
퇴직자에 의한 데이터 삭제가 발생하면?손해 배상 청구는 가능한지, 대처 방법이나 예방책도 해설
2023년 11월 22일
【Webinar】 일본 기업이 알아야 할 미국의 크로스 보더 조사와 컴플라이언스 프로그램에 대한 기대 Part 2
2023년 11월 28일기업의 기밀 정보의 데이터화가 진행되고, 퇴직자의 데이터 반출·회사 정보의 반출의 리스크는 계속 높아지고 있습니다. 퇴직자의 데이터 반출·회사 정보나 기밀 정보의 반출을 어떻게 막는지, 또 실제로 데이터 반출이나 기밀 정보의 유출이 일어났을 경우에 어떠한 대처를 취해야 하는지, 대책이나 대처법도 해설 갑니다.

은퇴자가 회사에서 데이터 및 정보를 가져오는 보안 위험
은퇴자가 회사로부터 데이터와 정보를 가져오려면 다양한 위험이 예상됩니다. 데이터 반출의 배경이나 동기, 기업에 미치는 영향에 대해 설명합니다.
회사 정보 · 데이터 반출 배경 및 동기
퇴직자에 의한 데이터 반출이 발생하는 배경이나 상황은 다양합니다만, 직원이 악의를 가지고 데이터를 반출하는 경우가 제일 문제가 됩니다.개인정보 등을 부정하게 매매하거나, 경쟁업체에 전달함으로써 금전을 얻거나, 자신이 경쟁업체로 전직할 때 이용하는 목적 등을 생각할 수 있습니다.한편, 기밀 정보에 관한 의식이 낮고 운용이 명확하지 않은 사풍에서는, 악의가 없어도 데이터 반출이 상태화하고 있는 경우도 있습니다.
정보 및 데이터 반출이 기업에 미치는 영향
은퇴자가 기업의 데이터를 가져와 기밀 정보가 유출되면 다양한 피해로 이어질 수 있습니다.예를 들어 기업 활동을 수행하는 데 중요한 기술, 노하우 및 비즈니스 파트너 정보가 경쟁업체에 걸쳐 경쟁력과 시장 가치 저하의 위험이 있습니다.고객의 개인정보가 유출되면 기업 이미지를 해치고 사회적 신용을 잃습니다.개인정보보호법을 위반하게 되면, 나라로부터의 시정권고나 페널티, 형사벌의 대상이 되어, 징역이나 벌금형이 부과되는 등의 영향은 심각합니다.정보 유출의 피해자로부터 손배배상 청구 소송이 제기되는 경우도 있습니다.
퇴직자에 의한 회사 정보·데이터 반출 방법의 구체예
퇴직자가 기밀 정보 등이 포함된 데이터를 사외로 가져올 때에는 어떤 방법으로 하는 것이 많습니까?주요 예를 설명합니다.
USB 메모리나 HDD 등의 휴대 기록 매체
USB 드라이브나 외장 HDD 등 휴대용 기록 매체를 사용하여 데이터를 가져올 수 있습니다.대용량 데이터를 쉽게 복사할 수 있으므로 일반적인 방법이라고 할 수 있습니다.
전자 메일 본문에 기재, 메일에 첨부
회사 이메일 계정에서 퇴직자 개인 이메일 계정으로 보내는 방법.본문에 직접 기재하는 것 외에, 기밀 정보를 메일에 첨부하는 등, 기밀 데이터의 반출을 간단하게 할 수 버리는 방법입니다.
클라우드 서비스로 복사
클라우드 스토리지 서비스를 이용해 데이터를 업로드하고, 퇴직자 자신의 개인 계정으로 액세스할 수 있는 상태로 꺼내는 방법도 있습니다.주요 클라우드 서비스로는 Google Drive, OneDrive, Dropbox 등이 있습니다.
스마트폰 등에 복사
스마트폰이나 태블릿 등의 디바이스를 사용하는 것도 가능.은퇴자 개인 장치로 기밀 데이터를 파일로 가져와 외부로 가져옵니다.데이터를 숨기기 위해 이미지와 같은 형태로 변환하여 데이터를 복사하는 방법도 있습니다.
퇴직자에 의한 데이터 반출·회사 정보의 반출을 막는 방법
퇴직자에 의한 데이터 반출·회사 정보의 반출을 막기 위한 대책으로서, 구체적으로 다음과 같은 방법을 들 수 있습니다.
회사 정보·데이터의 반출을 할 수 없는 환경 만들기
은퇴자가 데이터를 가져오지 않도록 하려면 데이터를 자유롭게 가져올 수 없는 환경을 구축하는 것이 효과적입니다.중요 데이터를 취급하는 기기가 있는 방에는 안이하게 들어가지 않는 구조로 해, 감시 카메라의 설치나 입퇴실 관리 시스템의 도입도 실시합니다.
