Written by 伏見みう
エンジニアとしてEVやHEV、産業用設備の研究開発職に従事していた。退職後は北欧デンマークで1年過ごし、現地の風力発電設備などを見学。現在はフリーランスとして活動している。
目 次
会社のデータ持ち出しはどんな状況で起こる?よくある4パターン
会社のデータの不正持ち出しで、よく用いられる手口>
会社のデータ持ち出しによる、企業への被害リスクとは?
会社のデータ持ち出しで、処罰を受ける可能性のある法律
国内で発生した、データ持ち出しによる被害事例
会社のデータ持ち出しによる情報漏洩を防ぐ、4つのセキュリティ対策
会社のデータ持ち出し対策なら、「LANSCOPE エンドポイントマネージャー クラウド版」におまかせ
まとめ
企業の機密情報が流出する要因の一つに、従業員による不正なデータの持ち出しがあります。
悪意の有無を問わず従業員による機密情報の流出が発生すれば、企業側は事業優位性の低下、顧客の信頼の失墜、損害賠償の支払い、営業活動の停止、といった様々な被害を受けることとなります。またデータを持ち出した従業員個人も、刑事罰や懲戒処分、損害賠償の支払いなどが科される可能性があります。
従業員がデータを不正に持ち出す動機には、以下のように様々なパターンが見られます。
- 退職者が転職する際、前職のデータを持ち出す
- 個人で金銭を得るため、データの不正利用や売買をする
- 社外で仕事をするため、許可なくデータを持ち出す
- 会社や社員への復讐目的で、データを不正利用する
企業・組織は日頃から十分な対策に取り組み、従業員のデータ持ち出しによる情報漏洩リスクを防止しなければなりません。本記事では、従業員が機密情報などを持ち出した際のリスクや主な手口、国内におけるデータ持ち出しの被害事例などをご紹介します。
▼この記事をまとめると
- 企業の情報漏洩の要因に「従業員によるデータの持ち出し」がある
- データ持ち出しの動機は、従業員が転職先で活用するため、金銭を得るため、企業への復讐目的など、いくつかのパターンがある
- データ持ち出しに使われる主な媒体に「USBメモリ、外付けハード」「スマートフォン」「電子メール」「クラウドストレージ」などがある
- データを持ち出して機密情報が流出すると、個人情報保護法や不正競争取締法に抵触し、刑事罰や懲戒処分が科せられ、個人・企業ともに損害賠償が請求される場合もある
- データ持ち出しを防ぐためには、社内ポリシーの定期的な見直しや周知、権限の最小化、操作ログの取得などが有効
また、エムオーテックス(MOTEX)の提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」では、わかりやすい操作ログや、紛失・盗難対策の機能により、従業員のデータ持ち出しが招く情報漏洩リスクを低減することが可能です。
「退職者による情報漏洩防止」に関する、お役立ち資料もご用意しました。ぜひご活用ください。
会社のデータ持ち出しはどんな状況で起こる?よくある4パターン
従業員が「データの持ち出し」を犯す背景は、「自身の利益追求」や「復習」を目的としたケース、あるいは「リテラシーの低さ」に起因する場合など、さまざまです。
▼「データ持ち出し」が発生する“よくある4パターン”
- 退職者が競合他社に転職する際、前職のデータを持ち出す
- 従業員が金銭を得るため、データの不正利用や売買をする
- 従業員が社外で仕事をするため、許可なくデータを持ち出す
- 従業員が会社や特定の人物に不満があり、復讐目的で行う
1. 退職者が競合他社に転職する際、前職のデータを持ち出す
近年、雇用の流動化により、転職者も増加しています。従業員が競合他社へ転職する際、転職先で自身のスキルや能力をアピールするため、前職の機密情報や顧客リストなどのデータを持ち出すケースが、多数報告されています。「手土産転職」とも呼ばれます。
退職者は転職直前、サーバーや自身の業務用PCに保存された機密データを不正に持ち出し、これを活用することで成果を上げたり、不正なデータだと分かった上で転職先に情報提供したりする事例があります。
2. 従業員が金銭を得るため、データの不正利用や売買をする
企業が保有する機密情報は、競合他社やダークウェブ上で、高額で売買できることがあります。このため、企業戦略や技術情報、顧客リストなどの機密情報を、第三者に販売することを目的に、持ち出すケースが報告されています。
また、従業員が自身の副業などの個人的なビジネスで機密情報を活用するため、データを持ち出す場合もあります。
3. 従業員が社外で仕事をするため、許可なくデータを持ち出す
