離職予定の社員が社内の情報を持ち出し、逮捕されるニュースをよく耳にします。情報持ち出しを防止するには、どんな対策を施せばよいでしょうか。(金属プレス製品製造業)
退職者が機密情報(内部資料)を持ち出す、「手土産転職」に関する事件が報道される機会が増えています。実際、警察庁の発表によると、過去5年間の検挙事件数は増加しています。
ただ、大手企業での情報持ち出しは、ニュース等で取り上げられる一方、中小企業では退職社員の情報窃取に気づきながらも証拠がなく、泣き寝入りせざるを得ないケースも発生しています。情報の価値は今後ますます高まるため、こうした事故は増えていくことでしょう。退職者が情報を持ち出す主な手口には、以下の3つがあります。
- USBメモリ等へ保存
最も簡単な方法。アクセス可能なファイルサーバ等の情報を盗取 - 業務メールをGmailやYahooメール等の個人メールに転送
機密情報と知りながら転送する場合や、メールソフトの転送機能を利用して全てのメールを自動転送している場合は特に危険 - クラウドサービス経由の持ち出し
私的に利用しているDropbox等のデータ保存サービスに、会社のデータをアップロードして窃取。会社がクラウドサービスを利用している場合、退職後も情報にアクセスし放題になるケースも
退職者の情報持ち出し行為の放置により最も避けるべきは、知らないうちに業績が徐々に低下することです。例えば、顧客情報が持ち出されて顧客が競合他社に流出したり、原価情報が持ち出されて失注したり、新規事業計画が漏れて他社により先んじてサービスインされたりする事態です。時間とコストをかけて蓄積したノウハウが、社員の退職により一瞬にして他社の手に渡ってしまうことも、ノウハウの移転という点で間接的な損失になります。
ログ管理ツールの活用を
内部不正対策は「不正のトライアングル」で考えることが基本です。不正のトライアングルとは動機、機会、正当化という3条件がそろうと、不正が起こりやすいメカニズムを意味します。これを手土産転職に当てはめると、動機は自身の次のポジションを有利にしたい心理、機会は情報窃取が簡単に行える環境、正当化は良心の呵責を乗り越えてしまうことといえます。
動機や正当化は会社として制御が難しい領域ですが、機会については対策が可能です。例えば、社員貸与パソコンへの「ログ管理ツール」の導入が挙げられます。誰が、いつ、どんな情報を、どう利用したか等の操作履歴を取得できるため、見られているという事実が不審な行動の抑制につながります。メールも、履歴を追跡できる監査機能のあるシステムが有効です。
また、USBメモリ等が使えないよう、パソコンをシステム上でロックすることも効果的です。必要時は社員の申請により、ロックを一時的に解除します。ログ管理ツールを併用すれば、USBメモリへのデータの保存履歴が残り、情報窃取等の証拠になります。
クラウドサービスは、パソコンに証明書を入れ、証明書のないパソコンの利用を制御することが有効です。退職時、貸与したパソコンを返却してもらえば、個人のパソコン等からアクセスできなくなります。指定したクラウドサービス以外の利用を原則禁止にする「CASB(キャスビー)」という仕組みも有効です。Dropbox等の私的利用を禁止できるため、クラウド経由での情報漏えいリスクを防げます。