顧客リストや社員の個人情報などの持ち出しは、裁判にも発展しかねない緊急度の高いインシデントです。
企業が保管する氏名、住所、電話番号などの個人情報が漏えいしたら、個人情報保護法に基づいて報告や調査が必要になります。また企業側は、個人情報を持ち出した本人に対し、法的対応を実施するため、証拠の収集が必要になる場合があります。
本記事では、個人情報が不正に持ち出された場合に考慮すべき重要な証拠の種類を詳しく解説します。
情報持ち出し調査のご相談がすぐに必要な方は、匿名でのご相談にも対応しております。法人のお客様には、Web打ち合わせでのご対応も可能ですので、以下の連絡先よりお気軽にご連絡ください。
目次
個人情報の持ち出しが発生する原因
個人情報の持ち出しが発生する原因には以下の要因が挙げられます。
以上のような原因で個人情報が流出するとどうなるか、被害について知りたい方はこちらの記事で紹介しています。
個人情報が流出するとどうなる?企業と個人への影響・罰則・対策を解説>
セキュリティ教育の不足
セキュリティ意識の低い社員が、個人情報を不注意に扱うことで、漏えいにつながるケースが多々あります。例えば、機密情報を私的端末に保存してしまったり、公共のWi-Fiを利用して機密情報にアクセスしたりする行為は、教育不足も原因の一つです。社員が情報の取扱いに関するリスクを理解し、日常的に注意を払うことができるよう、定期的なセキュリティ研修が重要です。
情報セキュリティポリシーの欠如
個人情報保護に関する明確な情報セキュリティポリシーが社内に存在しない、または社員に周知されていない場合、個人情報の取り扱いに個人差が発生します。その結果、情報管理に対する認識不足からデータ持ち出しが発生する可能性があります。
企業は、情報のアクセス権の管理や外部持ち出しに関する規則、違反時の処罰などを盛り込んだ個人情報の取り扱いに関する情報セキュリティポリシーを策定し、それを全社員に徹底させましょう。
社内セキュリティの脆弱性が放置されている
ソフトウェアやシステムの定期的な更新を怠ると、既知の脆弱性が放置されることになり、外部からの攻撃に対して無防備な状態になります。
不正アクセスは、内部犯または外部の攻撃者によって行われることがあります。内部犯の場合、社員が不正に情報にアクセスし、それを外部に持ち出すことが問題となります。外部の攻撃者の場合、フィッシングやマルウェアなどの手段を用いてシステムに侵入し、個人情報を持ち出すことが考えられます。
企業は、システムのアップデートを定期的に行い、常に最新のセキュリティ対策を維持することが求められます。
社内不正行為
企業内の社員が意図的に個人情報を持ち出すケースもあります。これは、競合他社への転職の準備や、名簿業者などに個人情報を販売し、利益を得るための行動です。
このような内部不正は発見が遅れることが多く、結果として大規模な漏えいにつながる可能性があります。
従業員や退職者による個人情報の漏えいが発覚した場合、早急に専門家と連携て実態解明の調査を行い、調査結果をもとに懲戒処分や法的措置などを検討しましょう。
\匿名相談に対応 法人様はWeb打ち合わせも可能/
社内の個人情報が持ち出された場合の罰則
個人情報の不正持ち出しが発覚した場合、企業は法的責任を問われることになります。従業員が意図的に個人情報を社外に持ち出した場合、または不注意やヒューマンエラーによって情報漏洩が発生した場合に適用される法令は多岐にわたるため、以下に主要な法的リスクと罰則について詳しく説明します。
個人情報保護違反
個人情報保護法(2022年改正法)に基づき、企業が適切に管理すべき個人情報を従業員が無断で持ち出すと、「個人情報保護法第23条(第三者提供の制限)」および「第26条(安全管理措置)」に違反することになります。個人情報保護法では、企業に対して1年以下の懲役または100万円以下の罰金が科される可能性があり、重大な漏洩の場合、法人に対しては最大1億円の罰金が科されることもあります。
また、個人情報保護委員会から報告命令を受けた企業が従わなかった場合、さらに厳しい罰則が科せられることがあります。この法令に違反した企業は、行政指導や公表を受けることがあり、企業の社会的信用が大きく損なわれることになります。