従業員が企業の機密情報に関するポリシーやセキュリティ規定を把握できていないことで、不適切な手順で社外にデータを持ち出してしまうケースがあります。
そもそも持ち出し禁止の情報を社外に持ち出す、あるいはUSBメモリなどの記憶媒体でデータを持ち出し、出先で紛失してしまう等の場合が想定されます。不正利用ではなく業務遂行を目的にデータを持ち出すこともあるため、情報の取り扱いやセキュリティ教育の徹底が必要となります。
4. 従業員が会社や特定の人物に不満があり、復讐目的で行う
会社や特定の人物へ恨みがあり、復讐目的でデータを持ち出すパターンもあります。
このケースでは、従業員が「給与や残業、福利厚生などの労働条件に不満がある」「昇進・昇格できない」「上司や同僚とうまくいかない」など、職場や人間関係に不満があり。会社や個人に損害を与えるために機密データを持ち出します。
不正に持ち出されたデータは、ダークウェブや競合他社で売買される、あるいはメディアへ不正に流出される場合などが多いです。
会社のデータの不正持ち出しで、よく用いられる手口
従業員がデータを不正に持ち出す手口として、下記のような「媒体」がよく用いられます。
- USBメモリ、外付けハード
- スマートフォン、タブレット
- 電子メール
- クラウドストレージ
- スクリーンキャプチャ
・USBメモリ、外付けハード
機密情報が保存されたサーバーやファイルにアクセスし、USBメモリやSDカード、外付けハードディスクなど、外部記録メディアを取り付け、データを持ち出す。
・スマートフォン、タブレット
機密ファイル、ホワイトボードに書かれた会議内容、新製品や試供品などを、スマートフォンやタブレット端末で写真撮影したり、文章をコピー&ペーストしてドキュメントに保存したりすることで、外部に持ち出す。
・電子メール
機密情報を含むファイルを添付し、私用の電子メールアドレスへ送信することでデータを持ち出す。
・クラウドストレージ
DropboxやGoogle Drive、OneDriveといった、外部のクラウドストレージサービスに機密情報をアップロードし、外部からアクセス可能な状態にして、データを持ち出す。
・スクリーンキャプチャ
外部記録メディアやオンラインストレージサービスが使えないとき、機密情報が表示された画面をキャプチャし、画像ファイルとして保存することで外部に情報を持ち出す。
会社のデータ持ち出しによる、企業への被害リスクとは?
従業員が不正にデータを持ち出し、組織の重要データが流出すると、企業は以下のようなリスクを負う可能性があります。
- 機密情報が漏洩する
- 法律に違反し、刑事罰や損害賠償の責任を負う
- 顧客からの信頼を得る
- 業務の中断や停止に追い込まれる
1. 機密情報が漏洩し、競合優位性を失う
従業員が組織の機密情報を不正に持ち出し、データが競合他社に流出・悪用されれば、企業の競争優位性を大きく損なう可能性があります。
機密情報の例として、製品開発計画や財務情報、顧客リスト、特許情報、産業技術などがあげられます。
2. 法律に違反し、刑事罰や損害賠償の責任を負う
従業員のデータ持ち出しによって法律に違反し、刑事罰や損害賠償の責任を負う可能性があります。
例えば、顧客の個人情報が流出すると「個人情報保護法」、競合他社に機密情報が漏洩し、市場での公平性が保てなくなれば「不正競争取締法」などに抵触する可能性があります。
法的な責任を問われた場合、従業員個人に対して懲役刑もしくは罰金、法人に対しては罰金刑といった刑事罰を受ける恐れがあるほか、訴訟費用が発生する可能性もあります。
3. 顧客からの信頼を失う
情報漏洩事故が発生し、企業のセキュリティ体制の脆弱さが露呈することは、顧客からの大きな信頼低下を招きます。「顧客情報の流出」であれば、なおさらでしょう。
一度信頼が失墜すると、新規顧客の獲得が難しくなるのは勿論、既存顧客も離れてしまう可能性があります。失墜した信頼を回復するには膨大な時間とコストがかかり、事業継続が困難となる可能性もあります。
4. 業務の中断や停止に追い込まれる
データが漏洩すると、原因調査や二次・三次被害を抑えるため、システムや工場を停止させることがあります。業務が一時中断されれば、利益損失が生まれたり、生産性の低下やサービス提供の遅延を招いたりする可能性があります。
会社のデータ持ち出しで、処罰を受ける可能性のある法律
データの不正持ち出しは、場合によって「法律違反」に該当し、データを持ち出した社員本人・社員の所属する企業が、何らかの処罰を受ける可能性があります。
今回は処罰のリスクがある、「1、個人情報保護法」「2.不正競争防止法」について、ご説明します。
1. 個人情報保護法
企業はサービスの提供や業務の効率化のため、顧客や従業員の氏名や住所、性別といった個人情報を活用します。個人の権利や利益を守るため、企業や公的機関の個人情報の取り扱いについて定めた法律を、「個人情報保護法(正式名称:個人情報の保護に関する法律)」といいます。
従業員が自己の利益、もしくは競合他社など第三者に不正な利益を提供する目的で、企業が有する個人情報を不正に入手・提供すれば、個人情報保護法に抵触します。
従業員個人は1年以下の懲役、または50万以下の罰金が課せられる可能性があり(個人情報保護法179条)、データを持ち出された企業にも、刑事責任が問われる可能性があります。法人であれば1億円以下の罰金が課せられることとなります(個人情報保護法184条1号)。
参考:個人情報保護 – 総務省
2. 不正競争防止法
「不正競争防止法」とは、事業者の営業上の利益を保護し、公正な競争を確保する目的で、不正競争の防止、損害賠償に関する措置などを取り決めた法律です。
企業の研究開発や営業活動の過程で得られた機密情報の、不正取得、活用、第三者へ開示する行為などは、すべて「営業秘密の侵害」として罰則を受けます。「営業秘密」とは、①秘密として管理されている生産方法・販売方法や、その他の②事業活動に有用な技術上・営業上の情報であり、③公然と知られていない情報、のことです。
営業秘密を不正に活用し、不正競争防止法違反に該当すると、個人であれば10年以下の懲役もしくは200万円以下の罰金、もしくはその両方が課せられます。また法人であれば5億円以下の罰金が科せられる可能性があります。
国内で発生した、データ持ち出しによる被害事例
実際に国内で発生した、従業員による「データ持ち出し」の被害事例をご紹介します。
1. 中学教諭がUSBを不正に持ち帰り、約1万人の情報を紛失(2023年)
| 企業 | 市立中学校 |
|---|---|
| 被害時期 | 2023年7月 |
| 持ち出したデータ | 1万人以上の生徒の個人情報 |
| 被害内容 | 自宅で仕事をするために私物のUSBメモリに生徒の個人情報を保存し、持ち出し。 USBメモリをカバンに入れたまま紛失し、生徒1万人以上の個人情報が流出した可能性。 |
2023年、市立中学校の教諭が教材研究を自宅でする目的で、約1万名の生徒の個人情報が入ったUSBメモリを持ち出し、紛失する事件が発生しました。教諭は、USBメモリに個人情報が保存されている認識がなかったとのことです。
紛失したUSBメモリは教諭の私物で、2019~2022年までに勤務した3つの中学校に在籍した、1万人以上の生徒の個人情報(氏名・生年月日・一部科目の成績やテストの解答用紙)が含まれていました。
教諭はUSBメモリをカバンに入れたまま同僚と食事をし、翌日紛失が発覚したと説明しています。市の教育委員は私物の記録媒体へ個人情報を保存すること、および郊外に持ち出しすることを禁止しており、教諭への懲戒処分が検討されています。
2. 大手総合商社の社員、元職場から約5万件のファイルを持ち出し(2023年)
| 企業 | 大手総合商社 |
|---|---|
| 被害時期 | 2023年10月 |
| 持ち出したデータ | 前職の営業機密を持ち出し、競合他社へ転職後に活用。 |
| 被害内容 | 転職直前に秘密保持契約を結んでいたにも関わらず、元同僚のIDとパスワードを使って約5万件の営業機密データを持ち出した。 |
2023年、東京地検が大手総合商社に勤める社員を、転職元からデータを不正に持ち出したとして、「不正競争防止法違反」で起訴しました。社員は、転職元・転職先の両社と秘密保持の誓約書を交わしていたにも関わらず、約5万件の営業機密を持ち出したとのことです。
起訴された社員は転職直後、「海外出張先の飲食店リストが欲しい」からと元同僚に社員ID・パスワードを聞き出し、データベースへアクセスして、新製品開発に関わる提案書や利益見込みをまとめた採算表など、機密ファイルを不正に取得しました。
データの持ち出しの動機は転職先で活用できるからとのことで、転職先の社内には共有されていなかったとのことです。社員は懲戒解雇の処分を受け、転職元企業は「厳粛に受け止め、社員教育を再徹底したい」とコメントしています。
会社のデータ持ち出しによる情報漏洩を防ぐ、4つのセキュリティ対策
最後に、社員のデータ持ち出しによる情報漏洩事故を防ぐため、企業・組織が取り組みたい「基本のセキュリティ対策」について、ご紹介します。
- アクセス権限を最小化する
- データの利用履歴・アクセスログを監視する
- USBメモリやSDカードなど、外部記録メディアへのデータ転送を制限する
