【会社のデータの持ち出しはなぜ起こる？】よくある手口や対処法を解説

働き方改革や新型コロナウイルス感染症の感染拡大によって急速に拡大したテレワーク。しかし、テレワークによって柔軟な働き方ができるようになった一方で、業務の持ち帰りや私物の端末使用など、セキュリティ意識の低下が見られることも事実です。その中でも特に注意したいのが会社のデータの持ち出しです。

本記事ではデータの持ち出しの危険性や、データ持ち出しによって発生する被害、事例、データの持ち出しを防ぐ方法などを詳しく解説します。

データ持ち出しのリスクが高まる現状

近年では外部からのサイバー攻撃に注目が集まっていますが、その一方で、ノートパソコンやUSBメモリの紛失、さらには従業員によるデータの持ち出しなど、従業員の不注意や故意によって起こる情報漏えい被害も増加傾向にあります。東京商工リサーチの調査によると、2023年の上場企業およびその子会社が公表した個人情報の漏えいや紛失事故は、前年比より6.0％増加しました。

社会的には新型コロナウイルスの感染拡大をきっかけとしたリモートワークの普及、デジタルトランスフォーメーション（DX）の普及により、従来紙で管理されていたような重要な情報もデジタルデータに変化してきています。大容量のデータを容易に持ち出せるようになったことは、個人情報や社内における機密データが持ち出されてしまうリスクを大幅に増大させてしまう要因でもあります。

データ持ち出しのリスクを低減させるためには、社内規定をきちんと策定し、従業員へのセキュリティ教育を徹底すると同時に、必要な技術を導入することが重要です。

総務省『テレワークセキュリティガイドライン第5版』では、テレワークにおけるセキュリティ対策として、ルールと人、技術のバランスが取れた内容の検討を推奨しています。従業員それぞれがセキュリティ意識を持てるようにするだけでなく、新たなセキュリティ対策技術を導入するなど会社全体で取り組むことで、実効性のある社内データの持ち出し禁止措置を行えるでしょう。

navigate_next※参考：東京商工リサーチ.「2023年の「個人情報漏えい・紛失事故」が年間最多　件数175件、流出・紛失情報も最多の4,090万人分」

navigate_next※参考：総務省.「テレワークセキュリティガイドライン第５版」

データ持ち出しが引き起こす企業被害

従業員が会社のデータを持ち出し、機密情報や顧客の個人情報などが外部に漏えいすると、そこからさまざまな被害が発生します。

まず自社が保有していた情報が競合にわたることで、会社としての競争力を失ってしまうでしょう。顧客情報のみならず、自社独自の技術情報、ノウハウなどが流用される可能性もあります。

また顧客の氏名や電話番号、住所、生年月日といった個人情報の流出はプライバシー侵害に当たります。個人情報の流出により第三者にリストが渡るような二次被害が発生した場合、顧客から高額な慰謝料を請求される可能性があるでしょう。被害が大きければ、会社に対して行政からの業務改善命令、事業免許の取り消しといった処分が科せられる可能性もあります。行政からの命令が行われなくても、情報が漏えいした理由を究明するために、一時的に業務を停止せざるを得ないようなケースも考えられます。

なおこのようなことが起きた結果、会社のイメージを損ない信頼が失墜した状態に陥ることも、データ持ち出しによって起こる被害の一つです。

従業員のデータ持ち出しはどのような状況で起こるのか？

従業員がデータを持ち出す際の状況はさまざまです。意図せずデータが持ち出され結果として情報漏えいにつながってしまうケースもあれば、悪意のある従業員が故意にデータを持ち出すケースもあります。

退職時に持ち出し

従業員が故意に情報を持ち出すケースは、特に退職時に多く見受けられます。転職先で自分のスキルや能力をアピールする目的で、退職の際に顧客データやノウハウを持ち出し、転職先の会社に渡してしまうようなケースが多いです。俗に「手土産転職」とも呼ばれています。

また第三者へ情報を売って金銭に変えたり、副業などの個人的なビジネスに活用したりする目的で、個人情報が記載された名簿や設計データなどを持ち出すケースもあります。

退職時に持ち出し

従業員が故意に情報を持ち出すケースは、特に退職時に多く見受けられます。転職先で自分のスキルや能力をアピールする目的で、退職の際に顧客データやノウハウを持ち出し、転職先の会社に渡してしまうようなケースが多いです。俗に「手土産転職」とも呼ばれています。