액세스 제한 설정과 같은 운영 규칙 설정
기밀 정보를 취급하는 관리자를 결정, 이용한 경우에는 기록을 남기는 등의 규칙이 필요합니다.또한 중요 정보에 대한 액세스 제한을 설정하면 권한이 없는 직원이 데이터를 가져오는 것을 방지할 수 있습니다.기업의 단말기에 USB 메모리 등 외부 매체를 접속할 수 없게 하는 것도 효과적입니다.
직원 교육을 철저히
기밀 정보의 취급 룰을 종업원에게 주지시키기 위한 교육도 실시.반출 금지의 데이터나 기밀 정보의 취급 방법, 정보가 누설했을 때의 기업에의 영향을 포함해, 의식을 높여 둡니다.
비밀유지계약 체결
"내보내지 말아야 할 기밀 정보라고 인식하지 못했다"고 말해 도망치는 경우나, 실제로 의식이 낮게 인식할 수 없었던 경우도 많이 있습니다.퇴직자뿐만 아니라 모든 직원에게 기밀 정보에 대한 의식을 높이기 위해 기업의 비밀을 유지하는 "비밀 유지 계약"을 체결해 두면 좋을 것입니다.
직원의 이메일 모니터링, 데이터 액세스 내역 기록 등 수행
파일을 첨부한 메일의 송신 체크 등 직원의 메일을 상시 모니터링하고, 누가 기밀 데이터에 액세스했는지의 이력을 기록하는 시스템을 도입하는 것도 중요하다.평소부터 감시 체제를 정비해 두는 것으로, 데이터 반출의 억제 효과도 기대할 수 있습니다.
회사 정보·데이터를 가져온 퇴직자에 대한 대처법
회사 정보·데이터 반출을 실시한 퇴직자에게의 처벌이나 손해 배상 소송의 가능성에 대해서 해설합니다. 또한 이를 위해 필요한 조사를 소개합니다.
퇴직자에 의한 데이터 반출은 어느 쪽인가
기밀 정보의 데이터를 가져온 후 증거 은멸을 위해 PC의 데이터 소거, 초기화 등을 하는 퇴직자도 있지만 이러한 행위를 숨기는 것은 어렵다.특히 고도의 조사 수법인 「디지털 포렌식 조사」를 실시하는 것으로, 데이터의 복구나 해석, 반출의 증거 확보를 할 수 있는 케이스가 많아, 확실한 조사를 실시하는 것으로 증거 확보의 가능성은 높아집니다.
정보 유출은 징계 처분의 대상이 된다.
기업의 기밀 정보를 꺼내는 행위는 죄에 묻을 수 있습니다.정보 유출의 경우 비밀유지 의무 위반에 해당하는 경우 징계 처분이 적용됩니다.기업측으로부터의 손해배상 청구, 데이터 반출 행위에 대한 절도죄 적용의 가능성도 있습니다.
징계처분이나 손해배상청구를 하기 위해서는 사실조사, 증거확보가 필요
데이터 반출에 의한 정보 유출로 기업이 사회적 신용을 잃거나 사업을 계속할 수 없게 되거나, 막대한 피해를 입은 경우에는 당해 직원에게 상응하는 처분이나, 경우에 따라서는 손해배상 청구 를 고려합니다.그러나 처분을 하기 위해서는 확실한 증거와 사실관계의 증명이 필요합니다.삭제된 데이터의 복구나 보전, 분석 등을 실시하는 「디지털 포렌식 조사」가 필수가 됩니다.
FRONTEO의 '퇴직자 PC 보전 서비스'에서 퇴직자에 의한 정보 반출 · 누출 조사에 대비
만전의 대책을 강구해도 데이터 반출을 완전히 막는 것은 어려운 것.만일의 경우를 위해서 확실히 문제 해결할 수 있는 체제를 정돈해 둘 필요가 있습니다.데이터 반출, 정보 유출의 조사나 증거 확보에는 「디지털 포렌식 조사」가 필수입니다만, 사내의 정보 시스템부등에서 대응할 수 있는 내용은 아닙니다.
FRONTEO는 일본의 디지털 포렌식 여명기부터 포렌식 조사를 해온 부정 조사의 선구자.독자 개발한 AI등의 최신 기술을 구사하면서, 데이터의 특정·보전·처리·리뷰·제출 데이터 작성까지 실시합니다.특히 퇴직자의 데이터 반출 안건을 예측한 '퇴직자 PC 보전 서비스'라는 계획이 특징적.퇴직자의 PC·스마트폰 등의 데이터를 모두 FRONTEO 사내에 보전, 관리하는 서비스로, 정보 누설이 발각된 시점에서 즉시 해당 퇴직자의 PC나 스마트폰의 데이터를 추출, 그 보전되고 있던 데이터도 그리고 삭제된 데이터의 복구나 증거 보전까지 FRONTEO 사내에서 원스톱으로 대응하는 솔루션입니다.퇴직자에 의한 데이터 반출로 기업이 큰 손해를 입는 것을 막기 위해서는 사전 준비가 중요하다.문제가 일어나기 전의 준비 방법도 포함해, FRONTEO에 상담해 두는 것이 안심입니다.