現代社会において、企業の情報漏洩は深刻な問題となっています。特に従業員による情報の不正持ち出しは、企業に多大な損害をもたらす可能性があります。本記事では、実際に起こった情報漏洩事例や、それがもたらすリスク、そしてそれを防ぐための具体的な対策について詳しく解説します。企業の情報セキュリティを守るためには、具体的なリスクを理解し適切な対策を講じることが重要です。
個人情報の不正持ち出しとは
個人情報の不正持ち出しとは、個人識別情報や機密情報を、業務目的以外で許可なく持ち出す行為です。これには、顧客名簿、従業員の個人データ、機密ビジネス戦略などが含まれます。不正な持ち出しは、データの流出や外部への漏洩に繋がるだけでなく、企業の信頼を失墜させる深刻な事態を招く可能性があります。企業は従業員が扱うデータの適切な管理を徹底する必要があります。
不正持ち出しがもたらすリスク
不正持ち出しは企業の経済的損失を引き起こすだけでなく、社会的信用を失わせます。特に個人情報の流出が発生した場合、顧客からのクレームや訴訟リスクが増大し、企業運営に大きな支障をきたします。また、競合他社への情報流出により、ビジネス上の優位性が失われることも少なくありません。こうしたリスクを未然に防ぐためには、セキュリティ体制の見直しが必要です。
不正持ち出しでよくあるパターン
👉従業員が社内のデータを売買し金銭を得る目的で持ち出す
従業員による不正なデータの売買は、特に情報セキュリティが脆弱な環境で発生しやすい問題です。従業員は顧客データやビジネス上の機密情報を外部に持ち出し、それを売買して金銭を得ることがあります。たとえば、金融業界では顧客の取引情報が外部に流出し、悪用されるケースが報告されています。このような行為は企業に多大な損害をもたらします。
👉出先で業務するため許可なくデータを持ち出す
業務の効率化を図るために、従業員が会社のデータを自分のデバイスに無許可で持ち出すケースが見られます。たとえば、出先でのプレゼンテーションや顧客とのミーティングに使用するためにデータを持ち出し、後にそのデバイスが紛失や盗難に遭うと、情報漏洩のリスクが一気に高まります。特に、適切なセキュリティ対策が取られていない個人デバイスでの作業は、大きなリスクを伴います。
👉競合他社への転職時に、前職のデータを持ち出す
転職に伴い、前職で得たデータやノウハウを競合他社に持ち出すケースは後を絶ちません。特に営業関連のデータや顧客情報は、競合企業にとって価値が高く、不正な手段で持ち出されることがあります。このような行為は、企業にとって重大な損失を引き起こすだけでなく、法的な問題にも発展します。実際に、営業機密を持ち出した従業員が訴訟を起こされた事例も報告されています。
👉会社や特定の人物に対しての復讐目的で持ち出す
従業員が会社や上司に不満を抱いている場合、復讐のためにデータを持ち出すことがあります。このような行為は、感情的な理由に基づいて行われることが多く、情報漏洩が意図的に発生するケースも少なくありません。たとえば、解雇された従業員が、個人情報を外部に漏洩させるなどの報復行為に出た事例がありました。このような行為は、企業に深刻なダメージを与えるとともに、法的措置を求められることになります。
実際に起きた不正持ち出しの事例
| 日付 | 場所 | 企業名 | 概要 |
|---|---|---|---|
| 2023年11月 | 委託事業者所属社員が不正なデータ持ち出し | 東京都 ※引用:公式HP | 東京都は2023年11月24日、都がパスポート発給の窓口業務を委託事業者に所属する中国籍の女性が、業務上知り得た個人情報を伏せんに書き写し不正に持ち出した疑いで、警視庁に逮捕されたと公表した。 東京都によると、逮捕された中国籍の女性は東京都の委託を受けていた株式会社エースシステムに所属する従業員で、2020年5月~2023年3月にかけパスポートセンターに勤務していた。ところが、中国籍の女性は業務中に知り得た個人情報を付せんに書き写し、不正に持ち出したことが、情報提供により判明した。 東京都が警察の照会を受け確認したところ、中国籍の女性は旅券発給申請書、戸籍謄本等に記載された氏名、住所、電話番号等など、合計1,920名分の情報を持ち出した疑いが持たれている。書き写すだけでなく録音やコピーなども利用していた可能性があるとのこと。 なお、公表時点で犯行の動機や中国政府の関与などは不明。持ち出された情報が第三者に流出したと見られる事態も確認されていないとのこと。 |
