記事ページ メインビジュアル 記事ページ メインビジュアル
記事

退職者の情報持ち出しが発覚した際の対処と対策

企業の運営上、懸念すべきリスクのひとつに「情報漏えい」があります。

これまで、情報漏えいの原因でもっとも多かったのは従業員のミスによるものでしたが、最近は退職者の情報持ち出しがとくに増加しており、対策が急務となっています。

では、もし退職者が情報を持ち出した場合、企業としてどのような対応をすべきか、また持ち出しを防ぐための対策について解説いたします。

退職者による情報漏えいが増加

2021年3月、情報処理推進機構(IPA)が「企業における営業秘密管理に関する実態調査2020」を公表しました。

営業秘密の情報漏洩ルート グラフ 出典元:IPA 独立行政法人 情報処理推進機構

この結果によれば、営業秘密の漏えい事故が発生した際のルートについて、これまで最多となっていた「従業員等の誤操作・誤認」によるものは前回結果より減少に転じました。

その代わりに、これまで二番目に多かった「中途退職者の内部不正による漏えい」が増加し、最多となっています。

同調査によれば被害企業の4割が推定損害額1,000万円以上となるなど被害も大きいため、退職者が情報を持ち出せない仕組み、環境づくりが必要といえるでしょう。

退職者によって持ち出される情報

退職者によって持ち出される情報 イメージ

退職者による情報持ち出しの目的の大半は、転職先での悪用やデータ転売などです。そのため、持ち出される情報は売上に直結する以下のようなものが多いです。

  • ●営業秘密
  • ●顧客情報
  • ●取引先の情報
  • ●ノウハウ
  • ●研究開発データ
  • ●経営情報

情報が持ち出された場合のリスク

情報が持ち出された場合に懸念されるリスクについて、どのようなものが考えられるか紹介します。

顧客流出

顧客流出 イメージ

退職者が同業他社に転職、もしくは競合する新事業を立ち上げる場合に、顧客情報を持ち出して営業活動に使用するケースがあります。

これにより、自社の顧客が他社に流出してしまうおそれがあります。

ノウハウ流出

ノウハウ流出 イメージ

企業の保有する独自のノウハウが流出すると、競合他社に利用されて経済的な価値も下がり、市場での競争力が低下するおそれがあります。

とくに中小企業だと、特許権を取得するといった技術情報を保護する措置が不十分なことも多く、ノウハウが流出すると致命的な損害に直結する可能性もあるでしょう。

損害賠償

損害賠償 イメージ

退職者が顧客や取引先、従業員の情報を持ち出して悪用した場合、その被害者はあらゆる不利益、損害を被る可能性があるため、情報を流出させた企業に損害賠償請求ができます。

これにより賠償責任を問われ、漏えいした情報の量が多いほど、金銭的な被害が膨大になってしまいます。

また、対策が不十分であり漏えいさせたということで、企業自体の信用低下、取引の中断や売上の低下につながることもあり、信用面でも打撃を受ける可能性があるでしょう。

刑事罰

刑事罰 イメージ

個人情報保護法では、従業員が自己もしくは第三者の不正な利益を得る目的で、個人情報を盗用・提供した場合、1年以下の懲役か50万円以下の罰金刑が科されます。

この罰則は情報を持ち出した本人だけでなく企業にも課され、その場合は1億円以下の罰金刑となっています。

これまで同法では取り扱う個人情報の件数が5,000件以下の事業者は除外されていましたが、2017年の法改正により個人情報を扱う事業者すべてに適用されます。

※個人情報の定義
ちなみに個人情報とは、氏名や生年月日など生存する特定の個人を特定できる情報のことです。

単体では個人を特定できない場合でも、ほかの情報と照合することで容易に個人を特定できる場合はこれも個人情報とみなします。

報告義務

改正個人情報保護法が2022年4月から施行され、個人情報が漏洩したとき(または漏洩したおそれのあるとき)は、次のことをするよう義務付けられました。

  • ●個人情報保護委員会に報告しなければならない
  • ●本人に対し、当該事態が生じた旨を通知しなければならない

※漏洩した“おそれがある”という場合にも報告しなければならない点に注意が必要です。
※従業員の故意による場合は、漏洩したのが1件だけだったとしても上記義務が生じます。

退職者に情報を持ち出された際の対処

退職者が情報を持ち出した場合に、しかるべき対処を実施すると周知することで、抑止力にもなります。では、具体的にどのような対処を実施すべきか解説します。

刑事的措置の執行

刑事的措置の執行 イメージ

持ち出しにより漏えいした情報が営業秘密による場合、以下の罪に問われる可能性があり、刑事責任を追求できます。

  • ●不正アクセス行為の禁止等に関する法律違反の罪(不正競争防止法11条等)
  • ●不正競争防止法上の営業秘密侵害罪(同法21条等)
  • ●電子計算機使用詐欺罪(刑法246条の2)
  • ●背任罪(同法247条)
  • ●横領罪(同法252条)