また第三者へ情報を売って金銭に変えたり、副業などの個人的なビジネスに活用したりする目的で、個人情報が記載された名簿や設計データなどを持ち出すケースもあります。

パソコン・USBの紛失・盗難

故意でないケースで多いのは、データが入ったパソコンやUSBメモリを社外に持ち出し、それを紛失したり盗難に遭ったりした結果、第三者の手に渡るというものです。特にUSBメモリやスマートフォンは小さいため落としたりなくしたりしやすいでしょう。ノートパソコンも電車の網棚に置き忘れたり、飲酒した際に紛失したりしてしまうケースが考えられます。過去には実際に、地方自治体の関係者が住民情報の入ったUSBを紛失する事件が起きたこともあります。

メールで送信

従業員が個人のメールアドレス宛に、機密情報や個人情報を添付ファイルの形で送信するケースもあります。従業員のリテラシーが低いことで、どうしても社外で情報を見たい場合などに、悪意なく行われてしまうかもしれません。

万が一、従業員の自宅のパソコンやネットワークに怪しいソフトがインストールされていたり設定ミスがあったりすると、情報漏えいに発展する可能性が高まるでしょう。

その他、取引先や顧客にメールを送る際に、うっかり別の会社や同姓の別人に送信してしまうケースなども起こり得ます。

フリーWi-Fi経由のハッキング

出張先のホテルや待ち合わせに使用したカフェなどで、誰でも使用できるフリーWi-Fiには、使用時にパスワードが不要なものもあります。そのようなフリーWi-Fiを使用すると、通信が暗号化されておらず、第三者に通信内容を盗み見される危険性があるでしょう。

中にはフリーWi-Fiにみせかけた、「なりすましアクセスポイント」というものも存在します。実際のフリーWi-Fiと同じ名前のSSIDや暗号キーが付けられているため基本的には気づけないケースが多く、間違ってアクセスしてしまうリスクが高いです。

会社のデータの不正持ち出しで、よく用いられる手口

従業員が会社のデータを持ち出す手口には、次のような方法が多く用いられます。

スマートフォン・タブレット

スマートフォン・タブレットによる持ち出しとは、機密ファイルやホワイトボードに板書された会議内容、新製品などをスマートフォンやタブレットで写真撮影をする方法です。デバイスから不正にログインし、文章をコピー＆ペーストして個人的なドキュメントに保存するような方法もあります。

USBメモリ・外付けHDD

USBメモリや外付けHDDによる持ち出しもあります。会社の機密情報や個人情報が保存されているサーバーやファイルにアクセスし、データをUSBメモリや外付けHDDなどの外部記録媒体にコピーして持ち出す方法です。

クラウドストレージ

クラウドストレージによる持ち出しは、外部のクラウドストレージサービスに機密情報や個人情報をアップロードしておき、そこへ外部からアクセスしてデータを持ち出す方法です。一般的なクラウドストレージサービスには、Google DriveやDropbox、OneDriveなどがあります。

電子メール

機密情報や個人情報が記載されているファイルを私用のメールアドレスに添付し、送信する方法も、データ持ち出しの一種です。電子メールソフトに備わっている転送機能を使用すれば、全メールを自動で転送できてしまいます。

画面のキャプチャ

機密情報や個画面のキャプチャによるデータ持ち出しとは、人情報が表示された画面をキャプチャし、画像ファイルとしてメールなどに添付して外部に持ち出す方法です。外部記録メディアやオンラインストレージサービスが使えない状況でも、この方法ならデータを持ち出せる可能性があります。

印刷物

データを印刷して持ち出すケースもあります。他の従業員がいない時間帯に出勤し、オフィスで出力するような手口が考えられます。印刷ログから持ち出しをしたことがばれるのを避けるため、印刷時にわざわざファイル名を変更しているようなケースもあるかもしれません。

内部不正事例から学ぶ、国内で発生したデータ持ち出しの実例

ここからは、実際に国内で起こった内部不正よる会社データの持ち出しに関する事例をご紹介します。

大手商社の従業員による会社データの不正持ち出し

2023年9月、大手総合商社A社の従業員が、不正競争防止法違反の疑いで逮捕されました。逮捕の理由は、前職のB社から機密情報を不正に持ち出した疑いです。

逮捕された元従業員は、2022年6月にB社を退社し、翌月にA社に転職しました。その際、B社の別の従業員のIDとパスワードを使って自宅からB社のデータベースへ不正にアクセスし、重要なデータを取得しました。

この事件を受けてA社は謝罪声明を出し、組織的な関与はないとしつつ、再発防止に取り組むと発表しました。

またB社も同様に声明を出し、社内調査で不正の疑いを掌握した後、警察に相談し捜査に協力していたことを明かしました。今後は情報の管理体制やセキュリティ体制のさらなる強化に努めるとしています。

navigate_next参考：兼松株式会社.「元従業員の逮捕について」

navigate_next参考：双日株式会社.「当社元社員の逮捕について」

navigate_next参考：日本経済新聞.「双日元社員を逮捕　転職元の兼松から営業秘密持ち出しか」

元派遣従業員による会社データの不正持ち出し

2023年10月、大手通信会社の子会社で、元派遣従業員による大規模な個人情報流出が発覚しました。流出した個人情報は938万件にものぼり、氏名や住所、電話番7月号などが含まれていました。

