情報漏えいは、企業の信頼を大きく落とす原因となります。
どの企業も、勉強会を開いて従業員に教育したり、社内ルールを作成してセキュリティ対策を行っているかと思いますが、退職者まで考慮できていないという企業も多いのではないでしょうか。
今回は、退職者に対して、どのように情報漏えいを発生させないようにするのか、対策について解説します。
企業がやるべきセキュリティ対策チェックリスト30項目を無料で配布しています。ぜひご活用ください。
退職者による情報漏えいは多い
意外かもしれませんが、退職者による情報漏えいは非常に多いです。
経済産業省知的財産政策室の「営業秘密の保護・活用について」(平成29年6月)によると、「中途退職者(正規社員)による漏えい」は、2番目に多い情報漏えいルートで全体の約25%を占めています。でも、なぜ仕事を辞めるタイミングで情報を持ち出すのか。
一番の理由は「同業の会社を始める」「同業他社の会社に転職する」という、情報やノウハウを計画的に持ち出すケースが多いようです。
また、もう一つ考えられる理由として退職のタイミングで、機密情報を誤って持ち帰ってしまい、重要な書類にも関わらずシュレッダーをかけずにゴミとして捨ててしまったりなどといった意図的ではないケースもあります。
退職者による情報漏えいで発生するリスク
もし、自社で退職者による情報漏えいが起きた時、どんなリスクがあるのか解説します。
ノウハウや顧客情報が他社に流出するリスク
ノウハウや顧客情報が他社に流出し、同業他社との競争に不利になってしまうリスクがあります。
特に自社独自だったノウハウが、外部に漏えいすることで、他社に流用され、自社の強みがなくなってしまうリスクがあります。
また、顧客情報が他社に流出してしまうことで、現在の顧客が他社に引っ張られてしまう可能性もあり、売上に大きな影響を与える可能性が高いです。
個人から損害賠償請求を受けるリスク
漏えいした情報が個人情報だった場合、損害賠償請求を受けるリスクがあります。
例えばクレジットカードの情報が漏えいした場合、そのクレジットカードが悪用されれば持ち主である個人に被害が出ます。
その際は当然、会社はその責任を負う必要があります。1人1人の額が少なくても、漏えいした個人情報の人数が多ければ多いほど悪用される被害者の数も増えるため、莫大な金額になる可能性が高いです。
他社から損害賠償請求を受けるリスク
また、漏えいした情報が、個人情報ではなく取引先の企業秘密だった場合は更に損害賠償の金額が高くなるリスクがあります。
例えば、「コカ・コーラ」に代表される飲料メーカーの人気商品は、基本的に各メーカー独自のノウハウで開発されたものばかりです。もし、それが他社に情報漏えいしてしまえば、企業のアイデンティティを大きく揺るがしかねません。
このように、企業に重大な損害を与えるような情報漏えいにはより一層莫大な金額になると予想されます。
誹謗中傷や風評被害リスク
仮に情報漏えいによる金銭的被害が一切出なかったとしても、
「この会社の管理はどうなっているんだ」
「今いる社員もこんなにひどい対応をしているのか」
などといった誹謗中傷や、「情報漏えいをした会社」として根も葉もない噂が立ち、風評被害を受けやすくなってしまいます。
具体的には、一定の期間売り上げが下がったりレビューサイトで低評価をつけられたりなどといった被害です。このような誹謗中傷や風評被害などは、まとめてレピュテーションと呼びます。
刑事罰の対象となるリスク
また、個人情報漏えいによる損害賠償の他に、個人情報を漏えいをしたことに対して、是正勧告を受けます。
この時、勧告に従えば特に刑罰に該当しませんが、是正勧告に従わないと「6ヶ月以下の懲役又は30万円以下の罰金刑」が科されてしまいます。
退職者による情報漏えいを防ぐ対策方法
では実際に、退職者による情報漏えいを防ぐにはいったい何をすればよいのでしょうか。
具体的な対策方法は以下の通りです。
- アクセス権の限定
- 事務室への入退室管理
- パソコンの持ち出しを禁止
- 私物の電子機器の持ち込みを制限
- 外部記録媒体のパソコン接続を制限
- 社内規定で機密情報や守秘義務、罰則を定義
- 従業員に誓約書提出を義務付け
- 社内研修で社内規定や罰則について周知
- 監視カメラ設置
- 電子メールやシステムへのアクセスログをモニタ
それぞれ1つずつ解説します。
アクセス権の限定
重要な情報は、一定以上の役職にのみ権限を付与してアクセスできるようにしたり、関連部署の人物しか見ることができないように、アクセス権を限定することで、情報漏えいのリスクを減らすことができます。
