退職者のデータ抜き取り・持ち出しによるリスクとは?不正行為におよぶ理由・防止策と併せて解説
企業にとって情報セキュリティ対策は必須要素の一つです。セキュリティ対策は、おもに外部からのサイバー攻撃に対しての対策ですが、内部不正への対策も重要です。インターネットが発達した昨今では、退職者が機密データを抜き取り・持ち出す事例も多く報告されています。
この記事では、退職者がデータを抜き取る理由やリスク、防止策について解説します。
■退職者がデータを抜き取る理由とは
退職者がデータを抜き取る理由や持ち出されるデータの種類について解説します。
◇退職者が抜き取るデータ
内部不正は社員の不正によってもたらされるセキュリティリスクです。おもな事例としては退職者によるデータの抜き取りなどがあり、近年報告が多くなっています。
退職者が抜き取るデータの種類としては次のようなものが挙げられます。
・顧客情報
・取引先情報
・業務マニュアル
・ノウハウ
・会計情報
など
企業にとって資産ともなりうる重要な情報・データが抜き取りの対象となります。
◇なぜデータを抜き取るのか?
退職者がデータを抜き取る理由としては次のようなものが考えられます。
・転職を有利に進めるため
・情報の売買による金銭の取得
・会社への恨みや不満
退職者が競合他社へ転職する場合、自社が持つ情報を使うことで転職を有利に進められる場合があります。社外秘の情報が他社に渡れば市場競争力の低下につながるでしょう。実際にトレンドマイクロ社が2009年に実施した調査では、“転職時に情報を持ち出す人”が53.9%にも達することがわかっています。
また、機密情報は価値のある情報として売買されるケースもあります。闇サイトなどでは通常入手することのできない情報が売買されているため、そこで金銭を得るために情報を持ち出すケースが考えられるでしょう。
また、退職者が会社に対して恨みや不満を抱えている場合、嫌がらせ・腹いせとしてデータを抜き取るケースもあります。
■退職者によってデータを抜き取られた場合のリスク
退職者によってデータを抜き取られると、大きなリスクを負うことになります。例えば、2021年には退職者のデータ抜き取りによってソフトバンクが楽天モバイルと退職者に対して約1000億円の損害賠償の請求・10億円の支払いを求める訴訟を起こしました。
退職者によってデータを抜き取られるリスクは、大きく分けると次の3点です。
◇経営状態の悪化、倒産のリスク
退職者が持ち出すデータのなかには、顧客情報や取引先情報などの機密データも含まれています。これらの情報が流出すると企業の信用低下は免れません。
また、マニュアルやノウハウの流出によって競合他社との競争にも勝てなくなり、市場競争力の低下による経営状態の悪化・倒産のリスクが高まります。
企業の根幹をなす重要なデータが抜き取られることで、売上の減少だけなく企業活動そのものを続けることが難しくなるリスクがあります。
◇損害賠償リスク
個人情報が流出すると、企業は被害者に対して損害賠償責任を負う可能性があります。
日本ネットワークセキュリティ協会(JNSA)が公開する“2018年 情報セキュリティインシデントに関する調査報告書”によれば、個人情報漏えいインシデントに関しては次のように報告されています。
・インシデント件数:443件
・一件あたりの漏えい人数:1万3,334人
・一人あたり平均想定損害賠償額:2万9,768円
・一件あたり平均想定損害賠償額:6億3,767万円
引用:日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」
退職者によってデータが抜き取られた場合、ソフトバンク・楽天モバイルの事例でもあるように億単位の損害が発生する可能性があります。
企業規模によっては倒産を余儀なくされるほどのインパクトがあることを覚えておくべきでしょう。
◇刑事罰のリスク
損害賠償だけでなく、刑事罰に問われるリスクも存在します。
個人情報は個人情報保護法によって守られており、2017年に改正個人情報保護法が施行され、個人情報を取り扱うすべての事業者が適用対象になりました。退職者が抜き出した情報によって個人情報漏えい事故が発生すると、1年以下の懲役または50万円以下の罰金が課される可能性があります。
法人である企業に対しても適用されるものであり、年々罰則が厳しくなってきています。
■退職者によるデータ抜き取りの防止策について
退職者によるデータ抜き取りを防止するためには、どのような対策が必要なのでしょうか。ここでは3つの防止策を紹介します。
◇ID情報の徹底管理
ID情報を徹底管理し、“誰が”“何をしているか”という情報をしっかりと取得することが重要です。近年ではクラウドサービスを業務利用する機会も増え、管理すべきID情報が多いことから管理が煩雑になっています。退職者は機密情報を個人で利用するクラウドストレージにアップロードすることで情報を持ち出しているケースも多いため、ID情報を管理してそのような事態に備える必要があります。
また、社内システムのなかでもID情報を管理することでログを取得し、行動履歴をしっかりと取得したほうがよいでしょう。ログの取得を明言することで不正行為を抑止する効果も期待できます。
人は機会・動機・正当化の3つの要素がそろったときに不正を働くという考え方があり、ログ取得を明言することは不正の機会を与えないことにつながります。
◇アクセス権限の管理
ID情報を管理する場合、併せてアクセス権限も細かく管理することが重要です。IDごとにアクセス権限を設定することで、情報が持ち出されるリスクを軽減できます。
