社内不正・労働問題

従業員が無断で会社のデータを持ち出すリスクと持ち出されたデータの調査方法を解説

会社の顧客名簿や決算書類などは、会社の機密情報や詳細な個人情報が記載されているため、ほとんどの場合会社で持ち出しが禁止されています。

しかし、持ち出しを禁止されているデータを知らずに、社外へ持ち出した場合や、メールアドレスの誤りによって個人情報が流出するなど、意図せず情報漏えいが発生する場合も少なくありません。

このような情報持ち出しは企業に経済的損失や社会的信頼の損失につながり、最悪の場合、企業の倒産に直結する可能性もあります。したがって被害を最小限に抑えるには、情報持ち出しが判明次第早急に調査を開始し、事態の解明に乗り出す必要があります。

本記事では従業員による会社のデータ持ち出しがもたらすリスクと、漏えいしたデータを企業側で調査する方法について解説します。

\情報持ち出しについて調査したい方へ/

会社のデータ持ち出しによる企業のリスク

会社のデータが持ち出されることによって、企業は以下のようなリスクを被る可能性があります。

退職者による競合他社への情報漏えいのリスク

退職者が競合他社へ転職する際に、会社のデータを不正に持ち出してしまうケースがあります。履歴書や面接で実績をアピールするための参考資料としてデータを持ち出す場合や、悪意をもって会社の企業秘密を持ち逃げする場合などが考えられます。

特に競合他社へ顧客情報や製品の開発マニュアルなどが漏えいすると、会社が競争力を失い、同時に顧客からの信頼も失われるため、企業にとっては大きな痛手となります。

会社の機密情報の取り扱いについて社内に明確な規定がない場合、管理がずさんになるため、退職者に対して秘密保持誓約書の締結や、不正な情報持ち出しに対する罰則を就業規則に明記するなどして対策しましょう。

個人端末に会社の重要情報が漏えいするリスク

会社の端末に保存された重要情報が、個人端末にコピーされることも企業としては避ける必要があります。

個人の端末は会社で管理する端末よりセキュリティが厳重でない可能性もあります。特に個人を狙ったサイバー攻撃の中には、フリーソフトやアプリを装い、情報を窃取するものもあるため、重要情報が閲覧できる端末は、会社が管理できるものに限定する必要があります。

厄介なことに、リモートワークや勉強のために悪意なく情報持ち出しが発生する場合もあるため、重要情報の取り扱いに対する周知や、個人端末を仕事に使わせないなど、情報の取り扱い方法を明確にしましょう。

会社が社会的信用・経済的損失を被るリスク

会社の機密情報や顧客情報が漏えいすると、会社は社会的信用と経済的損失を被ります。

マニュアルや商品の開発方法などの情報が流出した場合は、競合他社にノウハウを真似されるなどして企業サービスの独自性が失われる可能性があります。

また顧客情報や従業員情報は、名前、住所、年齢、生年月日、銀行の口座番号、クレジットカード情報など、不特定多数へ漏えいすることで犯罪被害に遭うリスクが高い情報が含まれています。このような情報が漏えいすることで、企業は情報の取り扱いがずさんとみなされ、信用を失います。失った信用は企業イメージの悪化にもつながるため、商品の購買が避けられ、最終的に経済的損失につながります。

万が一情報持ち出しが発生した場合は、速やかに漏えいした情報の内容と規模を調査し、顧客や個人情報保護委員会に説明しなければなりません。その際に自社だけの調査では漏えいした本人への対応などに追われ、調査が不十分となる可能性もあります。必要に応じて外部の調査会社に相談することも考えましょう。

\情報持ち出しについて調査したい方へ/

会社のデータ持ち出しの手口

会社のデータ持ち出しの手口は何パターンか存在します。まずは従業員の行動などに心当たりがないか確認しましょう。

私用のUSBメモリやスマートフォンを使用する

情報持ち出しのよくある手口が私用のUSBメモリやスマートフォンを使用する方法です。会社のネットワークに接続されたPCに私用のUSBメモリや外付けHDDを接続してコピーし、そのまま外部に持ち出します。

また近年は私用のスマートフォンを業務で私用することを認めている企業もあります。しかし、BYODと呼ばれる制度を利用してパソコンの画面を撮影したり、社用ファイルを直接私用端末に転送する手口もあります。

社用メールアドレスから自身の端末にメールを送信する

社用メールアドレスを使用して、自分の個人メールアドレスにデータを送信する手口もよく見られます。特に、外部での作業を装ってデータを持ち出すケースがあります。

クラウドストレージに会社のデータを保存する

従業員がクラウドストレージサービス(例えば、Google DriveやDropbox)に会社のデータをアップロードし、外部からアクセスする手口も一般的です。この方法は、インターネットさえつながっていればどこからでもデータにアクセスできるため、非常に便利ですが、リスクが伴います。

