退職者によるデータ持ち出しを防ぐ!企業が今すぐ見直すべき対策
近年、退職者による機密データや顧客データの持ち出し行為は、多くの企業にとって重大な経営課題となっています。転職市場の活発化やテレワークの普及、クラウドサービスの浸透といった労働環境の変化に伴い、データ持ち出しのリスクは高まる一方です。従来のセキュリティ対策だけでは対応し切れない事例も増えているため、企業は退職を控えた従業員による情報資産の管理方法と、データ持ち出し行為を防ぐ対策について早急に見直す必要があります。
独立行政法人情報処理推進機構(IPA)が公表した「企業における営業秘密管理に関する実態調査 2024」では、「中途退職者(役員・正規社員)による漏えい」が一定の割合を占めており、依然としては退職者によるデータ持ち出しは無視できないリスクとして確認されています。
出典:IPA「企業における営業秘密管理に関する実態調査2024」
このコラムでは、退職者によるデータ持ち出しの背景にある労働環境の変化、企業にもたらす具体的なリスク、そしてデータ持ち出し行為を防ぐための対策について詳しく説明します。
目次[非表示]
退職者によるデータ持ち出しが生じる背景
退職者によるデータ持ち出しの高まりには、働き方や企業環境の変化が影響しており、主に以下の4つの要因が挙げられます。
▶ 事例から学ぶ、転職者による情報持ち出しの特徴を【無料】ダウンロード
転職市場の活発化と競争の激化
働き方の多様化や労働市場の流動化によって、個人のキャリア形成において転職が一般的な選択肢になっており、企業間の人材獲得競争が激化する中、退職者が前職で得た顧客データや営業ノウハウ、技術開発データなどの機密データを「実績」や「即戦力」として次の職場に持ち込む、いわゆる「手土産転職」が散見されます。特に営業や開発といった部門では、顧客リストや技術資料が競争優位に直結するため、データ管理の甘さがデータ持ち出しのリスクを高める要因となっていると考えられます。
関連記事:転職時の情報持ち出しリスクとは?手土産転職の実態と防止策を解説
テレワークの普及と管理の難しさ
テレワークの定着により従業員が社外で業務データを扱う機会が増え、自宅やカフェなど企業が物理的に管理できない環境でのファイル保存や個人クラウドへのアップロード、USB等による物理的持ち出しといった行為が発生しやすくなっています。特に、退職を控えた従業員による悪意あるデータ持ち出しは、不正の発覚しにくさから、企業にとって深刻な課題となっています。
▶ テレワークにおけるリスクと対応策を【無料】ダウンロード
クラウドサービスや共有ツールの導入
Google DriveやDropbox、SlackやMicrosoft Teamsなどのクラウドサービスや共有ツールが広く使われるようになったことで、業務データがネットワーク上で共有しやすくなり、業務用と個人用アカウントの混同や誤操作によるデータ持ち出しのリスクが顕在化しています。
クラウドサービスを介したデータ持ち出しは、物理的デバイスを用いずに大容量のデータを持ち出せることが、データ持ち出しの機会を増やしています。
私物端末(BYOD)の普及による所在不透明化
私物端末を業務に利用する「BYOD(Bring Your Own Device)」の普及は、企業側が端末上のデータ所在やアクセス履歴を把握しにくくするため、私物端末へのデータ複製や私的なクラウドへの同期などを通じたデータ持ち出しが発生しやすくなり、退職者による故意または過失のデータ流出が起こりやすくなります。
▶ セキュリティ/コンプライアンス担当者必見情報漏洩実態を【無料】ダウンロード
退職者によるデータ持ち出しが企業にもたらす具体的なリスク
退職者がデータを持ち出すと単なるデータ損失以上に、ビジネスにおける競争力の低下や財務状況の悪化、企業ブランドの毀損といった多岐にわたる影響が生じます。ここでは、退職者がデータを持ち出すことによって、企業が直面する具体的なリスクについて深掘りしていきます。
① ノウハウや顧客データの持ち出しによる競争力低下
退職者が企業のノウハウや顧客データを持ち出し、競合他社に渡ってしまった場合は類似サービスを市場に投入されたり、模倣品を低価格で販売されたりする可能性があります。これにより企業が長年培ってきた技術的優位性や市場における競争力を失うおそれがあり、特に中小企業では特許権を取得するなどの技術データ保護策を十分に講じていないケースも少なくないため、技術データの流出により致命的なダメージを受ける可能性があります。
② 損害賠償や信用失墜による経営悪化
