近年の急速なIT化に伴い、退職者によるデータの持ち出しが容易になり、会社の機密情報が流出してしまうケースが増加しています。
そこで、本記事では、"退職者によるデータ持ち出しはバレるのか"という点から、"会社がとるべき対応"までご紹介致します。
Contents
退職者によるデータ持ち出しはバレるのか?
近年の急速なIT化に伴い、会社の機密情報や個人情報、顧客情報をデータで管理することが一般化しています。
これにより、USBやクラウドサービスを利用することで、会社内でのデータの共有が容易になり、外部へのデータの持ち出しが容易になりました。
業務の効率化が図れるようになるという点では会社にとって有意義なのですが、退職者によるデータの持ち出しにより機密情報の漏洩や悪用が発生してしまうケースも増加しています。
このような、機密情報の流出は、会社の重大な危機を招く可能性のある緊急事態ですが、実際のところ、退職者によるデータの持ち出しはバレるのでしょうか?
結論から言うと、退職者によるデータの持ち出しは、バレる場合も、バレない場合もあります。なので、"バレるかどうか"という点について、一概には申し上げられません。
というのも、退職者によるデータの持ち出し方や持ち出すデータの種類によって、"バレるかどうか"が変わってくるからです。
例えば、物理的な紙媒体などを経由してデータを持ち出すような方法であれば、足取りが掴みづらく、データの持ち出しがバレにくい傾向にあります。逆に、メールやクラウドを経由してデータを持ち出すような方法であれば、PC上にログが残っている可能性が高く、データの持ち出しがバレやすい傾向にあります。
また、退職者によるデータの持ち出しが"バレるかどうか"というのは、会社の情報管理がどのようになされているのかによっても変わってきます。
情報管理が徹底されている会社であれば、退職者によるデータの持ち出しがバレる可能性が高いですが、情報管理が甘い会社であれば、退職者によるデータの持ち出しがバレる可能性が低いです。
詳細については、以下で解説を致しますので、ぜひ、読み進めてみてください。
退職者による持ち出しの可能性があるデータの種類
退職者のよって持ち出されるデータの種類には、以下のようなものがあります。
- 顧客情報
- 取引価格や取引先に関する情報
- 研究開発データ
- 企業マニュアル
- 製造ノウハウ
- 経営状況の情報
- 会計利益情報
どのデータも企業運営に直結する重要なものなので、これらのデータが持ち出された可能性があるような場合には、速やかに対処する必要があります。
しかし、データの持ち出しは、会社にバレないよう秘密裏に行われることから、下手に対処してしまうと、データが上書きされたり、証拠能力が損なわれたりしてしまうため、注意が必要です。
対処法については、以下で解説致しますので、読み進めてみてください。
退職者によるデータ持ち出しの理由
退職者がデータ持ち出しを行う理由として、以下のような目的が考えられます。
転職先での利用目的
顧客情報や企業情報などのデータを持ち出し、それらを転職先で利用することが考えられます。
まず、希望の会社に転職するためには、自分の実績を示す必要があります。このとき、採用担当者に対して、口頭で説明するよりも、前の会社での制作物やプレゼン資料を示した方が、具体性や信憑性が増します。
さらに、実際の転職先の業務において、前の会社で使われている製造ノウハウや顧客情報を利用することで、自己の業績を伸ばすことができます。
このように、退職者に悪意なくても、会社が管理している個人情報や秘密情報が漏洩してしまい、会社にとって大きな打撃となってしまうことがあります。
退職者が競合他社へ転職したような場合には、技術や顧客を奪われることで経営が難しくなり、最悪の場合倒産してしまう可能性も考えられます。
情報の転売目的
顧客情報や企業情報などのデータを持ち出し、それらを転売することで利益を得ようとすることが考えられます。
インターネット内には、通常の検索方法ではアクセスすることができない「ダークウェブ」と呼ばれる空間が存在し、そこでの取引によって様々な情報を売買することができます。
