２.退職者による機密情報持ち出しリスク

　(1) 競合企業への情報流出

退職者が競合企業に転職する際、営業秘密情報を持ち出すことで、市場シェアの喪失につながる恐れがあります。

　(2) 法的問題

情報漏洩により、顧客情報や知的財産権の侵害が発生した場合、企業は法的な問題に直面する可能性があります。

　(3) 信用失墜

情報漏洩が公になった場合、企業のブランドイメージや信用が失墜し、顧客の信頼を失うことがあります。

​

3.退職者の機密情報持ち出し対策

　(1) アクセス権限の管理

業務に必要な情報へのアクセス権限のみを付与し、不要な情報へのアクセスを制限します。権限の制限により、情報が必要な人だけがアクセスできる状態を保ちます。また、定期的な権限の見直しが不正アクセスや情報漏えいから大切なデータを守る役目となります。

　(2) 退職者のアカウント管理

退職者のアカウントは、退職日に必ず削除することが重要です。アカウント削除を忘れてしまうと、退職者が不正にアクセスするリスクがあります。また、退職者情報として「いつ入社して、退職したか」を管理することも忘れないようにしましょう。過去のアクセスログから調査する際に必要になる場合があります。

　(3) 退職時の手続き

退職者に対して、機密情報の返却やデータの削除を求める手続きを行います。また、退職時に情報漏洩防止に関する誓約書に署名させることで、法的な拘束力を持たせることができ、退職者が競合企業への転職や起業時に、元勤務先の機密情報を利用することを制限する効果があります。

　(4) 定期的な情報セキュリティ教育と研修

定期的に情報セキュリティに関する教育や研修を実施し、情報漏洩のリスクを理解させることが重要です。教育内容には、情報セキュリティポリシーの内容や情報漏洩の事例、適切な情報管理方法などを解説します。

　(5) アクセスログのモニタリング

アクセスログを定期的にモニタリングし、不正アクセスや権限外の情報アクセスがないか確認します。異常なアクセスが検出された場合は、速やかに対処することが求められます。

 

　退職者による機密情報持ち出しリスクは、企業の情報セキュリティ対策において重要な課題です。アクセス権限の管理、教育研修などの対策を実施し、従業員や退職者に対して情報管理の意識を高めることが求められます。

　また、コラムの最初に人事管理システムにある退職者のユーザー情報が Active Directory やその他システムに連携できないことが、不正アクセスの原因の一つだと書きましたが、連携できない理由としては２つの課題が挙げられます。「データ連携が自動化されていない」技術的課題と、「退職した翌日に異動データが提供されない」組織的課題です。データ連携の自動化を導入するには時間とコストが必要ですが、人事部門から退職者データを提供して貰うことは、いつでも可能です。「担当者同士の連携」により、退職日にタイムリーなデータ連携を行うことが重要でしょう。

　しかしながら、これらの対策を実施しても少なからず不正な持ち出しによる情報漏えいは発生します。持ち出しリスクを最小限に抑えるためには、最小限のアクセス権限の設定により即時にデータを持ち出すことができない仕組みが必要と考えます。人が不正行為を働くのは「機会」「動機」「正当化」の三要素が揃った時だといわれています。退職者による情報漏えいの背景でも述べましたが、利便性を上げるためにデータへのアクセスを容易にすれば情報漏えいリスクは高くなります。相反して「データの即時持ち出しを制限」することでリスクは下がりますが、利便性も併せて下がることになります。不正な持ち出しの「機会」をどのようにして減らすのか。情報セキュリティ対策と利便性のジレンマをいつか乗り越える時代が来ることを期待します。

 

※執筆者企業情報

グローバルセキュリティエキスパート株式会社（GSX）

GSXは、情報セキュリティ・サイバーセキュリティに関する知見を幅広く共有し、お客様にお役に立つ各種セミナー・イベント・ウェビナーを定期開催しております。是非お気軽にご参加いただき、情報収集の場としてご活用ください。

セミナー・イベント一覧

　また、お客様の組織で「セキュリティに悩みがある、今の体制で問題ないか疑問がある、自衛力を強化したいなど」とお考えの方は、GSXまでご相談ください。