転職時に「情報持ち出し」横行、モラル頼りに限界
業務資料をスマホで撮影して外部に送信すると、どんな罪になる?(写真:nonpii / PIXTA)
近年、企業間において人材の流動が活発になり、転職や出向、業務委託など多様な働き方が一般化している。こうした変化は、組織に新たな知見やスキルをもたらす一方で、情報漏洩という重大なリスクもはらんでいる。
【一覧を見る】情報漏洩やその可能性がある際の法的措置
実際に、金融業界や製造業、IT企業などで、出向者や退職者が在籍中に得た内部情報を無断で持ち出し、出向元や転職先で活用していた事案が複数報告されている。ある事例では、業務資料をスマホで撮影して外部に送信したケースもある。
どのような目的があったかもポイントになるが、持ち出しの対象が、自身が業務で取り扱っていた個人情報データベース等に該当すれば、個人情報保護法の「個人情報データベース等不正提供等罪」が、営業秘密に該当すれば、不正競争防止法の「営業秘密の侵害罪」がそれぞれ成立する可能性があり、持ち出された企業や持ち込まれた企業の信用も大きく損なわれる。
技術では防ぎきれない「人的」リスク
情報漏洩と聞くと、外部からのサイバー攻撃を思い浮かべる人が多いかもしれない。しかし、IPA(独立行政法人情報処理推進機構)が毎年発表している2025年版の「情報セキュリティ10大脅威 2025[組織]」においても「内部不正による情報漏洩など」は第4位に位置づけられ、10位以内にランクインしたのは10年連続10回目となり、外部からのサイバー攻撃と並ぶ深刻な脅威とされている。
また、個人情報保護委員会の年次報告書によると、2024年度に発生した内部不正による個人データの漏洩事案は64件であり、企業にとって看過できない脅威となっている。
情報セキュリティ10大脅威2025[組織]
多くの企業では、ランサムウェア等のサイバー攻撃に備え、EDR(Endpoint Detection and Response)といった最新のセキュリティ対策製品を導入している。しかし、これらの製品は主に「外部からの侵入」や「プログラム等の不審な挙動の検知」に特化しており、内部者による情報漏洩対策には限界がある。
より高度な対策として、UEBA(User and Entity Behavior Analytics)による普段とは異なる振る舞いの検知や、DLP(Data Loss Prevention)による重要情報の持ち出し制御などがある。
とくに、DLPは、特定の情報が含まれるファイルを外部に送信しようとした際に、その内容を検査し、ポリシー違反(内部規制や情報管理のルール違反)であると判断されれば、送信をブロックしたり、管理者に通知したりすることができるため、内部不正の抑止に一定の効果がある。
しかし、これらを組み合わせても完全な防御は難しく、導入や運用には相当なコストもかかる。具体的な事例は割愛するが、正規の権限を持つ従業員が意図的に情報を持ち出す場合に、技術的な制約を回避する手段も使われることがある。
これらの行為は、企業の重要な情報資産を外部に持ち出すものであり、重大な内部規則違反となる。とくに、退職直前にこのような行為が集中する傾向にあるが、1年以上かけて周到に準備し、発覚を免れるケースも存在する。
悪意のある従業員は、監視の目をかいくぐる方法に精通している場合もあり、技術的対策のみで内部不正を完全に防ぐことは極めて困難であるため、従業員教育や監査・チェック体制の強化などの人的・組織的な対策との併用が不可欠である。
もっとも、技術的対策を講じておくことにより、退職後の監査によって不正が発覚し、責任を追及するケースも増えている。そのため、技術的対策は、事後対応にも不可欠であり、とくに重要なファイルへのアクセスログは、事実解明や証拠として非常に有用である。
情報漏洩やその可能性が疑われるときの対応
情報漏洩やその可能性が疑われる場合、企業は速やかに事実関係を調査し、証拠保全を行う必要がある。ログの解析、とくにデジタル機器に残された痕跡を調査し、法的に有効な証拠とするデジタル・フォレンジックなどを通じて、漏洩の経路と範囲を特定し、関係者へのヒアリングを行う。
