中途退職者による情報漏えいが増加中。企業情報を守るには
退職者が持ち出すデータの種類も、顧客情報だけでなく、取引価格や取引先に関する情報、業務で培ったノウハウ、経営情報など、多岐にわたります。
中途退職者による情報漏えいが増加
今年3月に独立行政法人・情報処理推進機構(IPA)が発表した「企業における営業秘密管理に関する実態調査2020」報告書によると、4年前の前回調査実施時に比べて、従業員の不注意・管理不備等が原因の情報漏えいは減少している一方、中途退職者による情報漏えいは増えているとのこと。その結果、情報漏えいの事例数は、全体としては若干減少しているものの、会社内部の不正による情報漏えいはむしろ増加しているのです。
総務省統計局のデータでも、2019年に転職者が過去最多となるなど、転職者は増加傾向にあります。
転職者同士の競争も激化している中、実際に有名企業の元従業員による顧客データの無断持ち出しがニュースになるケースも出てきています。
少し前のデータになりますが、日本ネットワークセキュリティ協会が発表した「2018年情報セキュリティインシデントに関する調査報告書」によると、2018年に起きた個人情報漏えい1件当たりの漏えい人数は1万3334人で、1人当たり平均想定損害賠償額は2万9768円、1件当たりの平均想定損害賠償額は6億3767万円でした。
この賠償金額だけを見ても、いかに情報漏えいが企業の存続を危うくしかねないかが分かるのではないでしょうか。
上記の調査でも、役員・従業員と秘密保持契約を締結する企業が増えているという結果が出ていますが、退職時における秘密情報の具体的な処分方法まで、従業員に周知徹底しておくことが大切です。
出典:
・「企業における営業秘密管理に関する実態調査2020」調査報告書本編
・2018年 情報セキュリティインシデントに関する調査報告書【速報版】
テレワークにより高まっている情報漏えいのリスク
このように、中途退職者による情報漏えいが増加している背景にはさまざまな要因がありますが、近年のテレワークの普及も無関係ではありません。以前、シャドーITのリスクをご紹介しましたが、会社のデバイスを使って自宅やカフェ等のオープンスペースで仕事をする機会が増えたことによる情報漏えいのリスクも高まってきています。
関連記事:シャドーITとは? 社員が使うUSBやSNS…情報漏えいのリスクと対処法
先の調査結果でも、テレワーク実施時に他社と秘密情報を共有する際のルールや、クラウドサービス利用時の秘密情報の取り扱いなどについては、対策が遅れていると指摘されています。
そのため、テレワークを導入するときには、営業上の秘密情報を扱う新たな規程を整備するとともに、オンラインストレージサービスやSNSの利用を含めたデータの取り扱いなどに関して社員へITリテラシー教育を行い、社内全体のセキュリティ意識を高くしていくことが重要です。
併せて、以前ご紹介したVPNの導入も、情報漏えい対策につながります。
関連記事:テレワークも安心! VPNで安全にインターネットを使おう
中途退職者による情報漏えいを防ぐには
情報漏えい防止施策の一つ、テレワーク時の私物デバイスの業務使用(BYOD)禁止
例えば、ゾーニングという、機密情報へアクセスできる場所への立ち入りを制限する方法や、鍵のかかるキャビネットなどの方法があります。これにより、予め機密情報の保管場所を決めておき、特定の人にしか開錠の権限を与えないなどの措置ができ、情報持ち出しへのハードルを上げることで情報漏えいを抑止します。
社内サーバなどに機密情報を保管している場合も、業務上、本当にその情報にアクセスする必要がある部署や人だけに、厳密にアクセス権を設定することによって、情報漏えいリスクを下げることができます。
他の物理的対策として、個人所有のデバイスやUSBメモリの社内持ち込み禁止、テレワーク時の私物デバイスの業務使用(BYOD:Bring Your Own Device)禁止、メールのモニタリング、機密情報保管場所への監視カメラ設置なども効果的ですが、運用コストの増加や業務上の利便性低下を招く場合もありますので、バランスを考慮しながらルールを定めるようにしましょう。
その他、心理的な対策として、先述した役員・従業員との秘密保持契約締結に加え、ITリテラシー教育の一環として、不正による情報漏えいが判明した際の社会的デメリット――損害賠償の発生や刑事罰の可能性を従業員に認識させることも有効です。
それでも情報漏えいが発生してしまったときは……
情報漏えいを完全に防ぐことは非常に難しいことであり、どれだけ対策を徹底しても、退職者による情報の持ち出し・情報漏えいを完全に防ぐことは困難です。そのため、万が一これらが発覚した際に、実被害と企業イメージの毀損を最小限に抑え、また同じことが発生しないような措置をとっておくことが大事です。
具体的にはまず、どこからどうやって情報が漏えいしたのかがすぐに分かるよう、ファイルサーバへの「アクセスログ」を取得する仕組みを整えておきましょう。
いつ誰がどのようなデータにアクセスしたかの記録を取っておくことによって、日常的に不正なアクセスがないか、業務上必要のないデータへのアクセスが行われていないか、不審なデータのコピーが行われていないか等のチェックができるようになります。
各人でアクセスログを取得することも可能ですが、効率的に取得するには、ツールの利用が便利です。
有料版に比べると機能は限定されますが、無料のフリーソフトでもログ管理が可能です。
■アクセスログが取得できる無料ソフト
- LogStare® Collector
株式会社セキュアヴェイルが提供している無期限で無料利用が可能なログ監視ツール。デバイス10台まで無料で利用できます。無料版でも30日間は有料版と同等のフル機能が利用でき、有料版への切り替えも簡単。
- Nagios Log Server
ジュピターテクノロジー株式会社が提供しているログ監視ツール。無料版の制限は、ログ収集上限(500MB/日(7日間平均))のみで、この上限を超えなければ、すべての機能を無期限で利用できます。管理画面はカスタマイズもできて分かりやすく、収集したログはリアルタイムで監視可能。
■有料のアクセスログ管理システムを検討する場合
有料のログ管理システムを検討する場合、一般的に収集できるログの種類に比例してコストも高くなる傾向がありますので、まずは自社にとって収集する必要があるログの優先順位を決めることが大切です。
その上で、デバイスやサーバの数がそれほど多くない比較的小規模の企業で導入コストを抑えたい場合は、クラウド型のログ監視システムの中から、リアルタイム監視ができるものを選ぶといいでしょう。
機能に対するコスト面が気になると思いますので、ご参考までに、あらゆるログの自動収集・一元管理ができる統合ログ管理システム「Logstorage」の一例をご紹介します。
- 「Logstorage」ライセンス体系
Logstorageは最小で1サーバのログ収集からスタート可能で、最小構成でライセンスを購入後、ログ収集サーバが増えた場合は、増えたサーバ分のライセンスだけを購入できます。
また、ログ管理に止まらず、総合的にセキュリティレベルをアップしたい場合、有名なところでは、SKYSEA Client Viewなどのサービスもあります。
自社に合ったセキュリティ対策を実施して、企業情報を守りましょう!
【おすすめ記事】