紙などに印刷して持ち出す

社用端末を監視するツールを導入している環境であっても、機密情報を紙に印刷して持ち出す手口も依然として有効です。これを防ぐためには、プリント管理の強化やオフィス内の監視カメラの設置が有効です。

社用端末を遠隔操作してデータを持ち出す

極めて稀な例ですが、リモートアクセスツールを使用して社用端末を遠隔操作し、外部からデータを持ち出す手口もあります。これには正当な利用を装い、遠隔でシステムにアクセスするという方法が含まれます。

\累計3.2万件の相談実績/

会社のデータ持ち出しが発生した場合の対処法

データ持ち出しが発生した場合に、会社が取るべき対処法は以下の通りです。

漏えいした情報を特定する

会社側は情報漏えいが発覚した際に、漏えいした情報の内容、データ量、情報持ち出しを行った人物と状況について特定する必要があります。監視カメラの映像や関係者への事情聴取などを企業で迅速に行い、個人情報保護委員会への報告内容をまとめましょう。

ただし電子端末上にあるデータが情報漏えいした場合、単に別媒体へのコピーやシステム上に保存しただけでは、警察や行政機関へ提出する際に証拠として認められない可能性が高いです。

これはデジタルデータの改ざんが容易であるため、証拠の条件である客観性がそのままでは担保できないためです。電子データを法的な証拠として使用する際は、フォレンジックと呼ばれる適切な方法で電子データを保全し、分析する専門技術を用いる必要があります。

フォレンジック技術について詳しい解説はこちら

個人情報保護委員会へ報告する

調査の結果、漏えいした情報に以下の特徴が認められた場合は、速やかに個人情報保護委員会へ報告する必要があります。

  • 要配慮個人情報が含まれる個人情報(人種・健康診断結果・犯罪被害歴など)
  • 不正利用により財産的被害が生じるおそれがある個人情報(クレジットカード番号、企業秘密、住所などの個人情報)
  • 不正(不正アクセス、マルウェア感染、情報持ち出しなど)が目的で漏えいした情報
  • 流出した個人情報が1,000人を越えるおそれがある
  • 条例要配慮個人情報が含まれる個人情報(疾病・障がいなど)

企業は情報漏えいが発覚後、3~5日以内に個人情報保護委員会へ漏えいの事実につい手完結に報告する義務があります。その後1度目の報告から30日以内に再度、委員会へ報告しなければなりません。2度目の個人情報保護委員会への報告は、調査に基づいた情報漏えいの経緯と原因・被害の範囲・再発防止策などを詳細に報告する必要があります。

2度の報告を企業が怠った場合、企業は50万円以下の罰金が科されるため原因の調査は必ず行いましょう。

関係者に事情聴取を行う

情報持ち出しの調査で会社側ができることには、関係者へ事情聴取があります。これは漏えいが起きた経緯や原因を特定するのに有効です。情報持ち出しの実行犯に時間的猶予を与えないためにも、事情聴取は予告なしに行ってください。

また情報持ち出しを行った本人による自白は裁判における証拠となるため、ボイスレコーダーや自白内容をまとめたメモを用意して臨みましょう。

情報が持ち出された証拠を収集する

情報持ち出しが発生した場合は、証拠隠滅される前に証拠を収集する必要があります。社内の監視カメラなどの映像や持ち出し記録が記されたノートなどを確保しておきましょう。ただし、営業秘密へのアクセスログや個人情報を掲載したメールはデジタルデータであるため、フォレンジックと呼ばれる適切な保全技術が必要になります。

フォレンジック技術は一般的なIT技術とは異なるため、社内SEなどの業務の対象外です。また、仮にフォレンジック調査が可能な人物が在籍していても、証拠に必要な客観性が確保できないとの理由から、取得した証拠が裁判などで認められない可能性が高くなります。

パソコン、タブレット、スマートフォンなどのログや履歴等を調べる際は、第三者にフォレンジック調査を相談することが必要になります。

第三者による調査を行う

会社からデータが持ち出されて情報が漏えいした場合、企業側は調査の時間を十分に割くことができない場合や、電子端末などの調査技術がなく、調査が不十分に終わる可能性もあります。

調査不足で報告できないことを避けるためにも、会社で実施することが困難な調査は、第三者機関である調査会社に相談しましょう。警察は現行犯である場合を除き、証拠と被害届が提出されない場合、捜査・逮捕を行うことができません。

調査会社にも得意分野が分かれています。犯人と思われる人物の調査や行動について調査する場合は探偵、デジタル端末のアクセスログ調査や証拠保全が必要な場合はフォレンジック調査会社に相談すると良いでしょう。

\累計3.2万件の相談実績/

会社の情報持ち出しの調査は専門業者に相談する

DDF

情報持ち出し、個人情報の漏えい、社内不正、横領・着服のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。

このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備での端末の調査・解析、調査報告書の提出ならびに報告会によって問題の解決を徹底サポートします。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。

官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。

DDFの調査事例

調査の背景 機密情報を扱っていた従業員が競合他社へ転職したため、パソコン端末の調査を依頼。
調査機器 ノートパソコン2台/外付けハードディスク
作業内容 社用ノートパソコンの削除データ復元/USB接続履歴/ストレージ使用履歴/Web閲覧履歴調査
調査結果 社内のメールアカウントから、対象者の使用メールアドレス宛てにメールを送信した痕跡を確認。また、パソコン内から短時間で数万単位のファイルが削除された痕跡が確認できた。復元作業により復元に成功したデータと調査レポートをあわせてご納品。調査結果の情報をもとに、後日依頼者より退職者本人に確認したところ、USBを使用して社外へデータを持ち出したことを認めた。

 

インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。

取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。

インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。

DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。

当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。

企業の情報漏えいインシデント対応が義務化されています

2022年4月から改正個人情報保護法が施行されました

個人情報保護法改正2022

2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。

もしサイバー攻撃や情報持ち出しにより個人情報が漏えいした場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。

\相談から最短30分でWeb打ち合わせを開催/

会社のデータ持ち出しで適用される刑罰

会社のデータ持ち出しは具体的にどのような刑罰が適用されるのでしょうか。具体的には以下の刑罰が適用されます。

窃盗罪

窃盗罪とは他人が所有する物を盗んだ場合に適用され、刑法235条によると10年以下の懲役又は50万円以下の罰金が科されるとあります。

法律の原文は「他人の財物」の窃取とあるため、無形の情報の窃取は、一見窃盗罪の対象になりません。しかし、過去の判例では情報が記された紙や情報媒体を持ち出すことで窃盗罪が適用されています。

不正競争防止法違反

不正競争防止法違反とは、他人の商標や標品の模倣や、不正に取得した営業秘密の利用や信用棄損行為などが一例に当たります。

特に罰則が強化された営業秘密について、不正競争防止法『「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。』と定義されています。

具体的な営業秘密の条件は以下の通りです。

  • 秘密管理性…秘密に管理されていると認識できる状態の情報。アクセス制限のかかった情報や「部外秘」と記載されている情報が主に該当
  • 有用性…客観的に見て、情報が事業活動に有用なこと。効率的な事業の運用を記したマニュアルや過去の実験データなどが該当するが、公序良俗に反する情報は該当しない
  • 非公知性…一般的に知られず、情報の取得が困難な情報。刊行物や販売商品から容易に情報を推測・分析できないものが該当する

特に2023年6月の改正により、営業秘密の漏えいを故意に行った場合の罪は重くなりました。個人は最大で懲役10年以下、罰金3000万円以下の罰金法人は最大で10億円以下の罰金が課されます。なお公訴時効期間も延長され、個人・法人ともに7年となっています。

業務上横領罪

業務上横領罪とは、刑法253条より「業務上自己の占有する他人の物を横領すること」と定義され、罰則は10年以下の懲役刑です。

一般的な事例として経理による会社の売り上げの横領や、配達員による荷物の着服などがあげられますが、社員が管理する情報媒体や情報を外部に流出させた場合も業務上横領罪に該当する場合があります。

背任罪(特別背任罪)

背任罪とは刑法247条より「他人のためにその事務を処理する者が、自己もしくは第三者の利益を図りまたは本人に損害を加える目的で、その任務に背く行為をし、本人に財産上の損害を加えたときは、五年以下の懲役又は五十万円以下の罰金に処する。」といった内容です。

会社の従業員などが悪意を持って、営業秘密や社外秘を流出させ、会社の利益や既存の財産が減少した場合に背任罪が適用されます。

また取締役や社長、会長といった、一定以上の地位にあるものが背任罪を行った場合は、不正が容易に行える立場のため罰則が「10年以下の懲役若しくは1000万円以下の罰金」と重くなっています。

会社のデータ持ち出しで適用される民事上の処罰

会社の重要データの持ち出しが発生することで、解雇や民事訴訟に発展するだけでなく、会社側も責任が問われる場合があります。具体的な民事上の処罰は以下の通りです。

損害賠償金の支払い義務が発生する

営業秘密や顧客情報、クレジットカード情報などの流出が発生した場合、損害賠償金の支払いが求められる場合があります。

損害賠償金の支払い金額は、情報漏えいした人数、漏えいした情報の内容、二次被害の有無、情報漏洩後の会社の対応などにより総合的に判断され、一般的には一人あたり3000円から5000円の支払いが会社に命じられることがあります。

