急増する「退職者による情報漏洩」リスクと対策について
どの企業も個人情報や営業秘密など、多様な情報を扱う今日において、情報漏洩による様々なリスクから逃れられない状況にあります。その中でも、人材の流動化、情報・ネットワーク技術の進展といった要因や、コロナ禍を契機とするテレワークの普及などに伴い、「退職者による情報漏洩」の事例が急増しており、これに対する対策を行うことが喫緊の課題だと考える企業は少なくないのではないでしょうか。
そこで今回は、この領域に詳しい弁護士の協力・監修のもと、退職者による情報漏洩に対してどのように備えるべきか、コーナー編集部が紹介していきます。
<監修者プロフィール>
黒栁 武史(くろやなぎ たけし)/弁護士法人伏見総合法律事務所 弁護士
中本総合法律事務所で10年以上実務経験を積んだ後、令和2年4月より弁護士法人伏見総合法律事務所に移籍。
主な取扱分野は労働法務、企業法務、一般民事、家事(離婚、相続、成年後見など)、刑事事件。労働法務などに関連する著書がある。
目次
情報漏洩のリスクと「退職者による情報漏洩」の急増
──情報漏洩が企業へもたらす影響やリスクには、具体的にはどのようなリスクがあるのでしょうか。
企業が保有する情報の中には、顧客情報や、技術・ノウハウなどの秘密情報など、企業にとって重要な価値を有する情報や、漏洩すると大きな社会問題となるような情報もあります。このような情報が意図せずして企業の外部へ漏洩してしまうと、自社の社会的信用や競争力の低下などのリスクに加え、損害賠償責任などの法的リスクを負う可能性があります。
(1)自社競争力の低下
顧客情報や技術・ノウハウ情報などが競合他社などへ流出してしまうことにより、競争力を失ってしまうリスクがあります。
(2)レピュテーションリスク
顧客情報が流出することで社会問題化し、企業の信用が毀損するリスクがあります。
(3)損害賠償を請求されるなどの民事上のリスク
例えば、顧客情報が漏洩することにより、損害賠償責任を追及されるリスクがあります。具体的な損害額については、裁判例の傾向を踏まえると、1人あたり数千円が相場と考えられます。ただし、漏洩した情報にセンシティブな内容や、漏洩した情報をもとに迷惑メールが送付されるなど、二次被害が生じているようなケースでは、1人あたり数万円の損害を認めた裁判例もあります。大量の個人情報を流出させてしまったような場合には、莫大な損害賠償責任を負うことになりかねません。
(4)行政からの勧告・命令や刑事罰を受けるリスク
個人情報保護法が定める安全管理措置や従業者・委託先の監督などの義務に違反している場合、是正勧告や、命令を受けるリスクがあります(同法148条)。また、命令に違反した場合は、刑事罰(1年以下の懲役又は100万円以下の罰金)を受けるリスクもあります(同法178条)。
──どのようなルートから情報漏洩が生じることが多いのでしょうか?
独立行政法人・情報処理推進機構(IPA)が発表した2020年の調査では『中途退職者による漏洩』が『現職従業員等の誤操作・誤認等』を抑え1位となっています。2016年の調査では、『現職従業員等の誤操作・誤認等』が圧倒的な1位でしたが、2020年の調査では前記のとおり1位が入れ替わっています。そのため、企業においては退職者による情報の持ち出し・漏洩に対する対策の必要性が高まっています。
このように、『中途退職者による漏洩』が急増している背景としては、人材の流動化などを要因とする転職の増加や、インターネット技術の進化、情報記憶装置の大容量化、テレワークの普及などにより情報(データ)の持ち出しが容易になったことなどが、その背景にあると考えられます。
実際に起こった「退職者による情報漏洩」の事例
──企業の情報漏洩の事例はニュースなどでも見かけますが、「退職者による情報漏洩」の事例にはどのようなものがありますか?