不正競争防止法違反
営業秘密に該当する顧客リストや営業データ、価格情報などを不正に持ち出した場合は、不正競争防止法第21条に基づく不正取得罪として処罰されます。特に、退職者や業務外の権限を持つ者が顧客情報を持ち出し、競合企業に提供した場合、10年以下の懲役または2000万円以下の罰金が科される可能性があります。
法人に対しては最大5億円の罰金が科されることがあり、民事訴訟で損害賠償の請求や差止請求が行われる場合もあります。営業秘密の漏洩は、競争優位性の喪失や取引先との信頼関係の破壊につながり、企業にとって重大な経済的損失をもたらします。
懲戒処分
従業員が社内規定を破り、個人情報を無断で持ち出した場合、企業は就業規則に基づき懲戒処分を行うことができます。処分内容は、戒告・減給・出勤停止・懲戒解雇などがあります。具体的な処分の程度は、違反の悪質性や過去の指導履歴などを考慮して決定されます。
懲戒処分は、従業員に対して厳正な対応を示すことができ、他の従業員への警告としても機能します。しかし、懲戒処分を行う際には、事前に従業員への弁明の機会を提供し、処分理由を明確に記載した理由書を作成することが求められます。また、懲戒処分の内容については社内規定に基づき一貫性を保つことが重要です。
窃盗罪・業務上横領罪
個人情報を記録した媒体(USBメモリ、外付けHDD、紙資料など)を無断で持ち出した場合、「窃盗罪」(刑法第235条)に該当します。10年以下の懲役または50万円以下の罰金が科される場合があります。
さらに、従業員が業務の権限を悪用して、自分の私的な目的で個人情報を持ち出した場合には、「業務上横領罪」(刑法第253条)が適用され、1年以上10年以下の懲役刑が科される可能性があります。
企業が自ら告訴を行うことで、従業員に対して刑事責任を追及することもできます。そのためには警察に告訴状を提出し、受理してもらう必要があります。
この告訴状を提出する際は、今回の場合個人情報持ち出しの証拠が必要です。フォレンジック調査なら業務用のパソコンやスマホ端末から持ち出しの証拠を収集できる場合があります。
情報持ち出しの裁判に必要な証拠とは
退職した社員や、不正に情報持ち出しを行った社員に対して裁判を行う場合、証拠として認められる場合がある証拠例は以下の通りです。
- 電子メールのやり取り
- チャット履歴
- アクセスログ
- ファイル転送記録USBや外付けHDDの使用履歴
- 削除されたデータの復元記録
- スクリーンショットや画面録画
- ファイル転送記録
- 使用されたソフトウェアの履歴
- 関係者の証言
- 情報持ち出しに使われた書類
このうちアクセスログや履歴などの電子データは削除や改ざんが容易にできるため、証拠の収集方法によっては、裁判時に証拠として認められない場合があります。
電子データの法的利用を考えている場合は、「フォレンジック調査」と呼ばれる電子データの証拠保全・解析を行うことで、電子データの改ざんがないことを裏付けられるようになり、法的利用などにつなげられる場合があります。
万が一個人情報持ち出しの証拠となる端末のデータが意図的に削除されていた場合は、デジタルデータフォレンジック(DDF)の証拠復旧サービスをご利用ください。データ復旧累計相談件数460,523件以上の実績とデータ復旧技術を元に対応できる場合があります。
個人情報持ち出しが発覚した場合の対処法
個人情報持ち出しが発覚した場合の対処法は以下の通りです。
証拠の収集・保全を行う
不正持ち出しの兆候があったら、早急に証拠を収集・保全します。関係するPCの操作ログ、メール送受信履歴、ファイルサーバやクラウドサービスの利用履歴など、漏洩経路を明らかにするデータを取得します。
この際、対象者に気づかれないように証拠隠滅のリスクを回避することが重要です。操作を誤るとログが消去されたり、証拠性が失われることがあるため、必要に応じて専門家の支援を受け、法的証拠として有効な形で保存することが求められます。
フォレンジック調査を行う
ログだけでは不十分な場合や証拠が隠蔽されている可能性がある場合は、専門業者によるフォレンジック調査が有効です。ディスクやメモリの完全イメージを取得し、削除ファイルの復元やUSB使用痕跡、隠されたファイルや通信履歴などを解析します。
