「退職者による情報持ち出し」とは?脅威や対策について解説
今回はIT分野における「退職者による情報持ち出し」の脅威について見ていきたいと思います。退職予定者が知識や情報を持ち出し、あるいは退職者が在籍社員をそそのかす事態が現実に存在します。その詳細と対策について詳しく解説します。
はじめに
情報持ち出しとは、企業が所有する業務に関する情報や技術、顧客データ、経営戦略などを含む機密情報が、許可なく外部に持ち出す行為を指します。そして、そのなかでも特に警戒すべきなのが「退職者による情報持ち出し」です。
退職者による情報持ち出しのターゲットは、その人が在籍していた期間中に得た知識や情報、または物理的な資料や電子データなど多岐にわたります。そして。持ち出されたものが電子ファイルであれ、紙のドキュメントであれ、情報は情報であり全てが財産です。それを許可なく持ち出されることは、企業にとって大きなリスクに繋がります。
加えて、退職者による在職者のそそのかしにも警戒すべきです。在職中のコネクションを悪用して情報を引き出そうとするケースもあるということです。
この問題は「内部不正」の一例で、なかなか対策が難しい面もあります。なぜなら、情報を取り扱うのは組織に所属するメンバーであるため、権限内での行動を100%制御することは難しいからです。しかし、これらの脅威が組織に与える影響は大きく、企業の競争力低下や、法的な問題、ブランドイメージの損傷につながる恐れがあるため、何らかの対策は必要になります。
注目されている背景
近年のIT環境の急速な進化と、それに伴う働き方の変化は、企業の情報管理に大きな影響を与えています。データのデジタル化とネットワークの高速化が進むことで、情報は以前よりも手軽かつ大量に取り扱えるようになりました。そして、この変化により、機密情報が外部に流出しやすくなったという側面もあります。
1990年代から2000年代初頭にかけて、インターネットが普及し、情報は「紙に印刷されロッカーに保管されている」といった物理的な制約から解放されました。それにより、情報の活用は容易になり、働く場所がオフィスだけでなく、自宅やカフェなどにも広がりました。この働き方の変化は、情報の価値を高めたのと同時に、情報セキュリティの問題を複雑化させました。
2010年代に入ると、クラウドコンピューティングの普及により、更にどこからでも業務に必要な情報にアクセスできるようになりました。その一方で、情報の管理はより困難になり、例えば、ID管理が不十分であった場合、退職者が以前にアクセスできた情報に引き続きアクセスできてしまうリスクも生まれました。
新型コロナウイルスのパンデミックが起きた2020年代には、リモートワークや在宅勤務が一般化し、働き方は大きく変わりました。企業の情報管理はさらに更に複雑化し、情報持ち出しのリスクはより注目されるようになりました。
また、現代の雇用形態も、退職者による情報持ち出しの問題はより深刻化しています。これまでの「終身雇用」の考え方が薄れ、就労の流動性が高まる中で、人々は企業間を頻繁に移動するようになりました。このような状況は、情報の持ち出しのリスクに拍車をかけています。退職者が新しい職場に移動する際、前の職場で得た情報を持ち出す可能性があるからです。多くの業界では競争が激化しており、業界内での情報の流動性が高まると、企業秘密が競合他社に渡るリスクも増大します。
このように、IT環境の変化と並行して、社会全体の働き方や雇用の流動性の変化も、退職者による情報持ち出しの問題をより深刻なものにしています。この問題を理解し対策するためには、これらの背景を考慮に入れることが重要となります。
インシデント事例
退職者による情報持ち出しは、企業の財産である様々な情報がターゲットとなります。その中で特に狙われやすい情報と、それらが持ち出される事例を想定してみましょう。
顧客名簿
あるA社の退職者が、自身の顧客名簿をコピーし、新たに勤め始めた会社での営業活動に利用しました。顧客名簿は、企業の資産であり、ビジネスを拡大させるための源泉です。そのため、新たな雇用先での営業活動に直接役立つため、最初に狙われやすいのです。結果として、A社の貴重な顧客情報が流出し、売上が大幅に減少する被害が発生しました。
ソースコード
大手IT企業のB社で、退職予定者が開発中の新製品のソースコードをUSBメモリにコピーして持ち出す事件が起きました。ソースコードは商品の大元であり、特にメーカー企業においてビジネスを左右します。新たな雇用先で開発作業を進める際の参考や、競合他社に対する情報として利用される可能性があるためです。ソースコードから模倣製品が作られ安価で市場に投入。B社はビジネスの多くを失いました。
経営戦略
ある製造業のC社では、経営企画室の社員が会社の長期的な経営戦略を持ち出し、新たに勤めた競合他社でその戦略に対して先手を打たれてしまいました。経営戦略は企業の将来を左右する重要機密情報です。これらの情報が競合他社の手に渡ると、その企業の競争優位性が損なわれる恐れがあります。
技術情報