なお、刑事責任の追及については警察など捜査機関の協力を求める形になります。

民事的措置の執行

民事的措置の執行 イメージ

退職者による情報の持ち出しで企業に損害が生じた場合、その退職者に対し民事訴訟を提起できる可能性があります。

民事訴訟では、持ち出した情報の使用差し止めと損害賠償請求、もしくは和解を目指すのが一般的です。

なお、ADR(裁判外紛争解決手続)であれば非公開の手続きで、訴訟手続きによらず解決できる可能性があります。

委員会への報告・本人通知 ※法定された義務です

前述したことと重複しますが、故意に個人情報が持ち出されたケースにおいては、情報が1件だけだったとしても報告義務が生じます。(個人情報保護委員会への報告と、本人に対する通知)これは法律で定められていることであり、必ずしなければなりません。

デジタルフォレンジック業者への調査相談

デジタルフォレンジック業者への調査相談 イメージ

デジタルフォレンジックとは、情報漏えいや不正アクセスがあった際に、パソコンなど電子機器に残る操作ログや痕跡を収集・分析し、誰がなにをしたか明らかにする手段です。

これを実施すれば犯人の特定やどのような情報を持ち出したのか判明するほか、情報漏えいを証明する犯行の証拠としても活用できます。

この調査にはパソコンや各種ツール、プログラムなどの幅広い知識が必要なため、自社で対応が難しい場合は業者に相談してみるとよいでしょう。

また、デジタルフォレンジック業者であればデータがねつ造でないことを証明する証拠保全作業や、中立な立場での適切な調査の実施、レポートの作成も可能です。

中小企業の場合

中小企業の場合 イメージ

つぎの2点をお読みください。

  • ●故意に個人情報が持ち出された場合には、個人情報保護委員会への報告が義務である。
  • ●その報告の期限は、60日である。

改正個人情報保護法(2022年4月施行)で上記のとおり定められています。

大企業のように、自社内にCSIRT等の調査チームを構築している企業であれば、自社の調査人員だけでも60日以内の報告を実現できるかと思います。しかし中小企業の場合ですと60日以内というのは非常に厳しい、と言いますか現実的には自社の社員だけでどうにかするのは無理があると思われます。
そのため中小企業の場合は外部の専門家(調査会社)に調査を依頼するのが “ほぼ必須である”とお考えいただいた方が良いです。

退職者に情報を持ち出されないための対策

このような退職者による情報の持ち出しを防ぐには、企業としてどう対策すべきか、その方法について解説します。

秘密情報に対する認識向上

秘密情報に対する認識向上 イメージ

退職予定者を含む従業員に対し、入社・退職時、プロジェクト開始時などに「秘密情報とはなにか」「どのような情報を漏えいしてはならないか」を確認させて認識を高めます。

これにより、「持ち出してはならない情報と知らなかった」など言い逃れを防ぐことができます。具体的には、以下のような方法を用いるとよいでしょう。

秘密保持契約の締結

秘密保持契約の締結 イメージ

業務上、どのような情報が秘密情報にあたるか定義し、それらの情報を故意に漏えいした場合、刑事・民事措置の対象になると規定して書面にします。

また、退職予定者に関しては面談などで在職中にアクセスした秘密情報を本人に確認し、その内容が保持義務の対象であり、返還・削除の義務があると規定します。

秘密保持契約の内容については専門的になるため、弁護士に相談するのもよいでしょう。また、退職予定者との面談の内容はレコーダーなどで記録に残しておくのがおすすめです。

競業避止義務契約の締結

競業避止義務契約の締結 イメージ

重要なプロジェクトでキーパーソンとなった従業員に関しては、「競合企業への転職」「競合する企業の設立」などの競業行為を禁じる競業避止義務契約を締結する方法もあります。

ただし、この契約は職業選択の自由を制限するおそれがあるため、企業・従業員の双方が話し合い、必要性や内容について十分な理解を図ったうえで締結する必要があります。

物理的・技術的な防御

物理的・技術的な防御 イメージ

物理的・技術的な防御とは、従業員が機密情報に接触、持ち出すことを直接的に防止する方法のことです。

たとえば、以下のような対策方法が挙げられます。

  • ●パソコンやUSBの社外持ち出しを禁止して適切に管理する
  • ●機密情報の保管場所やサーバールーム等への入退室を記録する
  • ●機密情報が一括ダウンロードできないように設定する
  • ●退職の申し出後、秘密情報のアクセス権を解除する
  • ●機密情報を管理する棚の付近に防犯カメラを設置する
  • ●機密情報の持ち出しがすぐわかるように通し番号を付ける

継続的なモニタリング

継続的なモニタリング イメージ

退職予定の従業員が情報を持ち出そうとする場合、退職の報告前の実施が考えられます。そのため、不正を常時検出できるよう、従業員を継続的にモニタリングするとよいでしょう。

それには、従業員のメール等の通信記録、データのダウンロード履歴などが確認できる監視ツールを導入するのが便利です。

ただし、個人情報保護法やプライバシー権、従業員の不安・不信感なども考慮する必要があります。

まとめ

情報の持ち出しは、モニタリングしていないと持ち出されたことすら気づきにくく、顧客の流出など実際の被害が発生してから判明する場合も多いです。

被害が発生してからでは損害賠償が必要になるほか、ノウハウ流出による競争力の低下、顧客や取引先からの信用低下などさまざまな損害が生じるおそれもあります。

そうならないためにも、早急に「退職者に情報を持ち出されないための対策」を実施し、有事の際はデジタルフォレンジック調査を実施したうえで、適切な対処を実施してください。

相談見積り無料・全国対応・緊急対応

CASE
よくある相談事例

ARTICLE
記事一覧

相談見積り無料・全国対応・緊急対応

page top