調査報告書は、裁判資料・懲戒処分・損害賠償請求など多目的に活用でき、法的証拠能力も高く評価されます。調査は早期に着手するほど痕跡が残りやすく、成功率も高いため、初動での判断が極めて重要です。
漏洩が発覚したら顧客と公的機関に報告・公表する
個人情報保護法では、漏洩・滅失・毀損により本人の権利利益が侵害されるおそれがある場合、本人および個人情報保護委員会への報告義務があります(第26条)。報告が遅れたり、怠った場合には行政処分や企業名の公表対象となり、さらなる信用失墜を招くことになります。
報告内容は、漏洩の概要・対応措置・再発防止策などを含み、顧客への通知では誠実な対応が求められます。曖昧な説明や隠蔽は炎上や訴訟に発展するリスクがあるため、適時・正確な情報開示が肝要です。
悪質な場合は法的措置を検討する
持ち出し行為が意図的かつ悪質な場合、刑事告訴や民事訴訟を検討すべきです。刑事では、業務上横領罪、不正競争防止法違反、場合によっては背任罪が適用され、警察・検察へ告発書を提出します。
民事では、損害賠償請求(民法709条)、競業避止義務違反に基づく差止請求が可能です。いずれも、客観的な証拠と法的根拠を明確にした上で、弁護士と連携して対応することが重要です。法的措置を講じることは、再発防止や抑止力としても有効です。
個人情報の不正持ち出しに関する問題が発覚した場合、迅速かつ適切な対応が求められます。証拠の収集から法的措置まで、専門家とともに進めることが重要です。デジタルデータフォレンジック(DDF)ではフォレンジックを活用した証拠収集・保全をサポートします。
\匿名相談OK・ご相談前にNDA締結可能/
個人情報持ち出し・情報漏洩の調査を行う場合、専門会社に相談する
社内不正・横領・情報持ち出し・職務怠慢のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
個人情報持ち出しの予防策
個人情報持ち出しの予防策として有効な方法は以下の通りです。過去に個人情報が流出した方だけでなく、
機密情報にアクセス制限をかける
情報へのアクセスを業務上必要な範囲に限定する「最小権限の原則」を徹底し、部署・役職に応じたアクセス制御を行います。
また、特に重要な個人情報ファイルには多段階認証やIP制限を設定し、部外者や退職予定者のアクセスを防止します。不要アカウントの放置や権限過剰を防ぐために、定期的な棚卸しと権限見直しも必須です。
ログの監視を行う
ログ監視は、不正行為の「兆候」を早期に検知するための重要な手段です。ファイル操作、外部ストレージ接続、深夜帯の異常アクセスなどを検知できるSIEMやEDRの導入を推奨します。
自動アラート設定とともに、日次・週次のログ監査を行い、異常検知後は即時対応できる体制を構築します。ログは証拠として使えるよう、改ざん防止措置と長期保存(最低1年)を行いましょう。
機密情報に暗号化をかける
ファイルや通信経路に暗号化を施すことで、万が一情報が外部に持ち出された場合でも内容の解読を困難にします。
特に、外付けストレージやクラウド利用時には暗号化の強制と鍵管理の厳格化が求められます。暗号化の実施にはAESなど業界標準のアルゴリズムを用い、復号キーの管理者を明確に定めることが重要です。
就業規則の情報持ち出しの規定を見直す
就業規則には「機密情報の漏洩禁止」「私的利用の禁止」「違反時の懲戒処分」などを明文化し、違反時の処分を明確に定めておくことが重要です。
合わせて、定期的な社員研修やeラーニングを実施し、規定の理解度と遵守意識を高めましょう。実例を交えた教育は抑止力を高めます。
退職者には誓約書にサインしてもらう
退職時には「機密保持誓約書」や「個人情報の不使用確認書」に署名を求め、退職後も秘密保持義務が継続する旨を明記します。
これにより、漏洩が発覚した際の損害賠償請求や差止請求の法的根拠になります。合わせて退職日までにアクセス権限の剥奪、PC・USBなどの物理資産の回収も徹底します。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