建設業のD社では、開発部の社員が独自の建築技術に関する情報を持ち出し、その技術を新たに開業した会社で利用しました。技術情報は特定の技術が競争力となる業界では特に重要で、新製品の開発や既存製品の改良に役立つため、狙われやすいのです。その結果、旧雇用先は競争力を失い、大きな損害を受けました。
人事情報
E社の営業部長が退職する際、同僚の在職者を新たに立ち上げた会社に引き抜くために、人事部から社員の給与や評価、昇進履歴などの人事情報を持ち出しました。人事情報は、優秀な社員を引き抜くためや、企業の組織体制を知るために利用される可能性があります。結果、社員の流出が発生し、元の会社に大きな損失を被りました。
対策方法
企業が退職者による情報持ち出しの脅威から自身を守るためには、人的対策、物理的対策、そしてシステム的対策など、多角的な対策が必要です。以下にそれぞれを詳しく解説します。
人的対策
これは教育と啓発が中心となります。すべての社員が企業の情報を適切に扱い、情報漏洩のリスクを理解していることが重要です。定期的な情報保護に関するトレーニングや、退職前のコンプライアンス教育、機密情報保護に関する社内規則の明確化などが考えられます。
物理的対策
重要な情報を保管する場所へのアクセスを厳重に管理し、情報が物理的に持ち出されることを防ぐ対策も必要です。セキュリティカードやバイオメトリクス認証などを利用して、不正なアクセスを防ぐことが可能です。
システム的対策
これは情報管理のシステムを強化することです。情報へのアクセスを必要な社員のみに制限し、アクセスログを管理・監視することで、不正な持ち出しを検知することができます。また、ログの収集だけでなく、それらを可視化し、定期的に分析することで、異常なアクセスや情報の流出を早期に発見することが可能になります。更には、データの暗号化や、USBメモリへのデータ出力を制限するなどの技術的な対策も重要です。
これらの対策は、単独で行うよりも、複合的に行うことで、情報持ち出しのリスクをより低減することが可能です。退職者による情報持ち出しは予測しづらいため、事前の対策が重要です。
対策するうえでの注意点
情報持ち出しの対策を行う際には、以下のような注意点や課題が存在します。これらの課題に対し、解消や軽減するアプローチも同時に考えることが重要です。
プライバシー
個人情報の取り扱いや、特定の社員の行動を過度に監視することはプライバシー侵害となる恐れがあります。そのため、法律や企業の倫理規定に基づいた適切な範囲での対策が求められます。特にシステム的対策を行う際は、この点に注意する必要があります。
管理・運用面
何らかの対策を行うためには、それを運用・管理する体制が必要です。しかし、小規模な企業などでは専門的なスキルを持つ人材がいない場合があります。その場合は、外部の専門機関に依頼する、または適切なトレーニングを行って内部で運用・管理できる体制を整える必要があります。
費用面
対策を強化することはコストを伴うため、費用と効果を適切にバランスさせることが重要です。費用対効果を考慮しながら、最もリスクを低減できる対策を選択する必要があります。
通常業務との兼ね合い
セキュリティ対策が強すぎると、通常の業務に支障をきたすこともあります。対策は適切なレベルで行い、業務効率を維持することも重要です。
これらの課題に対しては、経営層と情報管理部門が協力して、組織全体で解決策を考え、実施することが求められます。情報持ち出しのリスクを最小限に抑えつつ、組織の運営を円滑に進めるバランスが重要となります。
まとめ
本記事では、IT分野における「退職者による情報持ち出し」の脅威について詳しく解説しました。デジタル化と働き方の変化、そして雇用の流動性の高まりに伴い、企業が直面する情報持ち出しのリスクが高まっていることを確認しました。そのような状況において、顧客名簿、ソースコード、経営戦略、人事評価などの情報が、退職者によって持ち出され、企業の競争力に悪影響を及ぼす可能性があることを具体的な事例を通じて示しました。
対策としては、人的対策、物理的対策、そしてシステム的対策の3つが考えられ、それぞれに具体的な手法が存在します。検討に際しては、対策の実施にはプライバシーの観点、管理運用の問題、費用面、通常業務との兼ね合いも考慮しましょう。
退職者による情報持ち出しのリスクは、企業が適切な対策を講じることで大幅に低減できます。そのためには、法令遵守を確認しながら、プライバシーを尊重し、そして業務効率を維持するというバランスを見極めつつ、適切な対策を選択し、実施することが求められます。これからも、情報セキュリティの環境は変化し続けるでしょう。その中で企業が持続可能な成長を遂げるためには、情報持ち出しのリスク管理が重要となります。
関連サービスはこちら
働き方を可視化し、セキュリティ対策・業務改善を支援するレポートサービス
Pickup ピックアップ
-
イベント報告
【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果に...
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...