これらは、企業単独での対応が難しい高度な専門領域になるため、外部の専門家として、弁護士やデジタル・フォレンジック事業者の活用が極めて重要である。これら専門家の関与により、企業は客観性と信頼性の高い対応を実現でき、社内外への説明責任を果たすうえでも大きな支えとなる。
ただし、残念ながら、実際には「共通アカウント」の利用や「ログが不存在」などのケースも多く、証拠が不十分であるために事実が明らかにならないこともある。
情報漏洩やその可能性があると判断した際に、企業は法的措置を含めた対応を取る必要がある。以下は、そのような法的対応の一例として、まとめたものである。
情報漏洩やその可能性がある際の法的措置
情報漏洩が二度と発生しないよう再発防止策として、内部規則の見直しや教育研修の強化、技術的対策を含めた情報管理体制の再構築が必要となる。
組織が築くべき情報管理体制
情報の持ち出しを未然に防ぐためには、前述のとおり技術的対策だけでは限界があり、組織的・人的対策も合わせて行う必要がある。具体的には、経済産業省が公表している資料から以下のような対策が有効であるとされている。
① アクセス制御と持ち出し制御:業務に必要な範囲に限定したアクセス制御、外部記録媒体やネットワーク経由での持ち出し制御
② 監視と可視化による抑止:端末操作ログの取得や定期的な監査による行動の可視化
③ 情報管理意識と関係性の向上:内部規則や誓約書による情報管理意識の向上、コミュニケーションや研修による信頼関係の維持・強化
退職手続きにおける情報管理という視点で見ていくと、①は、適切なタイミングでのアカウントやアクセス権の制限(停止または無効化)を行う必要がある。とくにクラウドサービスへのアクセス権が制限されていない場合、退職後も元従業員が情報にアクセスできる状態が続き、企業の機密情報が外部に流出するリスクが高まり、業務や信用に深刻な影響を及ぼす可能性もある。
また、前述の技術的対策は事後的に有効であると述べたとおり、②は、退職者が使用していた端末の操作ログの確認も行うべきである。さらに、③は、退職時の秘密保持義務、返還・消去義務、競業避止義務等の契約書の締結等も欠かせない。
データを持ち出した者や、持ち込まれたデータを重大な過失により知らずに、または知って利用等した企業に対して、不正競争防止法違反を追及する場合には、秘密管理性、有用性及び非公知性の3要件を満たす営業秘密に該当する必要があり、とくに「秘密管理性」の要件は争いやすく、適切な情報管理が必要不可欠である。
転職者が「持ち込む」リスクへの備え
転職者が前職の情報を意図せず持ち込んでしまうケースもある。例えば、個人のクラウドストレージに保存された資料や、前職のクラウドストレージにアクセスできることに気付き、新しい職場でダウンロードして活用してしまうこともある。
このようなリスクに備えるには、入社時のオリエンテーションで「前職の情報は使用しない」という方針を明確に伝えることが重要である。また、中途採用者による業務開始前に誓約書に署名してもらい、業務開始後数カ月は、当該者が使用するデータのチェックを行うなど、受け入れ側の体制も整える必要がある。
情報漏洩は、企業の信用を損なうことに加え、損害賠償請求などの重大な法的リスクを伴う。人材の流動性が高まる現代においては、個人のモラルだけに頼るのではなく、組織としての仕組みと文化を築くことが、最も有効な対策となるだろう。
情報漏洩対策は、単なる技術導入や規程整備だけでは不十分であり、情報管理を組織「文化」として定着させることも不可欠である。従業員一人ひとりが情報の価値と責任を理解し、信頼を前提とした行動が取れる環境を整えることが、最も強固な内部不正対策となる。
情報の価値を尊重する文化を育むために、自らの組織にとって何が必要か、どのような取り組みが可能かを、ぜひ読者の皆さまにも考えていただきたい。