例えば、機密情報を保存するサーバーなどへのアクセスは特定の社員にのみ許可する、といったアクセス権限の設定が可能です。個人単位だけでなく、部門単位でもアクセス権限を設定し、それぞれの単位ごとに一般業務で必要な範囲の権限だけを付与しましょう。
持ち出されることでリスクが発生しうる情報・データは、多くの場合利用できる社員は非常に限定的です。誰でも閲覧・読み書きができる状態では、前述の不正を働く機会を与えることになるため、アクセス権限の徹底管理も重要になります。
また、社内システムにおけるアクセス権限だけでなく、クラウドサービスへのアクセス権限も制御するとよいでしょう。前述のとおり個人で利用するクラウドストレージなどにデータを抜き取るケースもあるため、企業内で許可したクラウドサービスしか利用できないようにする、などの制限も必要です。
◇秘密保持義務などの契約の締結
ここまではシステム的な対策でしたが、それとは別の角度から対策を取ることも重要です。例としては、秘密保持契約や競業避止義務契約などを締結することが挙げられます。
秘密保持契約は、自社の機密情報について契約締結時に予定している用途以外で利用することや、他者に開示することを禁ずる契約です。競業避止義務契約は競業企業への転職や競業企業の設立などの競業行為を禁ずる契約であり、これらを締結することで退職者に対して情報の持ち出しを制限することができます。
データの抜き取りを実施する社員のなかには、持ち出したデータを機密情報と認識していない場合もあります。このような事態を避けるためにも、契約を締結して有事に備えるだけでなく、社員の機密情報に対する意識の向上もはかるとよいでしょう。
また、防止策とは異なりますが、有事の際への備えとしてフォレンジック調査会社への相談についても検討しておくことをおすすめします。フォレンジック調査とは機器から不正の証拠を特定したり、不正の形跡を見つけ出したりする調査のことです。
防止策を取っていても、完全にデータの抜き取りを防げるとは限りません。事後の対応をスムーズにするためにも、有事の際の対応について事前に検討しておきましょう。
■データ抜き取りの防止には“GMOトラスト・ログイン”がおすすめ
データ抜き取りの防止策としてはじめに実施するべき対策はID情報の徹底管理です。ID情報を管理するためには、システム・サービスごとに管理されている情報を一元管理することが重要です。
従来は社内システムに関わるIDの一元管理で十分でしたが、昨今ではクラウドサービスの業務利用が増えたため一元管理が難しくなっています。
また、管理すべきアカウントの数が増え、管理しきれなくなることで各社員の負担にもつながっている場合があります。昨今導入が進む“シングルサインオン(SSO)”は一度のログインで複数のサービスが利用できるようになるため、社員の負担を軽減できます。加えて、IDの一元管理も実現できるため管理者にとってもメリットの大きな技術です。
GMOトラスト・ログインは国内登録者No.1 のクラウド型のシングルサインオンサービスとして、多くの企業で導入されています。IDの一元管理やセキュアな業務環境が構築できるソリューションです。
IDの管理はWebインタフェースで簡単に操作でき、追加・停止・削除も容易です。社内システムだけでなく多くのクラウドサービスに対応しているため、IDの一元管理と併せてシングルサインオンを導入できます。利用するクラウドサービスを社内で利用可能なアプリのみシングルサインオンに対応させることで、禁止されたアプリの利用を抑制できます。
さらに、退職者のアカウント整理の際にも、GMOトラスト・ログインのアカウントを停止するだけでSAML連携しているクラウドサービスへのログインを防ぐことができます。アカウントをすぐさま削除せずとも停止するだけでよくなり、退職時の対応がしやすくなる点もメリットです。
なお、クラウド型のアカウント管理サービスを利用する場合、注意すべきは稼働率と安全性(セキュリティ)です。なぜなら、IDを一元的に管理することから、サービスが利用できない状態になると業務が停止してしまうからです。
その点、GMOトラスト・ログインは過去12ヵ月において稼働率が99.99%であり、安定したサービスを提供しています。また、安全性に関しても国際規格であるISOに認定されており、情報セキュリティの安全性が高く、企業情報を扱うに適したシングルサインオンサービスとなっています。
加えて、運営企業のグローバルサインはSSL認証局として20年以上の実績があり、セキュリティに関するノウハウも豊富です。
GMOトラスト・ログインは基本料金0円で利用でき、全機能を利用できるプロプランも1IDにつき300円/月と低コストで導入できます。
■まとめ
退職者のデータ抜き取りは内部不正にあたり、企業が対策すべき情報セキュリティ対策の一つといえます。抜き取られるデータのなかには、顧客情報や取引先情報、マニュアル、ノウハウ、会計情報などの重要なデータが含まれます。
データ抜き取りによって経営状態の悪化、倒産のリスク・損害賠償リスク・刑事罰のリスクなどが考えられるため、しっかりと対策することが重要です。データの抜き取りを防止するためには、ID情報の徹底管理・アクセス権限の管理・機密保持義務などの契約締結といった対策を取るとよいでしょう。
特にID情報の徹底管理は重要になり、そのためにはIDの一元管理が欠かせません。GMOトラスト・ログインであればIDの一元管理と併せてシングルサインオンも導入できるため、 この機会に導入を検討してみてはいかがでしょうか。
この記事を書きました
森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー