転職先に顧客情報を持ち出し？企業の対応と調査方法を解説

近年、転職活動の活発化に伴い、退職者や転職者によるデータ持ち出しトラブルが増加しています。特に、退職後に自社商品に酷似した商品を販売したり、スパムメールやマルウェアが増加するケースが報告されています。

USBメモリやスマートフォンを使ったデータ持ち出しに加え、遠隔操作アプリを使ったサイバー犯罪も発生。顧客情報が流出すると、同業他社で不正利用されたり、ダークウェブで販売されることで、企業の信用や利益に重大な影響を与えます。

本記事では、退職者や転職者による顧客データ持ち出しが発覚した際に企業が取るべき対応方法と再発防止のための予防策について解説します。

既に顧客データが持ち出された、または持ち出された疑いがあり、すぐに対応が必要な法人様は、24時間365日相談を受け付けているフォレンジック調査会社までご相談ください。

＼匿名相談に対応 法人様はWeb打ち合わせも可能／

転職時によるデータ持ち出しが相次ぐ背景

従業員による顧客情報の持ち出しは、企業の信用を著しく損ね、損害賠償や刑事責任につながる重大な問題です。2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は189件で、漏えいした個人情報は1,586万5,611人分で大きな問題になっています。

出典：東京商工リサーチ

このような状況が相次ぐ背景には、いくつかの要因が挙げられます。第一に、転職市場の流動化による人材の移動が活発化し、従業員が在職中に蓄積した営業リストや技術情報などを「自身のノウハウ」と誤認し、転職先で活用しようとするケースが増えています。

第二に、クラウドストレージや個人デバイスの普及により、企業の情報が簡単に外部へ持ち出せる環境が整ってしまっている点が挙げられます。さらに、企業側の情報管理体制が従業員の退職や異動を前提としたリスク管理にまで対応できていない場合、情報の不正流出を未然に防ぐことが難しくなります。

以上の背景を踏まえると、企業は技術的対策だけでなく、情報管理に対する従業員の意識を高める教育や、入社・退職時のチェック体制の強化が急務といえます。

退職者のデータ持ち出しの法的リスクと対応フロー・予防策を解説退職者によるデータ持ち出しは、実際に刑事・民事で立件される可能性のある重大なリスクです。情報漏えいの兆候を見逃さず、疑わしい場合は早期にフォレンジック調査などで事実を確認し、セキュリティ対策と合わせて行うことが、企業を守る上で非常に重要です。...

転職時のデータ持ち出しの事例

転職者によるデータ持ち出しには、以下のような事例があります。

USBメモリやHDDなどの外付け機器にコピーする

USBメモリや外付けHDDへのデータコピーは、データ持ち出しが発覚しにくい傾向にあります。特に退職前の引き継ぎや整理作業に紛れて行われると、気づかないまま情報漏えいにつながるリスクがあります。

悪質な場合は、保存された顧客情報やマニュアルを含めた機密データの削除やパソコンを初期化するなどの証拠隠滅を行い、競合他社に転職するようなケースもあります。

紙などに印刷して退職までに持ち出す

デジタル対策をすり抜ける手段として、資料を紙に印刷して持ち出すケースもあります。技術資料、顧客情報、契約書などを印刷してカバンや書類に紛れ込ませるため、ログによる検出が困難です。オフィスの出入口での書類チェックや、印刷ログの確認といった物理的対策も必要です。

法人用電子メールを個人のメールアドレスに送信する

自宅で作業する名目などで、業務データを個人メール宛に送信するケースもあります。業務用メールのログを確認すれば痕跡は残りますが、発見が遅れると情報が外部に流出した後という事態も起こりえます。

実際に、退職した社員が使用していたパソコンのメール、外付けHDD、スマートフォンのデータが削除されたことを発見し、調査した結果、退職者の私用アドレス宛てに見積書や顧客リストを送信していたことが発覚したケースもあります。

クラウドサービスへデータをコピーする

GoogleドライブやDropboxなどのクラウドストレージに、業務ファイルをアップロードして持ち出す手口も増えています。ブラウザ経由での操作やWebアプリを使った転送は、USB制限を回避できるため要注意です。業務PCからの特定クラウドサービスへのアクセスを制限するなどの対策が必要です。

私用のスマートフォンなどへコピーする

個人のスマートフォンやタブレットに、画面キャプチャや写真を撮って情報を保存するケースもあります。USBケーブルを使って直接データを転送することもあり、特に私物端末の持ち込みを許可している職場ではリスクが高まります。

個人情報が漏えいした場合の企業対応フローをフォレンジック調査会社が解説個人情報が漏えいした場合は、情報の種類と影響範囲を特定し、3〜5日以内に関係機関へ報告する義務があります。正確な原因特定と影響範囲の把握には、ログ分析や証拠保全を行うフォレンジック調査の活用が効果的です。この記事では個人情報が漏えいした場合の対応フローをフォレンジック調査会社が解説します。...

転職時のデータ持ち出しはどのような罪に該当する?

悪質な転職時のデータ持ち出しは、刑事罰や就業規則違反に基づく懲戒解雇処分などの対象となります。

個人情報保護法違反

顧客の氏名や連絡先、購入履歴などはすべて「個人情報保護法」における個人情報に該当し、正当な手続きなくこれを取得・利用することは同法違反となります。

従業員が業務で知り得た個人情報を無断で持ち出し、私的に使用した場合や競合他社に提供した場合、不正取得・不正利用として処罰の対象となります。個人情報保護法では、個人情報を不正に取り扱った者に対し、1年以下の懲役または100万円以下の罰金（法人の場合は最大1億円の罰金）が科される可能性があります。

また、被害が拡大した場合には損害賠償請求や社会的信用の失墜といった重大な影響が生じることもあります。

窃盗罪・業務上横領罪

転職時に業務データを無断で持ち出す行為は、内容や手口によって窃盗罪や業務上横領罪に該当する可能性があります。

それぞれの罪状の内容は以下の通りです。

• 窃盗罪（刑法235条）：他人の財物を不法に奪う行為を処罰対象とし、法定刑は10年以下の拘禁刑または50万円以下の罰金。
• 業務上横領罪（刑法253条）：業務として預かっている他人の財物を、その立場を利用して不正に自分のものにする犯罪。法定刑は10年以下の拘禁刑

データそのものは窃盗罪の対象とはみなされない傾向にありますが、データを紙にコピーして持ち出す、会社のUSBメモリに保存して持ち出すといった場合などは窃盗罪に当てはまる場合があります。

一方で、業務上横領罪は、経理担当者やシステム管理者など、業務で会社のデータを管理する人物がデータ持ち出しを行うと、「業務上横領罪」に該当する可能性があります。

背任罪

背任罪とは、他人の事務を処理する立場にある者が、その任務に背いて自己または第三者の利益を図り、相手に財産上の損害を与えた場合に成立する犯罪で、刑法第247条に規定されています。

法定刑は「5年以下の懲役または50万円以下の罰金」とされ、企業に対する重大な信頼違反行為として扱われます。

不正競争防止法違反

不正競争防止法では、「営業秘密（技術情報、営業情報、その他事業活動に有用な情報）」を正当な権限なく取得・使用・開示する行為を禁じており、顧客リストはその典型例とされています。

特に、リストが秘密として管理され、社内で限られた人物のみがアクセスできるような体制が取られていた場合、その情報は「営業秘密」として法律上の保護を受ける可能性が高くなります。

刑事罰となった場合は、「10年以下の懲役または2,000万円以下の罰金またはその両方」が課される場合があります。加えて海外に情報を漏洩させると、罰金の上限が3,000万円に引き上げられます。

雇用契約・就業規則違反

企業の就業規則や雇用契約には多くの場合、「在職中・退職後も機密情報を外部に漏らさない」と明記されています。違反した場合は懲戒処分や損害賠償請求の対象となる場合があります。

退職者による顧客引き抜きは違法？顧客データなどの引き抜き・持ち出しのリスクと調査方法を解説＞

規定に違反した転職者の場合、退職後であっても、損害が発生した場合には損害賠償請求などの民事訴訟に発展する可能性があります。さらに、漏洩した情報や持ち出した媒体によっては、刑事罰の対象となりうることもあり得ます。

雇用契約・就業規則違反が疑われた際には、競合他社や外部への情報流出を防ぐために、速やかにフォレンジック調査による事実確認を行うことが望ましいです。

＼匿名相談OK・ご相談前にNDA締結可能／

転職時に持ち出されたデータを使用したら企業に法的責任は発生するか

転職者が前職から不正に持ち出したデータを受け入れ先の企業が使用した場合、その企業にも法的責任が発生する可能性があります。

前職から持ち出された情報が「営業秘密」に該当する場合、「不正競争防止法違反（第2条1項4号など）」として、使用企業が損害賠償請求や差止請求の対象になる可能性があります。

たとえ企業側に主導的な関与がなくても、情報の違法取得や使用を「知りながら利用した場合」には法的責任が問われるのが一般的です。

また、悪質なケースでは、民事責任に加えて刑事責任（不正競争防止法違反による罰則）を問われることもあります。さらに、故意・過失による違法行為が認定されれば、企業の代表者や担当者個人にも使用者責任や共同不法行為の責任が及ぶことがあります。

したがって企業側は、採用時や業務開始時に、持ち込まれる情報が前職の資産でないかを明確に確認し、社内利用しないための教育・誓約書の取得・チェック体制を整えることが重要です。知らずに使用してしまった場合も、適切なリスク管理がなされていなければ「過失」として責任を問われる可能性があります。

情報持ち出し調査について詳しくはこちら＞

転職時のデータ持ち出しが発覚した際の対応

転職者による不正なデータ持ち出しが疑われる場面では、まずは適切な証拠保全と事実解明が不可欠です。

本章では、デジタルフォレンジックを中心とした調査フローについて、実務の流れに沿って詳しく解説します。

データ持ち出しの証拠を確保・保全する

従業員の転職に際し、情報の不正な持ち出しが疑われた場合、まずは、転職した社員が使用していた業務用パソコンやメール、クラウドアカウント、USB接続履歴、印刷履歴などに不審な操作がないかを確認し、ログやファイルを保存します。

この際、証拠となり得るデータが上書き・削除されないよう、当該端末の利用停止やバックアップ取得を行うのが基本です。また、関係部署や上司への聞き取り、業務引き継ぎの内容確認なども有効です。社内で対応が難しい場合は、外部のIT調査会社や弁護士に相談し、証拠保全や事実確認を専門的に進めることが推奨されます。

初動対応を誤ると、証拠が失われたり、法的措置が困難になるおそれがあるため注意しましょう。

弁護士を通じた内容証明郵便を送付して警告する

内容証明郵便とは、「誰が」「いつ」「どのような内容で」通知を送ったかを郵便局と文書で証明できる制度です。これにより、企業は「当該データの不正な取得・利用を確認した」「直ちに利用を中止し、返却・削除を求める」「今後の使用について法的措置を取る可能性がある」といった主張を、明確かつ証拠として残る形で伝えることができます。

さらに、弁護士名で送付することで、通知の法的重みや緊張感が高まり、相手方に自発的な是正措置や交渉の場を持たせるきっかけとなることが多くあります。内容証明の送付は、将来的に訴訟や刑事告訴を視野に入れた場合にも、企業として「適切な注意喚起を行った」という証拠となり得ます。

ただし、文面には法的な裏付けや表現上の配慮が必要なため、弁護士に依頼して作成・送付することが望ましいです。不用意な記載は名誉毀損や逆提訴のリスクを生む可能性もあるため、慎重な対応が求められます。

証拠データの解析には、高度な技術を要するデジタルフォレンジックが用いられます。対象はPC、スマホ、サーバー、NAS、クラウドなど多岐にわたります。

不正なファイル移動や送信履歴が見つかれば、行為者の特定や漏えいタイミングの確定が可能になります。

損害賠償請求を求め、民事請求を行う

転職時のデータ持ち出しが発覚し、企業に実害（営業機会の損失・信用低下・顧客流出など）が発生した場合、民事上の損害賠償請求を行うことが法的に認められています。

企業は、元社員（加害者）に対して、「不法行為に基づく損害賠償請求」（民法709条）を根拠に、損害の回復を求めることが可能です。さらに、転職先の企業が不正に取得されたデータを知りながら使用していた場合は、転職先にも共同不法行為や不正競争防止法違反による損害賠償請求を行える可能性があります。

請求にあたっては、以下の4点を主張・立証する必要があります。

• 不法行為の発生（データの不正取得・持ち出し）
• 故意または過失があったこと
• 実際に損害が発生したこと
• 不法行為と損害との因果関係

ただし、損害額の立証や証拠収集が難しい場合も多く、事前にフォレンジック調査や弁護士との連携が重要になります。早期に法的措置を取ることで、被害の拡大防止と抑止効果を図ることができます。

刑事告訴するため警察に被害届を提出する

転職者のデータ持ち出しの手口が悪質で、刑事責任を追及したい場合、企業は警察に被害届を提出し、刑事告訴によって責任を追及することが可能です。

被害届は、犯罪被害の事実を警察に伝える手段であり、告訴は「処罰を求める意思表示」を伴う正式な手続きです。これにより、警察や検察は本格的な捜査に着手し、加害者が法的に処罰される可能性が生じます。

