お問い合わせ
顧客リストや社員の個人情報などの持ち出しは、裁判にも発展しかねない緊急度の高いインシデントです。
企業が保管する氏名、住所、電話番号などの個人情報が漏えいしたら、個人情報保護法に基づいて報告や調査が必要になります。また企業側は、個人情報を持ち出した本人に対し、法的対応を実施するため、証拠の収集が必要になる場合があります。
本記事では、個人情報が不正に持ち出された場合に考慮すべき重要な証拠の種類を詳しく解説します。
目次
個人情報の持ち出しが発生する原因
個人情報の持ち出しが発生する原因には以下の要因が挙げられます。
セキュリティ教育の不足
セキュリティ意識の低い社員が、個人情報を不注意に扱うことで、漏えいにつながるケースが多々あります。例えば、機密情報を私的端末にダウンロードしてしまったり、公共のWi-Fiを利用して機密情報にアクセスしたりする行為は、教育不足も原因の一つです。社員が情報の取扱いに関するリスクを理解し、日常的に注意を払うことができるよう、定期的なセキュリティ研修が重要です。
情報セキュリティポリシーの欠如
個人情報保護に関する明確な情報セキュリティポリシーが社内に存在しない、または社員に周知されていない場合、個人情報の取り扱いに個人差が発生します。その結果、知らない間にデータの持ち出しが発生する可能性があります。
企業は、情報のアクセス権の管理や外部持ち出しに関する規則、違反時の処罰などを盛り込んだ個人情報の取り扱いに関する情報セキュリティポリシーを策定し、それを全社員に徹底させましょう。
社内セキュリティの脆弱性が放置されている
ソフトウェアやシステムの定期的な更新を怠ると、既知の脆弱性が放置されることになり、外部からの攻撃に対して無防備な状態になります。
不正アクセスは、内部犯または外部の攻撃者によって行われることがあります。内部犯の場合、社員が不正に情報にアクセスし、それを外部に持ち出すことが問題となります。外部の攻撃者の場合、フィッシングやマルウェアなどの手段を用いてシステムに侵入し、個人情報を持ち出すことが考えられます。
企業は、システムのアップデートを定期的に行い、常に最新のセキュリティ対策を維持することが求められます。
社内不正行為
企業内の社員が意図的に個人情報を持ち出すケースもあります。これは、競合他社への転職の準備や、名簿業者などに個人情報を販売し、利益を得るための行動です。このような内部不正は発見が遅れることが多く、結果として大規模な漏えいにつながる可能性があります。企業は、アクセスログの監視や、不正行為を検知するための内部統制を強化する必要があります。
\法人様は最短30分でWEB商談可能!/
社内の個人情報が持ち出された場合の罰則
社内の個人情報が社外に持ち出された場合、持ち出しを行った本人には以下の刑罰が適用される可能性があります。
- 個人情報保護法違反:1年以下の懲役または50万円以下の罰金(第178条)
- 窃盗罪:10年以下の懲役(刑法235条)
- 不正アクセス禁止法違反:3年以下の懲役または100万円以下の罰金(第11条)
- 業務上横領罪:10年以下の懲役(刑法第253条)
- 背任罪:5年以下の懲役または50万円以下の罰金(刑法第247条)
個人情報とは、生存する個人に関する情報であって、氏名や生年月日などにより特定の個人を識別することができる情報を指します。また、単体の情報では特定の個人を識別できない場合であっても、他の情報を照合することで、特定の個人を識別することができる場合、その情報は全て個人情報とみなされます。
情報持ち出しの裁判に必要な証拠とは
退職した社員や、不正に情報持ち出しを行った社員に対して裁判を行う場合、証拠として認められる場合がある証拠例は以下の通りです。
- 電子メールのやり取り
- チャット履歴
- アクセスログ
- ファイル転送記録USBや外付けHDDの使用履歴
- 削除されたデータの復元記録
- スクリーンショットや画面録画
- ファイル転送記録
- 使用されたソフトウェアの履歴
- 関係者の証言
- 情報持ち出しに使われた書類
このうちアクセスログや履歴などの電子データは削除や改ざんが容易にできるため、証拠の収集方法によっては、裁判時に証拠として認められない場合があります。
電子データの法的利用を考えている場合は、「フォレンジック調査」と呼ばれる電子データの証拠保全・解析を行うことで、電子データの改ざんがないことを裏付けられるようになり、法的利用などにつなげられる場合があります。
万が一個人情報持ち出しの証拠となる端末のデータが意図的に削除されていた場合は、デジタルデータフォレンジックの証拠復旧サービスをご利用ください。データ復旧累計相談件数413,491件以上の実績とデータ復旧技術を元に対応できる場合があります。
個人情報持ち出し・情報漏洩の調査を行う場合、専門会社に相談する
社内不正、横領、情報持ち出しのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、社内のみで調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、法的措置を見越す場合、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\情報漏洩の調査ならDDF/
DDFの調査事例
| 調査背景 | 退職した社員がメールの他にも外付けHDD やスマートフォンのデータを削除。不正を行っていた可能性もあるため、当社へ調査をご依頼。 |
| 調査機器 | デスクトップパソコン/外付けハードディスク/スマートフォン 各1台 |
| ご提案・作業内容 | 「証拠保全」と「削除データ復旧」を実施。その後、メールの送信履歴や、情報を持ち出す際に使用する可能性のある外部接続機器、クラウドサービスの利用履歴も調査をご提案。 |
| 調査結果 | 退職者の私用アドレス宛てに見積書や顧客リストを送信していたことが発覚。調査結果をレポートにまとめてご報告。 |
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
多くのお客様にご利用いただいております
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