元派遣従業員は、システムの管理アカウントを使用してアクセスしたサーバーから個人情報を持ち出し、第三者へ流出させたそうです。なお流出した個人情報は、子会社がコールセンター業務を請け負った、69の会社や自治体などの顧客が所持していたものでした。

同社は今後、個人情報の管理体制のさらなる強化を行い、信頼回復に努めると発表しています。

navigate_next参考：ＮＴＴビジネスソリューションズ株式会社.「ＮＴＴビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について（お詫び）」

navigate_next参考：ＮＴＴビジネスソリューションズ株式会社.「ＮＴＴビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について（続報）」

データ持ち出しを防ぐ方法

会社の重要なデータを外部に流出させないためには、次のような方法があります。

従業員へのセキュリティ教育を徹底する

まずは情報漏えいが起きると取り返しが付かないということを、全従業員がしっかりと理解しておく必要があります。インターネットが普及した現代では、一度外部に漏れた情報は即座に拡散される可能性があり、完全に削除するのはほとんど不可能です。情報を守ることの大切さを従業員に浸透させるため、研修などによる教育機会を設けましょう。

なお故意でなくとも気づかないうちに情報を漏えいさせてしまう可能性があるため、日頃の注意喚起も怠らないようにしてください。周知徹底した運用ルールが、実際に守られているかを確認することも大切です。パスワードの管理方法をはじめ、持ち出しが禁止されているデータの確認を定期的に行いましょう。

内部通報制度を整備する

内部通報制度によって、万が一不正が起きた際に迅速な対応ができるようにしておくことも重要です。消費者庁の発表によれば、不正発見のきっかけのうち半数以上が内部通報だった年度もあるほどです。

公益通報者保護法では、アルバイトや契約社員、派遣労働者も含む従業員が300人を超える会社に対し、内部通報制度の導入が義務付けられています。起きてしまったデータ持ち出しの被害を広げないだけでなく、事前の抑止力にもなるでしょう。

navigate_next参考：内閣府.「組織の不正をストップ！従業員と企業を守る「内部通報制度」を活用しよう」

アクセス権限を設定する

データごとに適切なアクセス権限を設定し、各従業員が業務上必要な最低限のデータにしかアクセスできないようにする方法も有効です。ファイルやフォルダ単位の他、システムやサービスといったくくりで、権限を設定できるケースもあるでしょう。

特定のデータに対しアクセスできる人を限定すると、悪意のあるデータ持ち出しが防げるのはもちろん、誤操作やマルウェアへの感染によって意図せずデータが流出してしまうようなケースも防げます。

なおアクセス権限は、適切に付与できているかどうか定期的に見直しましょう。一度はきちんと限定したとしても、退職者に権限が残ってしまったり、社外の業務委託者に権限が付与されたままになってしまったりするケースも考えられます。対策が形骸化してしまっては、有効には働きません。

日常的なモニタリングも大切です。アクセス状況をモニタリングして、本当に権限が必要なのかどうかをチェックします。権限を使用しなくとも業務に支障が出ていない従業員がいるのであれば、権限の付与を外すなどの対応を随時行いましょう。

データ持ち出しができないようにする

データ持ち出しができない環境を構築できれば、ルールの有無や浸透度合いに関わらず、情報漏えいリスクを低減させることが可能です。

先述したアクセス権限の設定では、権限を与えられていない従業員によるデータ持ち出しは防止できますが、アクセス権限を持っている従業員については有効な対策ではありません。

例えば権限の設定に加えて、誰が・いつデータにアクセスしたかというログを記録する仕組みを設けておくと、万が一権限を持っている従業員が持ち出しを行った場合も、すぐに原因を突き止めることができるでしょう。

またデータ持ち出しを防ぐには、ルールで禁止するのに加え、システム上利用できないようにすることも有効です。USBメモリや外付けHDDによるデータ持ち出しができないよう、専用器具を用いて物理的にUSBポートを覆ったり、セキュリティソフトによってUSBを読み取り専用にしたりといった方法が挙げられます。

さらには、セキュリティソフトウエアを導入し、メールの本文や添付ファイルを監視することも可能です。無許可のオンラインストレージサーバーには、アクセスできないようにするのもよいでしょう。