| 2024年8月 | 元従業員による不正なデータ持ち出し | 東急リバブル株式会社 ※引用:公式HP | 東急リバブル株式会社は2024年8月7日、同社に所属していた従業員が2万5,406名の個人情報を記録した社内資料を不正に持ち出し、ダイレクトメール送付に利用していたと発表した。 同社によると、漏えいした資料は不動産登記簿をベースとしたもので、港区の不動産所有者2万5,406名の氏名や住所、所有物件名などが記録されていた。 発覚後、同社が元従業員のパソコンを調査したところ、情報はダイレクトメール送付に不正利用されていたことが判明。 同社はこのため、本件データの削除されたこと、元従業員以外への外部流出の履歴がないことを確認した。 |
| 2024年8月 | 出向社員による不正なデータ持ち出し | 株式会社FPパートナー ※引用:公式HP | 株式会社FPパートナーは2024年8月15日、東京海上日動火災保険株式会社の出向者2名が、FPパートナーが保有する他社保険契約者の情報約3万5,000件を東京海上社に漏えいしていたと発表した。 FPパートナー社によると、出向者らは2021年3月~2023年10月、東京海上社とFPパートナーを含む代理店が使用する業務システムを利用して、他社保険契約者の契約者名や住所、電話番号、保険料や契約先などの情報を取得。これを複数回にわたり東京海上社に送信していたとのこと。 FPパートナー社はメール送信時の漏えいを防ぐため、セキュリティシステムを導入したが、出向者らはセキュリティが及ばない機能を用いて送信を継続していた。漏えいした情報は、競合他社の販売シェアの確認などに使用され、外部への漏えいなどは確認されていないとのこと。 |
不正持ち出しの防止策
👉会社の機密情報やデータの持ち出しができないよう環境を構築する
不正持ち出しを防ぐための最も基本的な方法は、データの持ち出しを物理的に不可能にすることです。たとえば、USBポートを無効化したり、データが持ち出せないようにネットワークで制限をかけることが有効です。さらに、社内のデバイスにのみデータを保存するようにし、個人のデバイスにデータを保存することを禁止することで、持ち出しリスクを低減できます。
👉アクセス制限を設定するなど、運用ルールを徹底する
データへのアクセス権限を厳密に管理することも、不正持ち出しの防止に役立ちます。特定の従業員のみが機密情報にアクセスできるようにし、またそのアクセス履歴を記録することで、不正行為を未然に防ぐことができます。さらに、定期的なセキュリティチェックやアクセス権限の見直しを行うことで、セキュリティの強化を図ることが可能です。
👉秘密保持契約を締結する
従業員との間に秘密保持契約(NDA:Non-Disclosure Agreement)を締結することは、不正持ち出し防止策の一環として有効です。従業員が機密情報を外部に漏洩した場合、法律に基づく処罰や賠償責任を負うことになるため、抑止効果があります。特に、退職時にこの契約を再確認し、前職の情報を持ち出すことの違法性を強調することで、退職後の不正持ち出しを防ぐことができます。
👉全従業員のメール送受信履歴・データアクセス履歴を残す
全従業員のメールやデータアクセス履歴を記録しておくことは、不正行為を未然に防ぐために非常に効果的です。従業員がどのデータにアクセスしたか、どのようなメールを送受信したかを定期的に監視することで、不審な行動を早期に発見することが可能になります。ログを定期的に確認し、異常な行動があった場合には迅速に対応する仕組みを整えておくことが重要です。
情報の不正持ち出しは、企業に多大な影響を与える可能性がありますが、適切な対策を講じることでそのリスクを大幅に軽減することが可能です。従業員による不正なデータ持ち出しを防ぐためには、アクセス制限や履歴の管理、従業員教育の徹底など、さまざまな対策を組み合わせることが求められます。また、秘密保持契約の締結やログのモニタリングなどの法的・技術的な対策も忘れてはなりません。情報セキュリティに対する意識を高め、継続的に対策を講じることが重要です。
アクトのサイバーセキュリティ対策支援
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。また、IT導入補助金を活用して導入することも可能です。
ご興味がございましたらお気軽にお問い合わせください。