従業員が競合企業に転職する際に情報を持ち出すケース(事例1)や、海外の企業からSNSなどを通じて接触があり、これを契機に営業秘密が海外企業に流出するケース(事例2)などがあります。
事例1 従業員が競合会社に転職する際に情報を持ち出すケース(日本ペイント社)
塗装大手の日本ペイント社に在籍していた元役員が、主力商品の営業秘密(建築用塗料「水性ケンエース」の設計情報)をUSBメモリーに複製・保存して持ち出したとして、2016年2月に不正競争防止法違反(営業秘密の開示) の疑いで逮捕されました。
なお、この元役員は日本ペイント社執行役員を経て、2010年4月~2013年3月の間は子会社に出向。子会社を退職後の 2013年4月に菊水化学工業社の顧問に就任し、そこで日本ペイント社の塗料製造方法を転用して類似製品を生産したというのが事の顛末のようです。この情報漏洩を行った元役員に対しては、2020年3月に名古屋地裁から懲役2年6月(執行猶予3年)、罰金120万円の判決が下されています。
事例2 従業員が競合企業に転職する際に情報を持ち出すケース(事例1)や、海外の企業からSNSなどを通じて接触があり、これを契機に営業秘密が海外企業に流出するケース(積水化学社)
積水化学社の元社員が在職当時に、営業秘密に当たる情報を中国企業へ漏洩したとして、2020年10月に不正競争防止法違反の容疑で書類送検され、2021年8月に懲役2年・執行猶予4年・罰金100万円の有罪判決を受けた事例があります。漏洩したとみられるのは、スマートフォン画面に使われる素材導電性微粒子に関係する情報(製造設備のリスト)で、社内サーバーから私物のUSBにコピーして取得し、その後私用パソコンやフリーメールに添付して中国企業に送信していたことが分かっています。
また、この元社員と中国企業はLinkedInを使って接触しており、LinkedIn上で氏名・社名・導電性微粒子研究に関わっていることを公開していた元社員に対し、中国企業が取引先を装って連絡をしていました。
情報漏洩を予防するための対策について
──退職者による情報持ち出し・漏洩を未然に防ぐために、企業や人事ができる対策にはどのようなものがありますか?
退職者による情報持ち出し・漏洩を防止するための基本的な対策としては、以下の対策が考えられます。
(参照:経済産業省 秘密情報の保護ハンドブック〜企業価値向上に向けて〜)
秘密情報に対する従業員の認識向上
そもそも、秘密情報の持ち出し・漏洩がどれだけ深刻な事態や不利益をもたらすか、ということについての理解や認識が足りていないことが原因となることが考えられます。そのため、情報セキュリティ研修などにより、秘密情報の定義や持ち出してはいけない情報の具体的な内容、その取り扱い方法や、情報漏洩の具体的事例、情報漏洩事案に対するサンクション(懲戒事由になることや民事・刑事上の責任を負うことになること)などを従業員に十分に周知することで、心理的な抑止力を高める必要があります。
また、秘密保持誓約書(契約書)を提出してもらい、『情報の持ち出しが禁止されている事を知らなかった』などの言い逃れができないようにすることも重要です。一般的に入社時にこうした誓約書(契約書)を書かせるケースは多いですが、退職者による情報漏洩をより効果的に予防するためには、退職時にも改めて秘密保持誓約書(契約書)を書かせるべきです。その際には、『秘密保持義務の対象となる情報が記録された資料や記録媒体の返還や電子データの消去』や、『秘密情報を自ら一切保有しないことを確認する』というような、具体的な対応に関する規定を盛り込んでおきましょう。
さらに、特に要職にある従業員や重要なプロジェクトに関与していた従業員などに対しては、秘密保持義務をより実効的にするために、競業避止義務契約を締結することが考えられます。
秘密情報への接近の制御、持ち出しの困難化、視認性の確保
従業員が社内の秘密情報に接近したり、持ち出したりすることを物理的・技術的に制限することや、従業員の状況を適宜モニタリングするなどにより視認性を確保することが考えられます。
<接近の制御に関する対策の例>
・秘密情報が記録された書類や記録媒体については、保管する書棚や区域を分離し、施錠できる書棚や部屋に保管したり、ネットワーク上で秘密情報にアクセスできる権限を制限する。
・従業員の退職時には、速やかに施錠区域へ入室できなくしたり、秘密情報へのアクセス権限などを削除する。
<持ち出しの困難化に関する対策の例>
・秘密情報が記載された資料などを適切に回収したり、社外への持ち出しを物理的に阻止する。
・社外へのメール送信や、WEBアクセスを制限する。
・私物のUSBメモリなどの記録媒体やPCなどの情報機器の利用や持ち込みを制限する。
・従業員の退職時には、速やかに社内貸与の記録媒体や、情報機器を返却させる。
<視認性の確保に関する対策の例>
・秘密情報の保管場所への入退室を記録したり、防犯カメラを設置する。
・PCやネットワークなどのログの記録を行う。
・メールなどの通信記録のモニタリングを行う。