退職者による大規模な個人データ持ち出しは賠償や対応コストを企業に課し、取引先や顧客の信頼を失うことで契約解除や売上の減少につながることがあります。データ持ち出しによる情報漏洩に起因する1件あたりの賠償金額は、漏洩したデータの重要性や被害の深刻度に応じて異なりますが、平均的には被害者1人あたり数千円から数万円が相場とされています。こうした多額な損害賠償を請求されれば、中小企業はもちろん大企業であっても存続の危機に立たされる可能性があります。
加えて、個人データが持ち出され漏洩したという事実が、企業の社会的信用を失墜させ、取引先との契約打ち切りや売上急減につながるおそれもあります。
③ 内部不正発覚による風評被害
退職者によるデータ持ち出しの事実が公になってしまった場合、企業は金銭的な損失だけでなく、ブランドイメージや社会的評価の深刻な被害に直面します。「従業員の管理がずさんな企業」や「セキュリティ意識の低い企業」といったネガティブなイメージは顧客からの信頼を損ない、商品やサービスの購入控え、さらには不買運動へとつながるリスクもあります。
さらに、採用市場における企業評価も低下して優秀な人材の採用が難しくなり、企業の将来性そのものが損なわれるという、中長期的な成長に影響を与えます。
退職者データ持ち出しに関わる法的責任
退職者によるデータ持ち出し行為は、個人のキャリアを大きく損なう重大な問題行為と認識する必要があります。軽い気持ちで行ったデータ持ち出しが、民事と刑事の両面で企業から厳しい責任追及を受けることになりかねません。ここでは、データ持ち出し行為がどのような法的責任に問われるのかを具体的に解説します。
民事責任(損害賠償請求・差止請求など)
従業員によるデータ持ち出しが発覚した場合、企業は民事上の措置として「損害賠償請求」や「差止請求」を行うことができます。
まず、損害賠償請求については、民法第709条に基づいて実施されます。従業員が故意または過失により企業の情報資産を不正に持ち出し、企業に損害を与えた場合は賠償責任を負うことになります。
民法709条(不法行為による損害賠償請求)
故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う。
損害賠償額は、流出したデータの価値や企業ブランドへの影響などにより大きく変動します。場合によっては、到底支払えないほどの高額となるケースも少なくありません。次に、差止請求です。差止請求は、不正に取得・利用された情報の使用や営業行為を止めるよう、裁判所に申し立てることができる制度です。例えば、退職した従業員が持ち出した顧客データを用いて競合他社で営業活動を行っている場合、企業はその行為の停止を求めることが可能です。
差止請求とは、適格消費者団体が、「不当な勧誘」、「不当な契約条項」、「不当な表示」などの事業者の不当な行為をやめるように求めることができる制度です。争いがある場合、最終的には訴訟により解決が図られます。
刑事責任(不正競争防止法・窃盗罪など)
データ持ち出し行為は、民事上の責任に加えて刑事罰の対象となる可能性も十分にあります。特に重要なのが「不正競争防止法」です。
不正競争防止法第1条(目的)
この法律は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与することを目的とする。
不正競争防止法は事業者間の公正な競争を確保するために不正競争の防止及び損害賠償に関する措置等を講じることを目的としており、違反した場合は以下の罰則が科せられる可能性があります。
法人:最大5億円の罰金
行為者個人:10年以下の懲役もしくは2000万円以下の罰金、またはその両方
法人:最大10億円の罰金
行為者個人:10年以下の拘禁刑もしくは3000万円以下の罰金、またはその両方
またデータ持ち出しの手口によっては、不正競争防止法以外にも複数の罪に問われる可能性があります。例えば、企業のサーバーやパソコンから紙媒体やUSBメモリを使ってデータを盗み出した場合は「窃盗罪」、企業から業務上管理を任されているデータを自分のものとして不正に持ち出した場合は「業務上横領罪」が適用されることもあります。さらに、企業のネットワークに不正にアクセスしてデータを取得した場合には「不正アクセス禁止法違反」に該当します。
機密データや顧客データの不正な持ち出しは、個人のキャリアに影響を与えるだけでなく、刑事罰の対象となる可能性がありますので、厳重な注意が必要です。
▶ 事例から学ぶ、転職者による情報持ち出しの特徴を【無料】ダウンロード
退職時のデータ持ち出しを防ぐための事前対策
退職に伴うデータ持ち出しを防止するには、企業が平時から契約面・技術面・教育面の三つの観点で備えることが重要です。
契約による法的措置
まず、契約による法的措置を明確にしておきます。入社時や退職時に秘密保持誓約書を取り交わすことは、企業の機密データを保護するうえで不可欠な対策です。