調査結果の報告と証拠提示

すべての調査が完了したら、証拠に基づいた報告書を作成します。これは、社内規律や訴訟対応、警察相談の基礎資料となります。

法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。

デジタルデータフォレンジック（DDF）では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。

＼匿名相談に対応 法人様はWeb打ち合わせも可能／

転職時のデータ持ち出しの事実確認に有効なのはフォレンジック調査

退職・転職者による顧客データ持ち出しを防止する方法

退職者・転職者による顧客データ持ち出しが過去に発生した場合は、再発防止のための予防策を新たに実施する必要があります。

入社時に身元保証書の提出を義務化する

身元保証書とは、従業員が雇用契約や就業規則に違反した場合、企業に損害を与えたときに、その賠償金を従業員の身元保証人に請求できる書類です。

身元保証書があれば、従業員が不正行為を行い企業が損害を受けた場合、作成日から3年～5年間の間に、従業員に支払い能力がなくても身元保証人に賠償金を請求することができます。

従業員の入社時に身元保証書の提出を義務付け、身元保証人の署名捺印を求めることで、万が一の不正行為による経済的損失を補填できるだけでなく、不正行為の抑止力としても有効です。

従業員と秘密保持契約書を締結する

秘密保持契約書とは、企業が保有する重要な情報を従業員が取り扱う際、情報を第三者に開示したり不正に使用しないことを約束する契約書です。主に企業の機密情報を守るために交わされますが、従業員の入退社時にも必ず締結することが重要です。

秘密保持契約書を締結する際には、以下のポイントを明確に記載しておくと、後々のトラブルを防止することができます。

秘密保持契約書作成のポイント

秘密保持契約書を作成する際に、注力すべきポイントは以下の通りです。

• 機密情報として指定する情報の内容や範囲を明確にする
• 情報の公開範囲を明確に定める
• 情報の廃棄方法や返還方法について明確にする

このような秘密保持契約書を締結することで、転職者が企業の機密情報を不正に持ち出すリスクを減らすことができます。

顧客情報・顧客名簿の取り扱い方法を就業規則に明記する

企業内でデータ持ち出しが発生する原因の一つとして、社内での情報取り扱いに関する規則が曖昧であることが挙げられます。これを防ぐためには、顧客情報や名簿の取り扱い方法を就業規則に明記することが重要です。

具体的には、以下のような顧客情報の定義や禁止行為、違反時の処分などを明確に記載してあるか確認し、記載がない場合は追加することを検討しましょう。

就業規則に記載したほうがよい顧客情報・顧客名簿の取り扱い方法

就業規則に記載したほうがよい顧客情報・顧客名簿の取り扱い方法は下記の通りです。

• 顧客情報の定義
• 顧客情報や顧客名簿のコピーやスキャン、撮影の禁止
• 顧客情報や顧客名簿の私用のデバイスへの保存の禁止
• 退職後の顧客情報の保持や利用の禁止
• 退職時の顧客情報の削除・返還方法
• 顧客情報や顧客名簿の取り扱い規定を破った者への罰則

このように顧客情報や名簿といった機密情報の取り扱いについて、紙媒体と電子データの両方を想定した規定を作成しておくことが重要です。

就業規則に顧客情報の取扱規定を明記することで、機密情報であることを明確に示し、規則の認識不足によるデータ持ち出しを未然に防ぐことができます。

企業のデータや外部機器は全て返却または削除する

顧客情報の持ち出しを防ぐためには、退職者や転職者に対して、会社のデータや外部機器の返却・削除を徹底することが非常に重要です。

退職する社員が使用していた社用パソコン、外付けハードディスク、USBメモリなどの外部機器をすべて回収し、データを安全に削除する手順を明確に定めましょう。さらに、クラウドストレージや会社のメールアカウントに保存されているデータも確認し、不要なデータを削除したうえで退職前にアクセス権限を取り消すことが不可欠です。

データの削除により、意図的・無意識的に顧客情報が外部に流出するリスクを最小限に抑えることができます。

社員の在職時よりログ管理を行う

在職中から社員の操作ログやデータアクセス状況などを継続的に記録・管理しておきましょう。

ファイルの閲覧・コピー・外部デバイスへの書き出し・クラウドストレージの利用などの操作をログとして可視化することで、不審な行動の兆候を早期に察知できます。

また、ログの存在を社員に周知すること自体が抑止力となり、故意の持ち出しを未然に防ぐ効果もあります。機密情報を扱う部署では、アクセス権限の制限とあわせて、ログ監査体制を整備しておくことが不可欠です。