Q 離職予定の社員が社内の情報を持ち出し、逮捕されるニュースをよく耳にします。情報持ち出しを防止するには、どんな対策を施せばよいでしょうか。(金属プレス製品製造業)
<回答者>CISO代表取締役 那須慎二
A 退職者が機密情報(内部資料)を持ち出す、「手土産転職」に関する事件が報道される機会が増えています。実際、警察庁の発表によると、過去5年間の検挙事件数は増加しています。
ただ、大手企業での情報持ち出しは、ニュース等で取り上げられる一方、中小企業では退職社員の情報窃取に気づきながらも証拠がなく、泣き寝入りせざるを得ないケースも発生しています。情報の価値は今後ますます高まるため、こうした事故は増えていくことでしょう。退職者が情報を持ち出す主な手口には、以下の3つがあります。
①USBメモリ等へ保存
最も簡単な方法。アクセス可能なファイルサーバ等の情報を盗取
②業務メールをGmailやYahooメール等の個人メールに転送
機密情報と知りながら転送する場合や、メールソフトの転送機能を利用して全てのメールを自動転送している場合は特に危険
③クラウドサービス経由の持ち出し
私的に利用しているDropbox等のデータ保存サービスに、会社のデータをアップロードして窃取。会社がクラウドサービスを利用している場合、退職後も情報にアクセスし放題になるケースも
退職者の情報持ち出し行為の放置により最も避けるべきは、知らないうちに業績が徐々に低下することです。例えば、顧客情報が持ち出されて顧客が競合他社に流出したり、原価情報が持ち出されて失注したり、新規事業計画が漏れて他社により先んじてサービスインされたりする事態です。時間とコストをかけて蓄積したノウハウが、社員の退職により一瞬にして他社の手に渡ってしまうことも、ノウハウの移転という点で間接的な損失になります。
内部不正対策は「不正のトライアングル」で考えることが基本です。不正のトライアングルとは動機、機会、正当化という3条件がそろうと、不正が起こりやすいメカニズムを意味します。これを手土産転職に当てはめると、動機は自身の次のポジションを有利にしたい心理、機会は情報窃取が簡単に行える環境、正当化は良心の呵責を乗り越えてしまうことといえます。
動機や正当化は会社として制御が難しい領域ですが、機会については対策が可能です。例えば、社員貸与パソコンへの「ログ管理ツール」の導入が挙げられます。誰が、いつ、どんな情報を、どう利用したか等の操作履歴を取得できるため、見られているという事実が不審な行動の抑制につながります。メールも、履歴を追跡できる監査機能のあるシステムが有効です。
また、USBメモリ等が使えないよう、パソコンをシステム上でロックすることも効果的です。必要時は社員の申請により、ロックを一時的に解除します。ログ管理ツールを併用すれば、USBメモリへのデータの保存履歴が残り、情報窃取等の証拠になります。
クラウドサービスは、パソコンに証明書を入れ、証明書のないパソコンの利用を制御することが有効です。退職時、貸与したパソコンを返却してもらえば、個人のパソコン等からアクセスできなくなります。指定したクラウドサービス以外の利用を原則禁止にする「CASB(キャスビー)」という仕組みも有効です。Dropbox等の私的利用を禁止できるため、クラウド経由での情報漏えいリスクを防げます。
提供:株式会社TKC(2024年1月)
(注) 当Q&Aの掲載内容は、個別の質問に対する回答であり、株式会社TKCは当Q&Aを参考にして発生した不利益や問題について何ら責任を負うものではありません。