・特に従業員の退職時には、退職前後のログの確認などを集中的に行う。
上記のような対策を講じておくことで、退職者による情報持ち出し・漏洩リスクを軽減することができます。また、以上のような対策以外にも、従業員との信頼関係の維持・向上に日頃から務めることも欠かせません。従業員との良好な関係こそが最大の抑止力になり得ます。
近年の事例を踏まえた対策について
先ほど紹介した事例を踏まえると、退職者を受け入れる企業においても、転職元の企業から損害賠償を請求されるリスクなどを防止するために、転職元の秘密情報の持ち込みを禁止するなどの注意喚起を行ったり、技術情報や営業情報の売り込みがあった場合などには、情報の入手過程などを調査して記録化しておくなどの措置を取ることが適切といえます。
さらに、事例②のケースでは、中国企業が取引先を装ってSNSを通じて接触を図ってきたことが情報漏洩の契機となっていることから、社内研修などを通じて、こうした漏洩事例を周知したり、SNSの利用に関する注意喚起や利用制限などを検討することが、対策として考えられます。
情報漏洩が生じてしまった場合の対策について
──対策の甲斐なく、情報持ち出し・漏洩が発生してしまった際にはどのように対処すれば良いでしょうか。
残念ながら情報漏洩が起こってしまった際には、被害を最小限にするための措置を速やかに実行する必要があります。
最初に行うべきは『事実の正確な把握』と『証拠の保全・収集』です。いつ、誰が、どのような秘密情報を、どのような方法で漏洩させたのかを確認し、その証拠を押さえる必要があります。証拠の中には時間の経過で失われてしまうものや、時期を逃すと手に入れられなくなってしまうものもあります。そのため速やかに社内ネットワークのアクセスログ、監視カメラの録画、漏洩疑惑のある従業員の貸与パソコンのログやUSBなどの記録媒体の接続ログ、メールの送受信記録、スマートフォンなどの通信記録などを確認するとともに、バックアップの保全を進めましょう。
そして、以上の調査で明らかになった事実をもとに予想される被害を検証し、また、それ以上の被害拡大を防ぐための行動や、関係各所への報告など法律に基づく手続を進め、損失を最小化するために被害を受けてしまった方に対する謝罪や対応を進めて行きます。
<被害拡大の防止策の例>
・自社ネットワークからの遮断により、それ以上の持ち出しや漏洩を防ぐ
・情報を漏洩したと考えられる者へ警告書を送付する
<法律にも基づく手続の例>
・漏洩した情報が個人情報の場合、個人情報保護法に基づく主務官庁に対する報告
・各種業法などの法令に基づき要求されている手続の実施
<損失の最小化のための対応の例>
・速やかな対外公表(事実の経緯、漏洩した情報の内容、再発防止策など)
・被害者への謝罪やマスコミ対応
こうした対策を進めて行く過程で、証拠の隠滅などが行われないよう留意することが必要になります。またいずれも迅速な対応が求められるため、必要に応じて専門家とも相談しながら進めて行きましょう。
──秘密情報の持ち出し・漏洩を行った退職者に対しては、どのような対応が考えられるでしょうか?
当該退職者に対しては、自社の被害回復に加えて、今後の再発を抑止するためにも、厳しく責任追及を行うべきです。その際、民事的措置と刑事的措置を採ることが考えられます。
・民事的措置
秘密情報の持ち出し・漏洩により会社に損害が生じたり、生じるおそれがある場合、裁判外での交渉や、裁判手続などを利用して、退職者に対し、営業秘密の使用の差し止めや、損害賠償責任を追及することが考えられます。
・刑事的措置
秘密情報の漏洩のケースでは、当該情報が営業秘密に該当する場合は、不正競争防止法上の営業秘密侵害罪に該当する可能性があります(同法第21条など)。また、不正アクセス禁止法違反(同法第11条など)や、刑法上の電子計算機使用詐欺罪(同法246条の2)、背任罪(同法第247条)、横領罪(同法第252条)などに該当する可能性もあります。これらの法違反を理由に、捜査機関に被害届や告訴状を提出することが考えられます。
■合わせて読みたい「離職・退職」に関する記事
>>>介護離職を事前に防ぐ。高齢化でさらに増える未来に対応するには
>>>退職時の「オフボーディング」で好意的な関係を築き、企業成長のヒントを得る方法
>>>「レイオフ」を正しく理解するために知っておきたい世界動向と国内事例
>>>「リテンションマネジメント」をから人事施策への好影響を伝播する方法とは
>>>「連鎖退職」の発生要因を知り、その防止方法を事例と共に学ぶ
編集後記
どれだけ対策を講じたとしても、退職者による情報持ち出し・漏洩を100%防ぐことは難しく、完璧な情報漏洩対策はありません。また本記事にて紹介した対策も一例に過ぎず、扱う情報や環境によって対策も変化します。
そのため、事前に社内で対策を講じておくことはもちろん、万が一発生してしまった際の対応フローを確認しておくことはとても重要です。明日は我が身として捉えつつ、従業員がそうした行動に走らないための環境づくりを地道に進めて行きましょう。
同じカテゴリーの記事
「離職・退職 」
