内部からの情報漏洩！退職者による流出を防ぐ２つの手段とは？

企業にとって情報漏洩は事業継続を揺るがしかねない大事件です。

会社内には取引先や顧客の重要情報、社内の開発情報、お客様の個人情報などがあります。これらの情報が万が一漏洩してしまった場合、「社会的信用の失墜」「損害賠償請求」に発展してしまう事は想像に難くありません。

そうならないためにも情報漏洩のリスク対策は必要不可欠となります。

しかし今や情報漏洩は様々な要素、シチュエーションで起こりえるものとなっています。

例えばIoT機器がインターネットに繋がっているという認識が低いことから脆弱性が放置され漏洩の温床となることや、不審なWebサイトにアクセスしてしまったことで起こるもの、PCやモバイルデバイスの紛失から起こるもの、退職者が機密情報や個人情報を不正に持ち出したことから起こるものなど、例をあげれば限りがありません。

今回は退職者による情報の持ち出しからおこる情報漏洩の対策方法についてお伝えします。

退職時のデータ持ち出しはバレる！その事例

元社員が競合企業に転職する際、機密情報を不正に持ち出した事件があったことは記憶に新しいのではないでしょうか。

あの事件は、退職後に返却されたPCにデータ持ち出しの痕跡が残っていたから発覚したもので、少し知識のある人がその痕跡すら消していた場合、事件が発覚することすらなかったかもしれません。

こういった情報漏洩は、一部の大企業などでのみ起こることだと考えている人もいますが、実際はそうではなく、中小企業の約4割が経験している調査結果もありいつどこででも起こりえるものです。

また、従業員側の視点で見ても、会社にバレなければ平気ということでもありません。退職者のデータ持ち出しは犯罪に該当します。

顧客情報や機密情報が記載されたデータやUSBメモリなどを持ち出した場合、刑法上の窃盗罪（刑法235条）に該当し罰せられる可能性があります。

顧客リストを名簿業者に販売したとして懲役2年6月及び罰金300万円の実刑判決を受けたという実例のほか、転職先で持ち出した顧客情報を使って営業活動を行い、1億円以上の損害賠償の支払いが言い渡されたケースもあるため、「バレなければ大丈夫」という安易な考えでデータ持ち出しを行うべきではありません。

退職者による情報漏洩を防ぐためには？

では一体どのように対策を立てればよいのでしょうか。

今回の事件は、元社員が転職する前に転職先に送ったメールに機密情報を添付することで情報漏洩が発生したものです。

従業員の転職というのはどこの企業にもあるものです。しかしながら、考えたくはありませんが中には次の企業に移るときに会社の機密情報や顧客情報を持ち出すような人も存在します。

そのため対策としてよくとられる方法は、退職が決まった段階で対象者のPCデータに関するアクセス権などの処理を実施することです。

アクセス権がなければ情報にアクセスできず、外にデータを持ち出すことができなくなります。

しかし、実状は退職が決まった段階でアクセス権を整理してしまっては退職までの間の業務に支障が出てしまうためタイミングが難しく、アクセス権のある期間にデータの持ち出しが可能であるため、対策としては十分なものではありません。

対策として推奨するのは操作ログと呼ばれるPCで行われた操作が記録される機能があるツールを利用することです。

万が一情報漏洩が発生した場合でも、該当ＰＣの操作ログを追うことでどのような経路で発生した漏洩なのかが特定でき、次の対策につなげることも可能になります。

また、日頃からログを取得していることをアナウンスすることで従業員のセキュリティ意識の向上効果も期待できます。

今回の情報漏洩事件は、メールの送信履歴に機密情報を送ったという痕跡が残っていたため発覚したもので、仮に痕跡が残っていなかった場合は情報漏洩が発生したことに気づくことができなかった可能性もありましたが、操作ログを予め取得するよう設定しておけば履歴を送信削除しても送信したという証跡を残しておくことができます。

また、操作ログ機能と併せて情報漏洩に繋がる行為が行われた段階でアラートを出す機能をもつツールもオススメします。理由としては、時期にかかわらず情報漏洩を行おうした際には発見、警告ができますので、情報漏洩を未然に防ぐことにもつながります。

これら二つの機能を持つツールを組み合わせることが、情報漏洩の未然防止、発生時の原因の追究から対策までを行える具体的な手段となります。