しかし、情報漏えいが原因の二次被害や、漏えいした情報に疾患や犯罪歴といった要配慮個人情報などが漏えいすると、賠償金額が上がり、一人当たり一万円以上となる場合もあります。

懲戒解雇の可能性もある

懲戒解雇とは、業務上横領や業務命令の拒否など社内秩序を著しく乱した従業員に対して行われる解雇です。企業から従業員に与える罰則の中で最も重いため、執行には就業規則上に、懲戒解雇となる条件を規定している必要があります。

ただし、懲戒解雇の執行には社会通念上相当かつ客観的に合理的な理由がなければ解雇は認められず、無効となります。

したがって、会社側は情報持ち出しの証拠を収集し、情報持ち出しを行った人物の特定を行う必要があります。

しかし、デジタルデータの情報は消去・改ざんが容易なため、企業内での調査が困難な可能性が高いです。その場合は、データ復旧も行っているフォレンジック調査会社まで相談しましょう。

データ復旧も行うフォレンジック調査会社であれば、一社の申し込みで復旧から調査まで完結させることができます。加えてデータ復旧技術が高い会社では削除されたデータの復元だけでなく、破損・水没によってアクセスできなくなったデータの復元に成功できる場合があります。

対応機種

対応機種

調査の料金・目安について

まずは無料の概算見積もりを。専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。

【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)

❶無料で迅速初動対応

お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。

❷いつでも相談できる

365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。

❸お電話一本で駆け付け可能

緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)

従業員のデータ持ち出しを防止する方法

会社の重要機密が情報漏えいすることを防止するには、情報の取り扱いに対する規則の整備や電子機器の設定が必要になります。本章では従業員のデータ持ち出しを防止する具体的な方法について解説します。

会社のデータの社外持ち出しを禁止する

就業規則に会社データの社外持ち出しを禁止する要項がなければ追加し、徹底させましょう。

データの社外持ち出しは新入社員や転職者など社内規則の理解が不十分な場合にも発生します。社用端末を社外に持ち出す際は上司への報告義務を設けるなどしましょう。

加えてデータの取り扱いに対する研修を定期的に行い、データ持ち出しにあたる事項を社内で共有する必要があります。

会社のデータの取り扱いを就業規則に規定する

会社の重要データの取り扱いについては、罰則まで詳細に就業規則に規定しましょう。

これは悪意を持った従業員が情報漏えいを行い、そのせいで企業が大損害を被ったとしても懲戒解雇などの処分が下せなくなるためです。深刻な社内不正が発生した際に、実行者は懲戒解雇となる場合が多いですが、実際に懲戒解雇を従業員に適用することは法律上厳しいのが現状です。就業規則上に懲戒解雇の規定がない場合は、情報持ち出しで企業が甚大な損害を被ったとしても処分ができません。

会社のデータにアクセス制限をかける

会社の重要データにアクセス制限をかけることで、データが他の端末にコピーされることを防止することが可能です。

アクセス制限と一口にいっても、限られた人物のみ閲覧可能にするものから、コピーを防止するものまで様々です。社内SEや端末の管理者にも協力を仰ぎ、機器の設定を行いましょう。

メールのモニタリングを行う

メールによる持ち出しを防ぐためには、監視ツールを社内に導入し、メールのモニタリングを行い、メールを介した情報漏えいを防止しましょう。

モニタリングツールが抑止力となるだけでなく、人的ミスによる情報持ち出しを迅速に検知でき、被害を最小限に抑えることが可能です。

定期的に従業員と面談する

悪意ある情報持ち出しが行われる原因として、従業員の会社への不満が根本にある場合があります。従業員の不満を早期に発見するために、責任者と従業員は定期的に面談を行い、改善すべき点は改善していきましょう。

よくある質問

調査費用を教えてください。

対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。

土日祝も対応してもらえますか?

可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。

匿名相談は可能でしょうか?

もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。

 

 

この記事を書いた人

デジタルデータフォレンジックエンジニア

デジタルデータフォレンジック
エンジニア

累計ご相談件数32,377件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

 

電話で相談するメールで相談する
フォームでのお問い合わせはこちら
  • 入力
  • 矢印
  • 送信完了
必 須
任 意
任 意
任 意
必 須
必 須
必 須
必 須
必 須
必 須
簡易アンケートにご協力お願いいたします。(当てはまるものを選択してください) 
 ハッキングや情報漏洩を防止するセキュリティ対策に興味がある
 社内不正の防止・PCの監視システムに興味がある