売買されてしまった情報は、他社に流用されるなど、悪用されてしまうケースが多く、会社にとって大きな打撃につながってしまうでしょう。
会社への嫌がらせ目的
顧客情報や企業情報などのデータを持ち出し、会社への嫌がらせをしようとすることが考えられます。
また、データの持ち出しにとどまらず、持ち出したデータを競合他社へ漏洩することもあり、会社にとって大きな打撃となってしまうことがあります。
これらの行為は、過去の人間関係のトラブルなどが原因で、会社への恨みや不満などの感情的なケースが多く、データの持ち出しと共に、会社内の盗聴やネットへの誹謗中傷などの書き込みを行うこともあります。
独立開業のための利用目的
顧客情報や企業情報などのデータを持ち出し、それらを独立開業のために利用しようとすることが考えられます。
独立開業を計画している退職者にとって、「顧客情報」は重要になります。開業直後の会社が新規の顧客を取るのは容易なことではありませんが、退職前の会社の「顧客情報」があれば、新規の顧客よりは繋がりを持ちやすいからです。
また、データを持ち出した退職者が独立開業する会社は、同業である可能性が高く、退職した会社とは競合関係になることが考えられ、営業方針、企画、財務情報、知財、取引先の動向などのデータは、起業後の経営に利用価値があります。
このように、退職した会社に損害を与えようというような悪意がなくても、会社にとって大きな打撃に繋がってしまう可能性があります。
退職者によるデータ持ち出しのリスク
退職者がデータ持ち出しを行うことで発生しうるリスクには、以下のようなものが考えられます。
賠償義務
退職者によるデータの持ち出しによって、会社が管理している個人情報や秘密情報が流出してしまう可能性があります。
個人情報が悪用されると被害者に損害が発生することもあり、会社には被害者に対する損害賠償責任が生じます。
会社が顧客に対して支払う賠償金額の相場が1人あたり5,000円から10,000円で、場合によっては億単位の損害が発生し、倒産に至ってしまう可能性もあります。
信用低下
退職者によるデータの持ち出しによって、会社が管理している個人情報や秘密情報が流出すると、その事実が報道されてしまう可能性があります。
このような報道がされると、世間からセキュリティ対策ができていないと認識され、会社のイメージ、及び、社会的信頼が低下することが考えられます。
会社のイメージや社会的信頼が低下すると、顧客離れが起こり、取引を断られたり、契約を打ち切られたりと、会社にとって大きな損害に繋がってしまう可能性があります。
情報流用
退職者によるデータの持ち出しによって、会社が管理している顧客情報や技術情報が他社に流用されてしまう可能性があります。
顧客情報や技術情報が他社に流用されてしまうと、顧客の引き抜きや、技術の盗用が行われてしまうことが考えられます。
このような行為は、市場における競争力の低下につながり、売上の減少といった会社の利益に大きく影響を及ぼしかねません。
刑事罰
退職者によるデータの持ち出しによって、損害賠償のみならず刑事罰に問われる可能性があります。
2017年に改正された個人情報保護法により、退職者が持ち出した情報によって個人情報が漏洩すると、個人情報を取り扱う事業者は1年以下の懲役または50万円以下の罰金を課されてしまう場合があります。
個人情報保護法は法人である会社に対しても適用されるもので、年々罰則が厳しくなっているので注意が必要です。
退職者によるデータ持ち出しの調査方法
退職者によるデータ持ち出しが行われる場合には、まず、在職中に兆候が見られます。具体的な兆候としては以下のようなものが考えられます。
- サーバーや記録媒体へのアクセス回数の増加
- 退職者の業務を行う上で必要のないアクセス行為
- 業務量に対して必要以上の長い残業や休日出勤
- 社内トラブルの発生
- 他社との不自然な関係性
このような兆候を把握した場合、すぐに対応策を講じるべきか否かを判断するため、不正行為を解明し、証拠保全に進む必要があります。
そのために必要な調査は以下のとおりです。
メールの調査
