現代のビジネスシーンにおいて、「情報」と「仕事」は切っても切れない関係にあります。
技術的な情報はもちろん、顧客情報や機密情報など、様々な情報を利活用することで成り立っている業種・職種も少なくありません。
一方、仕事などで取り扱う情報には責任も伴い、個人情報保護法や不正競争防止法によって、利用方法や保管方法について厳しく定められています。
そのため、万が一流出や漏洩事件が発生した場合は社会的信用の失墜だけでなく法的処罰の対象となり、事業継続にも支障を来してしまいます。
今回は情報漏洩のなかでも特に被害規模の大きくなりやすい「転職者による情報漏洩(おみやげ問題)」と「効果的な対策」について解説します。
目次
転職者による情報漏洩のリスク
「おみやげ問題」とは?
「おみやげ問題」とは、従業員が退職時に機密データを持ち出し、転職先の企業へ提供する見返りとして報酬や役職、あるいは内定などを受け取る行為を指します。
このような行為は技術やノウハウの流出だけでなく、個人情報などの漏洩や不正利用にも繋がる恐れがあるほか、被害規模が大きかった場合や対策が不十分であった場合は罰金などの法的処罰が下ることもあり、事業継続にも支障を来してしまいます。
「おみやげ問題」の被害例
大手電機通信事業者
通信業界では、2021年に元社員が機密情報を持ち出し、転職先の競合企業に提供する事件が起きています。
元社員はクラウドストレージへのアップロードやメールによって、5Gなどの技術に関する情報が持ち出したとされています。
同社は元社員と情報を受け取った競合企業に対し1,000億円の損害賠償請求を行い、流出させた元社員の裁判では懲役2年、執行猶予4年、罰金100万円の有罪判決が下りました。
大手回転寿司チェーン
飲食業界では、2022年に情報漏えいが発覚しています。
元幹部が退職時に機密情報を持ち出し、転職先の競合チェーンへ提供しました。
漏えいした情報は同社の売上、仕入れデータなどの機密情報とされており、データをクラウドストレージへアップロードし、USBに保存して持ち出したとされています。
同社が長年培ったデータが競合に流出したことでさまざまな面で不利益を被りました。
流出させた被告の裁判では懲役3年、執行猶予4年、罰金200万円の有罪判決が下っています。
大手通信教育企業
教育業界では、2014年に業務委託先の派遣社員が入手した個人情報を業者に売却する事件が起きています。
同社の派遣社員が、私物のスマートフォンからUSBケーブル経由で顧客情報を抜き取ったとされています。
企業で所有している会員の個人情報約2895万件が漏えいし、被害額は144億7,500万円に上りました。
事件後に会員数が大幅に減り、赤字決算の要因になったと言われています。
おみやげ問題を防ぐためには?
「おみやげ問題」では、多くの場合USBメモリやクラウドストレージのような、外部の保存領域を経由して行われています。
これらの技術は、日々の業務を効率的に遂行できる反面、情報漏洩の手段として使われてしまうリスクを抱えています。
それでは、業務の効率を落とさずに効果的な情報漏洩対策を行うには、どのような手段が適しているでしょうか。
- 「デバイス制御」ツールなどを導入し、情報漏洩を物理的または技術的に不可能にする。
- 「ログ管理」ツールなどを導入し、不正な操作を早期発見できる環境にする。また、ツールの導入を周知することで、抑止力とする。
- 「情報セキュリティ教育」を定期的に実施し、社員の意識を高める。
この中でも、最も確実に、かつ手軽に実施できる対策として「デバイス制御」が挙げられます。
デバイス制御とは?
デバイス制御の基本と目的
デバイス制御とは、企業の管理しているデバイスの利用状況を監視・制御することで、不正なデータの持ち出しを防止するための技術やサービスのことです。
具体的には、USBメモリやDVD、外部ハードドライブなどの物理的なデバイスの接続を制限したり、ネットワークやデータの通信を監視・制御する機能が含まれます。
デバイス制御を導入することで、データを持ち出すことが物理的に不可能になるほか、導入を周知することで不正への抑止効果を期待することができます。
デバイス制御の具体的な方法
デバイス制御を行うための最も簡単な方法は、「デバイス制御ツール」や「DLP(Data Loss Prevention)製品」を導入することです。
どのデバイス(パソコン、スマートフォン、OS等)をどの程度(USB等の接続不可、通信や機能の制限等)制御できるかは導入するツールによって変わるため、環境や目的に合わせて選ぶことが大切です。
デバイス制御のメリットとデメリット
デバイス制御ツールによる情報漏洩対策には以下のメリットとデメリットがあります。
メリット
- 制御可能な技術に対しては絶対的な担保が可能。
- 制御内容の変更以外の管理コストが発生しにくい。
- 導入および設定から即座に効力を発揮する。
デメリット
- ゼロトラストやクラウドなどの新規技術への対応に時間を要する。
- 現場の作業効率に影響を及ぼす可能性がある。
禁止や使用不要といった強固なセキュリティを簡単に維持できる反面、技術に依存してしまっているといえます。
そのため、デバイス制御ツールは「セキュリティ対策の第一歩」「情報漏洩対策の最終防衛策」として考え、他の対策も順次導入することが望ましいでしょう。
デバイス制御ツールの導入事例
NECパーソナルコンピュータ
NECパーソナルコンピュータ(以下、NECPC)では、法人向けPCにバンドルするデバイス制御ソフトを、(株)ラネクシーの開発・提供するデバイス制御ツール「RunDX」に切り替えた。
これにより、従来のツールと同様のデバイス制御を網羅しつつ、検証のスピードアップが実現。
操作性や機能も向上し、ユーザーによりセキュアな環境を提供できるようになった。
詳細はこちら ⇒ https://www.runexy-dlp.com/casestudy/rdx_necpc.html
パルシステム生活協同組合連合会
パルシステム生活協同組合連合会(以下、パルシステム)では、データの保管や取引先とのデータの受け渡しに外部デバイスを利用する機会が多いことから、(株)ラネクシーの提供する「DeviceLock(デバイスロック)」を導入。
同社では業務のデバイス利用実態に合わせて細かな設定ができる点、対応するメディアの種類が豊富な点、Active Directory(AD)連携が可能な点などを高く評価している。
詳細はこちら ⇒ https://www.runexy-dlp.com/casestudy/pal.html
まとめ
情報漏洩は企業にとって避けて通れない重大なリスクです。
特に転職時に発生しやすい「おみやげ問題」には、デバイス制御ツールの導入が有効な対策となります。
また、デバイス制御ツールの導入時に適切なツールを選定することはもちろん、環境や業務に合わせた初期設定(ポリシーの配布)の実施や、平時の社員向け情報セキュリティ教育など、一連の対策を講じることで、情報漏洩のリスクを大幅に低減することができます。