また、閲覧できる人物を少なくすることで、持ち出したであろう人物を特定しやすくなり、万が一情報漏えいが起きてしまった後の対応にも役立ちます。
事務室への入退室管理
ICカードなどを使い、いつだれが部屋に入ったか分かるようにすることで、個人情報を持ち出すことができた人をわかりやすくします。
また、この施策も持ち出したであろう人物を特定しやすくなり、万が一情報漏えいが起きてしまった後の対応にも役立ちます。
パソコンの持ち出しを禁止
最近はリモートワークも増え、業務用に使っているパソコンを自宅に持ち帰り、家で仕事をしているという方も多いのではないでしょうか。
ですが、故意に情報を持ち帰る人物にとって、この状況は願ったり叶ったりです。
自宅でデータをコピーされるリスクがあるため、持ち出せないようにルールを定めたり、施錠したりしましょう。
私物の電子機器の持ち込みを制限
仮にデータや書類自体を持ち出さなくても、それを撮影して持ち出すことができてしまいます。
これではパソコンのログにも残らないため、犯人の特定が困難になります。
作業場にスマートフォンを持ち込まないよう社内ルールを決めるなどをして、私物の持ち込みができないようにしましょう。
外部記録媒体のパソコン接続を制限
USBメモリーなどの持ち運びができる記録媒体をパソコンに接続しないように社内の規定を定めましょう。
今では一目ではUSBメモリーだとは思えないマウス型のものなど、巧妙な記憶媒体も多数存在します。パソコンに私物の物を接続しないようにルールを定めると、より効果的でしょう。
社内規定で機密情報や守秘義務、罰則を定義
社内の規定で「機密情報」「守秘義務」の取り扱いに、罰則を定義しましょう。
事前に「この情報を持ちだしたら、罰則として〇〇万円の損害賠償が必要となる」と定義をすることで、情報を持ち出そうとする人物の気を削いだり、現在いる社員のコンプライアンスに対する意識を向上させることができます。
従業員に誓約書提出を義務付け
誓約書とは、「約束を守る(誓う)」という意思表示の書類です。
誓約書には法的効力があり、当事者間が約束した内容を守らなかった場合、損害賠償責任を問うことができます。
多額の損害賠償を請求されるリスクを従業員側も追うことで、退職前・退職後を問わず、責任感をもって情報を取り扱うよう促すことができます。
社内研修で社内規定や罰則について周知
社内研修で社内規定や罰則について周知し、社員全体のコンプライアンス意識の向上を測りましょう。社員全体にコンプライアンス意識が芽生えると、正しい取り扱いをできていない社員に対してお互いに注意ができるようになります。
周囲のコンプライアンス意識が上がることで、情報漏えいのリスクを減らすことができるでしょう。
監視カメラ設置
重要な情報の書類がある部屋があれば、そこに監視カメラを設置し、怪しい動きをしている人物がいないか確認できるようにしましょう。
また、個人情報にアクセスされた時間がログからわかれば、そのタイミングでパソコンを触っている人物が情報を持ち出そうとしている可能性があります。
電子メールやシステムへのアクセスログをモニタ
電子メールやシステムにアクセスログを取得し、定期的に確認しましょう。
もし、電子メールで不審にメールを送った履歴や、重要な情報があるフォルダへ不審なアクセスがあれば、調査が必要になるでしょう。
監視カメラと併用することで、情報漏えいの強力な抑止力になります。
LRMの情報セキュリティコンサルティングサービスは退職者の情報漏えいにも対応
退職者の情報漏えいの対策について解説しました。
情報の持ち出し方法は多岐にわたるため、それを全て網羅するのはルールを策定する時間的にも、監視カメラなどを設置するコスト的にも、なかなか難しいことだと思います。
「時間をかけずに素早く社内ルールを設定したい」そんな方にはコンサルティングサービスがおすすめです。
LRMが行っているコンサルティングサービスでは、実績と経験が豊富なコンサルタントが、クラウドセキュリティ認証を取得する範囲を検討するところから親身に相談に乗りつつ、検討して決定。
様々な情報漏えいのリスクや退職者の情報漏えいも考慮した、安心できるセキュリティ対策を構築します。
また、文書の作成や見直しは、全てLRMが実施するため、業務に置ける負担を極限まで減少させることができます。
少しでも気になった方は、こちらのページよりお問い合わせください。
まとめ
退職者の情報漏洩について解説しました。
情報漏えいは重大なコンプライアンス違反です。
一度起きてしまえばそれに応じた賠償が必要ですし、退職者側であっても、企業側であっても「退職者だから関係ない」というわけにはいきません。
故意、過失問わず、情報を持ち出しができないように、しっかりと対策を行いましょう。