退職者がデータの持ち出しを行う場合、メールに証拠が残っている可能性がありますが、証拠となるようなメールは退職者によって削除されている場合がほとんどです。
しかし、データ復旧を専門とする会社では、パソコン上で消去したデータであっても、特殊な技術により元に戻すことが可能です。
復元したメールは、証拠として保全することができます。
USBなど接続機器の調査
退職者がデータの持ち出しを行う場合、USBなどの外部接続機器にデータを移行する可能性が考えられます。
このような場合、パソコンに残っているログを解析することで、接続機器名や接続日時などから、不正行為をされた期間のデータの動きを把握することが可能です。
このように、データの動きを把握することで、社内での不正行為の行動記録を証拠として保全することができます。
ファイルの調査
退職者がデータの持ち出しを行う場合、見られたくない情報を隠すため、文書ファイル(Excel、Word、PowerPointなど)にパスワードをかけている可能性があります。
このようにパスワードがかかったファイルを無理に開こうとすると、情報が消えてしまう場合もありますので、パスワード解除を専門とする業者に依頼しましょう。
パスワードを解除したファイルは、証拠として保全することができます。
退職者によるデータ持ち出しの際に会社がとるべき対応
退職者によるデータ持ち出し行為が発生した場合、会社がとるべき対応として以下のようなものが考えられます。
警告・報告・公表・謝罪
退職者によるデータ持ち出しが判明した場合、まずは以下のような措置を行います。
- データを持ち出した退職者への警告(内容証明郵便)
- 個人情報保護法に基づいた行政への報告
- 対外的な事実の公表(事実の経緯、漏洩した情報の内容、再発防止策など)
- 被害者への謝罪
フォレンジック調査会社へ相談する
退職者によるデータ持ち出しが判明した場合、時間の経過によって被害が拡大してしまう危険性も考えられるため、迅速に対応することが大切です。
また、法的手段に移行することを視野に入れている場合には、退職者による情報漏洩や盗用の有無を立証するための証拠を集めなければいけません。
しかし、社内調査だけでは持ち出しの全容をつかむことが難しく、適切な対応が取れない可能性があるため、フォレンジック調査サービスを行っている専門業者に依頼することをおすすめします。
フォレンジック調査とは、PCなどのデジタル機器の利用履歴から、情報持ち出しの有無を調査する手法で、フォレンジック調査では、証拠保全作業を行った上で、第三者の立場での適切な調査の実施と法的効力を持つ報告レポートの作成を行うことが可能です。
法的措置
退職者によるデータ持ち出しが確定した場合、法的措置に移行することができるケースもあります。
まず、データの持ち出しは、不正競争防止法や不正アクセス禁止法の罰則規定に基づく刑事責任の対象となることがあります。
また、場合によっては、電子計算機使用詐欺罪 (刑法246条の2)、背任罪 (刑法247条)、横領罪 (刑法252条) などの適用の可能性も考えられます。
刑事責任を追及したとしても、会社の損害が回復されるとは限りませんが、警察など公的機関が関与することで、持ち出しを行った退職者との金銭による示談をスムーズに進められるため、有効といえるでしょう。
次に、データの持ち出しにより会社に損害が生じている場合には、退職者に民事責任を追求できる可能性があります。
民事責任追求の手段としては、交渉により和解を目指す方法や、訴訟を提起して持ち出した機密情報の使用差し止め請求や損害賠償請求を行う方法などが考えられます。
退職者によるデータ持ち出しを防ぐための対策
今後、退職者によるデータ持ち出しを防ぐためは、以下の対策を行うことをおすすめします。
ID情報の管理
社内のID情報を管理することで、社員の行動履歴を取得することができます。
退職者によるデータ持ち出しは、会社情報を個人で利用するクラウドストレージにアップロードすることで発生するケースが多いため、退職予定者がいる場合は、ID情報を管理して事前に対策を行い、不正の機会を与えないようにしましょう。
情報へのアクセス制限
退職者は、退職する直前に、会社のPCから重要なデータを抜き出したり外部へ転送する可能性があります。また、データ持ち出しの証拠となり得るメールやアクセス履歴などを削除し、隠蔽することで、事後の調査を困難にする可能性もあります。
このような事態を防止するため、ID情報の管理に加えて、退職予定者には顧客情報や機密情報へのアクセスを制限するなどして、事前の対策を行ってください。
また、会社全体の体制として、特定の情報には関係するチームメンバーのみがアクセスできるようにする、閲覧には管理者の許可を必要とする、社内の特定のPCからのみアクセスできるようにする、など環境の整備や操作マニュアルの作成をすることも有効です。
持ち出し困難化
システム上の防止措置のみならず、物理的にも、会社のデータ持ち出しを阻止することが重要です。
退職の申出があった場合には、退職者が使用していたPCやUSBなどの機器をすべて返却してもらい、退職までは初期化された新しいPCで作業を行ってもらいましょう。
私物の記憶媒体などの持ち込みを禁止することも、データ持ち出しの防止には効果的です。
視認性の確保
データ持ち出しなどの不正行為を見つけやすい環境づくりも有効的な方法です。
会社の重要データを扱っている機器がある部屋には監視カメラの設置を行う、入退室管理システムの導入を行う、などの方策を講じた上で、社内全体に設備について公表しましょう。
このような環境づくりによって、不正行為が見つけやすくなり、社員の規範意識向上にもつながります。
社員の意識向上
退職者によるデータ持ち出しが行われるような会社では、社員の秘密情報に対する意識が低い可能性が考えられます。
実際、データを持ち出した退職者が「機密情報であると認識していなかった」というケースも多いです。
こういった事態を防ぐため、企業の利益に反する競業を差し控えることを約束する「競業避止義務契約」や、企業の秘密を保持することを約束する「秘密保持契約」を締結しましょう。
このような契約を締結することにより、社員の会社情報に対する意識の向上につながります。
ブラック企業化の防止
会社への恨みや不満から、退職者がデータを持ち出すケースを防止する方法として、従業員の会社への満足度を上げる方策を講じておく、という点も重要です。
会社のデータを持ち出して、より良い待遇の職場に転職するケースや、情報を売却し金銭的に利益を得るケースは、社内の公平・適切な評価制度の徹底や給与の見直しによって、従業員の不満を解消することが有効です。
このようにブラック企業化を防止することは、退職者のデータ持ち出しにつながるでしょう。
退職者によるデータ持ち出しはバレるのか?会社がとるべき対応は?のまとめ
本記事では退職者によるデータ持ち出しはバレるのか?という点から、会社がとるべき対応・対策までご紹介しました。
退職者によるデータ持ち出しは、お互いにとってリスクが伴います。なので、企業側が様々な対策を講じておくことで、未然に防ぐことが重要です。
- 退職者によるデータ持ち出しは、バレるケースもバレないケースもある
- 退職者によるデータ持ち出しがバレるかどうかは、データの種類やデータ管理の方法による
- 退職者により持ち出されるデータには、顧客情報・取引価格や取引先に関する情報・研究開発データ・企業マニュアル・製造ノウハウ・経営状況の情報・会計利益情報などがある
- 退職者によるデータ持ち出しの理由には、転職先での利用目的・情報の転売目的・会社への嫌がらせ目的・独立開業のための利用目的などがある
- 退職者によるデータ持ち出しのリスクには、賠償義務・信用低下・情報流用・刑事罰などがある
- 退職者によるデータ持ち出しの調査方法には、メールの調査・USBなどの接続機器の調査・ファイルの調査などがある
- 退職者によるデータ持ち出しの際に会社がとるべき対応としては、退職者への警告・行政への報告・対外的な公表・被害者への謝罪・法的措置などがある
- 退職者によるデータ持ち出しを防ぐ対策としては、ID情報の徹底管理・機器の確保や情報のアクセス制限・競業避止義務契約や秘密保持義務の締結・フォレンジック調査会社へ相談する・持ち出し困難化・視認性の確保などがある