忘れてはならないのが、印刷での持ち出しができないようにする仕組みです。透かし印刷を活用する、印刷機のログを管理するといった方法が挙げられます。

ファイルを暗号化する

データの入ったファイルを暗号化し、パスワードがなければデータが読み取れない状態にすることも有効な対策です。万が一データが漏えいしてしまった際も、第三者に中身を読み取られるのを防げます。

ファイルの暗号化にはさまざまな方法がありますが、中でも手軽に行えるのは、ファイルをZIP形式に圧縮してパスワードを設定する方法です。ただしこの方法はマルウェアに感染する危険性などが残るため、セキュリティレベルが高い方法とはいえません。

Windowsを使用しているのであれば、EFS（Encrypting File System）機能やIRM（Information Rights Management ）機能を活用するのもおすすめです。

EFSとはWindowsに標準搭載されている暗号化機能のことで、フォルダも暗号化できます。EFSによって暗号化したファイルやフォルダは、許可されたユーザーのみがアクセス可能です。

一方、IRMはWordをはじめとしたOffice製品を暗号化する機能です。IRMによってファイルを暗号化することで情報の流出を防ぐだけでなく、権限がない従業員の誤編集も防止できます。

データ持ち出しが発覚したときの対応法

データ持ち出しによって第三者に損害が生じた場合、持ち出しを行った犯人に対し、法的な責任を問える可能性があります。以下では、具体的にどのような罪に問えるのかを解説します。

民事

社内データの持ち出しは民法における不法行為に当たるため、持ち出したデータ営業秘密かどうかに関わらず、持ち出した者に損害賠償責任を追及できます（※）。情報漏えいによる損害は、会社の規模に応じて大きくなる傾向にあります。場合によっては、個人に対して億単位での損害賠償請求が行われることもあるでしょう。

また従業員は会社と雇用契約を取り交わしており、その雇用契約には秘密保持条項が含まれていることが一般的です。そのため、民法上の債務不履行による損害賠償責任を追及できる可能性もあります（※）。

なお社内データを持ち出した従業員などに対して損害賠償請請求をする際は、同時にデータが第三者によって使用されるのを防ぐことも重要です。例えば損害賠償請求を検討している旨を伝える内容証明を本人に送付する際に、身元保証人や転職先にも送付しておくことで、情報が世間に流れるような状況を防止できます。

navigate_next※参考：e-Gov法令検索.「民法」.“第七百九条、第四百十五条”

刑事

意図的なデータ持ち出しにより会社に損害が生じた場合、刑法における背任罪の要件が成立する可能性があります（※）。自分や第三者の利益を得ることや、会社に損害を与えることが目的でデータを持ち出した場合、背任罪の適用条件に該当します。

また個人情報の持ち出しにより個人の名誉が傷つけられた場合は、刑法における名誉棄損罪が成立し、刑事責任を問われる可能性もあります（※）。

その他、会社のデータを持ち出す行為は、不正競争行為防止法に抵触にします。不正競争に当たる行為はさまざまで、顧客名簿や製品の設計情報などの営業秘密を持ち出す行為もこれに当てはまります（※）。

さらには、データを持ち出すことそのものに対して刑事責任を問う「不正アクセス禁止法」という法律もあります（※）。不正アクセス法では不正に取得した他人のIDやパスワードの保管が禁止されているため、アクセス権限のない従業員がパスワードを不正入手するなどの方法で社内データを持ち出した場合、その行為自体が刑事責任に問われるのです。

navigate_next※参考：e-Gov法令検索.「刑法」.“第二百四十七条、第二百三十条”

navigate_next※参考：e-Gov法令検索.「不正競争防止法」.“第二条”

navigate_next※参考：e-Gov法令検索.「不正アクセス行為の禁止等に関する法律」

データ持ち出しが発覚したときの対応法

会社のデータの不正な持ち出しにはさまざまな手口があり、実際に大きな問題となってしまった会社も多数存在します。本記事でご紹介したデータ持ち出しを防ぐ方法を参考に、自社のセキュリティ対策を見直しましょう。

セキュリティソフトウエアRunDX（ランディーエックス）は、会社の組織内におけるさまざまな外部デバイスの利用を制限しデータの不正な持ち出しを防止する、シンプルな仕組みのセキュリティソフトウエアです。「社内パソコンのさまざまな持ち出しルートを制御したい」「安全なテレワーク活動を実現したい」など、お客さまの抱えるさまざまな課題を解決します。

無料トライアルもお試しいただけるので、管理サーバー不要で負担の掛からない運用・導入ができ、USBデバイスの利便性を生かしたRunDXのセキュリティ対策を、ぜひ一度体験してみてください。

RunDX について詳しくはこちら
RunDX 無料トライアルはこちら
お問い合わせはこちら