口頭だけでなく書面で明確な合意を交わすことで、データ持ち出しのリスクを減らし、具体的には面談を通じて秘密情報の範囲を確認し、客観的な記録を残すとともに、資料やデータの返還・消去義務、さらには競業避止義務や違反時の具体的な罰則規定を誓約書に明記することが挙げられます。契約は抑止力となり、万が一データ持ち出しが発生した際の法的根拠にもなり、違反時の責任追及を可能にします。
アクセス権限の管理とデータ暗号化
次に、アクセス権限の管理とデータ暗号化を徹底します。業務上必要な範囲のみにアクセスを制限し、重要ファイルは暗号化して保存します。退職予定者が出た時点で、速やかに権限を見直し、アカウントを停止または制限することで、持ち出しが起きても第三者が内容を閲覧できない状態を保てます。
継続的な従業員教育
退職データ持ち出し対策は、技術的な側面だけでなく、従業員一人ひとりの意識を高めることも重要です。具体的なデータ持ち出しの手口や事例、関連する社内規程、不正行為が発覚した場合の法的責任について明確に伝えることで、従業員はデータセキュリティの重要性を理解し、自身の行動が企業や顧客に与える影響を認識できます。従業員のセキュリティ意識が向上することは、内部不正のトライアングルにおける「正当化」の心理が働きにくくなり、結果としてデータ持ち出しリスクの低減に繋がります。
関連記事:退職社員の情報漏洩に注意!事例や防止する方法を紹介
従来のデータ持ち出し対策の限界
これまで見てきたように、秘密保持契約の締結やアクセス権限の管理、従業員教育といった対策は、情報漏洩を防ぐうえでの基本的な要素として非常に重要です。しかし、これらの対策だけでは、データ持ち出しを完全に防ぐことは難しいのが現状です。契約はあくまで「約束事」に過ぎず、悪意を持った従業員による物理的なデータ持ち出しを直接的に阻止するものではありません。従業員教育も、倫理観の欠如や個人的な動機からデータを持ち出そうとする者に対しては十分に機能しません。
従来の対策は、データ持ち出し発生後の対応や抑止力としては一定の効果を持ちますが、データが持ち出される前にその兆候を捉え、未然に防止するという点では限界があります。実際、データ持ち出しが発覚した時点では取り返しのつかない損害が発生しているケースも少なくありません。こうした現状を踏まえ、いま企業には、事前に不正の兆候を検知する「ログ監視」の仕組みが強く求められています。
関連記事:ログ監視ツールで後悔しない選び方と導入前に知っておきたいポイントとは?
エルテスの内部脅威検知サービスが退職データ持ち出しを防ぐ仕組み
従来の対策だけではデータ持ち出しを完全に防ぐことが難しいという課題に対し、エルテスが提供する内部脅威検知サービスは、AIと専門家の力で企業の貴重な情報資産を守ります。
エルテスが提供する内部脅威検知サービス(Internal Risk Intelligence)では、AIによる異常検知と専門アナリストによる状況判断を組み合わせることで、内部不正によるデータ持ち出しの予兆を早期に捉え、具体的な対策を講じることが可能です。
また、翌営業日には分析を完了し、タイムリーにリスクを把握することが強みとなっており、転職市場の拡大、テレワークなど働き方の多様化、経済安全保障リスクの高まりを背景に、大手製造業、金融機関を中心に幅広い業種での導入が進んでいます。
内部脅威検知サービスの導入事例:三菱UFJ eスマート証券株式会社様
内部脅威検知サービスを導入していただいている三菱UFJ eスマート証券株式会社様では、導入前は内部不正および情報漏洩リスクのモニタリングを独自で行っていました。しかし、膨大なログの分析は、コア業務に携わる担当者にとって大きな負担となり、多くの時間を要することが課題となっていました。
内部脅威検知サービスでは、ログの量によらず内部リスクを分析できるので、月次単位で行っていたログ分析を導入以降は日次で行えるようになりました。結果として、現場の負担は大幅に軽減されました。
まとめ
退職者によるデータ持ち出しリスクは、現代の企業にとって避けて通れない経営課題です。これまで実施されてきた対策はもちろん重要ですが、悪意のあるデータ持ち出しを完全に防ぐことは難しいのが現状です。多くのケースで、データ持ち出しが発覚した時にはすでに手遅れになってしまう傾向があります。
エルテスが提供する内部脅威検知サービスは、従業員の操作パターンを学習し、普段とは異なる異常な挙動をリアルタイムで検知し通知することで、データが持ち出される前に問題を発見し、迅速に対応することが可能になります。
自社のセキュリティ体制を根本的に見直すきっかけとして、ぜひご検討ください。
情報漏洩対策のご相談は、エルテスへ
