限の見直しを行うと発表しました。
事例③ 元役員による営業秘密持ち出し事件
塗料製造会社の元役員が、自社の主力商品である建築用塗料の設計情報をUSBメモリに複製して不正に持ち出した事例です。
元役員は、転職先の競合他社で類似商品の開発や廉価販売に利用しようとしたとして、不正競争防止法違反の罪に問われ、裁判では懲役2年6月、罰金120万円の有罪判決が下されました。裁判は最終的に和解が成立したものの、和解内容は秘密保持契約によって非公開とされており、転職先である競合他社が和解金を含む訴訟費用として3億7,200万円を特別損失として計上することを発表しました。
関連記事:製造業の情報漏洩を防ぐには?技術流出を防ぐ内部対策とログ監視の重要性を解説
転職時の情報持ち出しを防ぐサービスとは
近年、従業員の退職や異動に伴う機密情報の持ち出しリスクが深刻化しており、会社はリスクを予兆段階で検知し、対応することが求められています。
内部脅威検知サービス(Internal Risk Intelligence)は、社内の様々なログデータを横断的に分析し、退職予定者による大量ファイルコピーや深夜の不審なアクセス、業務外のウェブサイトへの頻繁な接続といった、通常とは異なる兆候をシステムとアナリストの2段階分析を実施しています。
情報漏洩対策のご相談や自社のデータソースへの対応可否などについては、ぜひ一度エルテスまでお問い合わせください。
導入事例① 三菱UFJ eスマート証券株式会社様
三菱UFJ eスマート証券株式会社様は、内部不正や情報漏洩リスクのモニタリングを部内で手作業で行っていたため、膨大なログデータの確認が非効率で業務負荷が高いという課題を抱えていました。
内部脅威検知サービスの導入後、確認が必要な作業が最小限に抑えられたことで、作業工数が大幅に削減され、現場の負担が著しく軽減されました。
導入事例② 製造業界D社様(従業員2,000名以上)
製造業界D社様では、退職時のPCログ確認だけではなく、在籍中の従業員の不正行動を見逃すリスクを懸念しており、かつ毎日のログ監視には人的リソースと工数が必要なため、現実的に困難でした。内部脅威検知サービスを導入した結果、日常的にログが確認できるようになったことで不正行動の早期発見が実現し、情報持ち出しの抑止効果も見られました。
サービス導入前には数千件レベルで情報を持ち出そうとする危険な行動があったものの、導入後はそのような行為がなくなり、eラーニングや社内勉強会を通じて「ログ監視を常時実施している」旨の意識啓発も強化されました。
まとめ
転職は機密情報の不正持ち出しが発生しやすいタイミングであり、顧客リストや設計資料を競合に持ち込む「手土産転職」は会社に深刻な損害をもたらす可能性があります。
手土産転職の背景には、情報の帰属意識の甘さやセキュリティ体制の不備がありますが、防止策として退職時のチェック体制強化に加え、エルテスの内部脅威検知サービスのようなサービスを活用し、不審な挙動を早期に可視化することが不可欠です。
情報漏洩や内部不正に関するお困りごとがあれば、ぜひエルテスへお気軽にご相談ください。
転職者の情報持ち出し対策は、エルテスへ