- 従業員へデータ保護に関するポリシーを改めて周知する
1. アクセス権限を最小化する
データ持ち出しの有効な1つ目の対策は、機密情報が保存されたサーバーやファイルの、アクセス権限を最小化することです。
「幹部陣に限定してアクセス権を付与する」「特定の部署のみ権限を許可する」など、最低限のアクセス権限にとどめることで、機密情報の漏洩リスクを軽減することが可能です。また、データにアクセスできる人材が限定されるので、情報が持ち出された場合も、責任の所在や犯人を特定しやすくなります。
退職者に権限が残っていたり、社外メンバーがファイルを閲覧できてしまったりするケースも見受けられるため、アクセス権限の内容は定期的に見直すようにしましょう。
2. データの操作ログを保存・確認する
2つ目の対策として、日頃から従業員の操作履歴やアクセスログを取得することがあげられます。
万が一、情報の持ち出しがあった場合も、操作ログを取得することで、機密情報が保存されたファイルやサーバーに、「誰が」「いつ」「どの端末から」アクセスしたかなど、履歴を一覧で確認することが可能となるためです。
また「ログを取っている」ことを従業員に周知することで、不正行為を抑止する効果も期待できます。
3. USBメモリやSDカードなど、外部記録メディアへデータ転送を制限する
USBメモリやSDカードなど外部記録メディアの使用を、あらかじめ制限することも1つの対策です。
例えば、社内のPC端末に外部装置を接続できない設定にする、外部記録メディアの使用・持ち込みを禁止するといった処置が有効です。
同様に、添付ファイルのあるメールの送信を禁止することも、データ持ち出しを防ぐのに有効です。
4. 従業員へデータ保護に関するポリシーを改めて周知する
従業員が、データ持ち出しに関するルールをそもそも理解できていないことで、事故に発展した事例も多く報告されています。
よって企業は、機密情報の取り扱いや、社外で業務を遂行する際のデータ扱い方について、厳密なルールを定め、従業員に周知するための取り組みを行う必要があります。ルールを社内に浸透させるため、セキュリティ教育の定期的な実施も重要です。
あわせて、データ持ち出しをした従業員への処罰、被害リスクについても明らかにすることで、従業員のセキュリティ意識向上と不正抑止を図ることが期待できます。
会社のデータ持ち出し対策なら、「LANSCOPE エンドポイントマネージャー クラウド版」におまかせ
内部不正や人的ミスによる、従業員の不正なデータ持ち出し対策なら、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」が最適です。
PCはもちろん、スマートフォンやタブレットといったモバイル端末の情報漏洩対策も、一元的に管理できます。
▼情報漏洩対策に役立つ、機能の一例
- PCの「操作ログ」を取得し、最大5年分保存可能
- PC・スマホの利用状況を「レポート」で見える化
- 従業員の不審なファイル持ち出しや操作は、アラートで管理者へ通知
- 万が一の紛失時に役立つ、リモートロック・リモートワイプ
- デバイスの位置情報の自動取得
など
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の操作は、アラートで管理者に通知されるため、不正行為の早期発見・インシデントの防止が可能です。
また万が一、従業員が社用端末を紛失した場合も、遠隔で画面ロックや端末の初期化を行えるため、第三者に情報を閲覧されるリスクも防げます。
LANSCOPE エンドポイントマネージャー クラウド版の詳細は、以下のページよりご覧ください。
まとめ
本記事では従業員のデータ持ち出しによるリスクやそのパターン、抵触する可能性のある法律や防止方法について解説しました。
▼この記事をまとめると
- 企業の情報漏洩の要因に「従業員によるデータの持ち出し」がある
- データ持ち出しの動機は、従業員が転職先で活用するため、金銭を得るため、企業への復讐目的など、いくつかのパターンがある
- データ持ち出しに使われる主な媒体に「USBメモリ、外付けハード」「スマートフォン」「電子メール」「クラウドストレージ」などがある
- データを持ち出して機密情報が流出すると、個人情報保護法や不正競争取締法に抵触し、刑事罰や懲戒処分刑事罰や懲戒処分が科せられ、個人・企業ともに損害賠償が請求される場合もある
- データ持ち出しを防ぐためには、社内ポリシーの定期的な見直しや周知、権限の最小化、操作ログの取得などが有効
「退職者による情報漏洩防止」に関する、お役立ち資料もご用意しました。ぜひご活用ください。
関連する記事
