退職者によるデータ削除が起こったら? 損害賠償請求はできるか、対処方法や予防策も解説
2023年11月22日
【Webinar】日本企業が知っておくべき、米国のクロスボーダー調査とコンプライアンス・プログラムへの期待 Part 2
2023年11月28日
企業の機密情報のデータ化が進むなか、退職者によるデータ持ち出しのリスクも高くなっています。退職者のデータ持ち出しをどのように防げばいいのか、実際にデータ持ち出しや情報漏洩が起きた場合にどのような対処をとるべきなのか、対策と対処法について解説していきます。
退職者によるデータ持ち出しのセキュリティリスク
退職者による企業のデータ持ち出しにはさまざまなリスクが想定されます。データ持ち出しの背景や動機、企業へ与える影響について解説します。
データ持ち出しの背景と動機
退職者によるデータ持ち出しが発生する背景や状況はさまざまですが、従業員が悪意を持ってデータを持ち出すケースが一番問題となります。個人情報などを不正に売買したり、競合他社に渡すことで金銭を得たり、自身が競合他社に転職する際に利用する目的などが考えられます。一方で、機密情報に関する意識が低く運用が明確でない社風では、悪意がなくてもデータ持ち出しが常態化しているケースもあります。
データ持ち出しによる企業への影響
退職者が企業のデータを持ち出して、機密情報が漏洩した場合、さまざまな被害につながります。たとえば、企業活動を行う上で重要な技術やノウハウ、取引先の情報が競合他社にわたることで、競争力や市場価値の低下のリスクがあります。顧客の個人情報が流出すると企業イメージを損ない、社会的信用を失います。個人情報保護法に違反することになれば、国からの是正勧告やペナルティ、刑事罰の対象となり、懲役や罰金刑が科されるなどの影響は甚大です。情報漏洩の被害者から損賠賠償請求訴訟が提起される場合もあります。
退職者によるデータ持ち出し方法の具体例
退職者が、機密情報などが含まれたデータを社外に持ち出す際には、どのような方法で行うことが多いのでしょうか。主な例について解説します。
USBメモリやHDDなどの携帯記録媒体
USBドライブや外付けHDDなど、携帯可能な記録媒体を使用してデータを持ち出すことがあります。大容量のデータを簡単にコピーできるので、一般的な手法といえるでしょう。
電子メール本文への記載、メールへの添付
会社用のメールアカウントから、退職者個人用のメールアカウントに送信する方法。本文へ直接記載する他、機密情報をメールへ添付するなど、機密データの持ち出しが簡単にできてしまう方法です。
クラウドサービスへのコピー
クラウドストレージサービスを利用してデータをアップロードし、退職者自身の個人アカウントでアクセスできる状態で持ち出す方法もあります。主なクラウドサービスとしてGoogle Drive、OneDrive、Dropboxなどが挙げられます。
スマートフォンなどへのコピー
スマートフォンやタブレットなどのデバイスを使用することも可能。退職者個人のデバイスに機密データをファイルとして取り込み、外部に持ち出します。データを隠蔽するために、画像などの形に変換してデータをコピーする手段もあります。
退職者によるデータ持ち出しを防ぐ方法
退職者によるデータ持ち出しを防ぐための対策として、具体的に次のような方法が挙げられます。
データ持ち出しができない環境づくり
退職者によるデータ持ち出しを防ぐには、気軽にデータを持ち出せない環境を構築するのが効果的です。重要データを扱う機器がある部屋には安易に立ち入れない仕組みにし、監視カメラの設置や入退室管理システムの導入も行います。
アクセス制限を設定するなど、運用ルールを設定する
機密情報を取り扱う管理者を決め、利用した場合は記録を残すなどのルールが必要です。また重要情報へのアクセス制限を設定すると、権限のない従業員によるデータ持ち出しを予防できます。企業の端末にUSBメモリなど外部媒体を接続できないようにすることも効果的です。
従業員教育を徹底する
機密情報の取り扱いルールを従業員に周知させるための教育も実施。持ち出し禁止のデータや機密情報の扱い方、情報が漏洩した際の企業への影響を含めて、意識を高めておきます。
秘密保持契約を締結する
「持ち出してはいけない機密情報だと認識していなかった」と言い逃れをする場合や、実際に意識が低く認識できていなかったケースも多くあります。退職者だけでなくすべての従業員に対し、機密情報への意識を高めるため、企業の秘密を保持する「秘密保持契約」を締結しておくといいでしょう。
社員のメールのモニタリング、データのアクセス履歴の記録などを実施する
ファイルを添付したメールの送信チェックなど社員のメールを常時モニタリングし、誰が機密データにアクセスしたかの履歴を記録するシステムを導入することも重要。日ごろから監視体制を整備しておくことで、データ持ち出しの抑止効果も期待できます。
データを持ち出した退職者への対処法
データ持ち出しを行った退職者への処罰や損害賠償訴訟の可能性について解説します。また、そのために必要な調査についても紹介します。
退職者によるデータ持ち出しはいずればれる
機密情報のデータを持ち出した後、証拠隠滅のためにPCのデータ消去、初期化などを行う退職者もいますが、こういった行為を隠し通すことは難しいもの。特に高度な調査手法である「デジタルフォレンジック調査」を行うことで、データの復旧や解析、持ち出しの証拠確保ができるケースが多く、然るべき調査を行うことで証拠確保の可能性は高まります。
情報漏洩は懲戒処分の対象になる
企業の機密情報の持ち出し行為は罪に問われる可能性があります。情報漏洩に関しては、それが秘密保持義務違反に該当する場合は懲戒処分が適用されます。企業側からの損害賠償請求、データ持ち出し行為に対する窃盗罪適用の可能性もあります。
懲戒処分や損害賠償請求をするには事実調査、証拠の確保が必要
データ持ち出しによる情報漏洩で、企業が社会的信用を失ったり事業を継続できなくなったりと、莫大な被害を被った場合には、当該従業員に対して相応の処分や、場合によっては損害賠償請求を検討します。しかし処分を行うには、確かな証拠と事実関係の証明が必要になります。削除されたデータの復旧や保全、分析などを行う「デジタルフォレンジック調査」が必須となります。
FRONTEOの「退職者PC保全サービス」で、退職者による情報持ち出し・漏洩の調査に備えを
万全な対策を講じてもデータ持ち出しを完全に防ぐことは難しいもの。いざというときのために確実に問題解決できる体制を整えておく必要があります。データ持ち出し、情報漏洩の調査や証拠確保には「デジタルフォレンジック調査」が必須ですが、社内の情報システム部等で対応できる内容ではありません。
FRONTEOは、日本におけるデジタルフォレンジック黎明期よりフォレンジック調査を行ってきた不正調査のパイオニア。独自開発したAIなどの最新技術を駆使しながら、データの特定・保全・処理・レビュー・提出データ作成まで行います。特に退職者のデータ持ち出し案件を見越した「退職者PC保全サービス」というプランが特徴的。退職者のPC・スマホなどのデータを全てFRONTEO社内に保全、管理するサービスで、情報漏洩が発覚した時点で即座に当該退職者のPCやスマホのデータを抽出、その保全されていたデータをもとに、削除されたデータの復旧や証拠保全まで、FRONTEO社内でワンストップで対応するソリューションです。退職者によるデータ持ち出しで企業が大きな損害を被るのを防ぐためには、事前の備えが肝心。問題が起きる前の備え方も含め、FRONTEOに相談しておくのが安心です。
