会社の顧客名簿や決算書類などの機密情報や個人情報は、企業にとって非常に重要な資産であるため、ほとんどの企業ではデータの持ち出しを禁止しています。

社員が無断で会社のデータを持ち出すことは、重大な情報漏えいにつながる恐れがあります。意図せず持ち出された場合でも影響は計り知れず、経済的損失や企業の信頼失墜を引き起こす可能性があります。

企業がリスクを管理し、データ持ち出しを防ぐためには、情報漏えいが発覚した際に速やかに調査を行い、迅速に対応することが求められます。

本記事では、会社のデータ持ち出しによるリスクと対処するための効果的な調査方法について解説します。

＼情報持ち出しについて調査したい方へ／

会社のデータ持ち出しが発生した場合の対処法

会社のデータ持ち出しが発生した場合、速やかに対応し、リスクを最小限に抑えるために、次の手順を踏んで対処することが重要です。

• 漏えいした情報を特定する
• 個人情報保護委員会へ報告する
• 関係者に事情聴取を行う
• 情報が持ち出された証拠を収集する
• 第三者による調査を行う

漏えいした情報を特定する

データの持ち出しにより情報漏えいが発覚した際には、漏洩した情報の内容、データ量、持ち出した人物、漏洩範囲を迅速に特定することが非常に重要です。監視カメラの映像や関係者への事情聴取を通じて社内調査を行い、個人情報保護委員会への報告内容を整理します。

しかし、電子データが漏洩した場合、データの改ざんが容易なため、通常のコピーや保存方法では証拠として認められない可能性があります。法的証拠として電子データを使用するには、「フォレンジック」と呼ばれる専門技術を用いて、データを適切に保全し、分析する必要があります。

フォレンジック技術について詳しい解説はこちら

個人情報保護委員会への報告

2022年4月に改正個人情報保護法が施行され、以下の情報が漏洩した場合、企業は個人情報保護委員会に2回の報告を行い、個人情報が漏えいした本人への通知も義務付けられています。

情報漏洩が発覚してから3～5日以内に、情報流出の経緯や被害状況を報告する必要があります。また、発覚から30日以内に詳細な原因調査結果を報告する義務があります。

個人情報保護委員会への報告を怠ると、勧告や命令、さらには罰則が適用される可能性があります。命令に従わない場合、公表されることもあり、最終的には1年以下の懲役や100万円以下の罰金、虚偽報告には最大50万円の罰金が科されます。

法人に対しては、代表者や従業員の違反行為により最大1億円の罰金が科されることもあります。

関係者に事情聴取を行う

会社のデータ持ち出し調査において、関係者への事情聴取は非常に重要な手段です。聞き取りを通じて、情報漏えいが発生した経緯や原因を特定することができます。特に、情報を持ち出した人物に対しては迅速に対応することが重要なため、事情聴取は予告なしに行うのが効果的です。

また、情報を持ち出した本人が自白した場合、話した内容は裁判で証拠として使用される可能性があります。自白を録音するためにボイスレコーダーを使用したり、内容を正確に記録したメモを作成しておくことが大切です。

情報が持ち出された証拠を収集する

情報が持ち出された場合、証拠が隠滅される前に速やかに証拠を収集することが重要です。

物理的な証拠としては、監視カメラの映像や持ち出し記録、関連する書類などを確保し、デジタルデータに関しては改ざんを防ぐため、フォレンジック技術を活用して適切に保全します。

デジタルデータの調査は専門的な知識が必要なため、社内のIT担当者だけでなく、専門家による調査が求められます。

第三者による調査を行う

情報漏えいが発生した場合、企業側が調査に十分な時間を割けないことや、調査技術が不足していることがあるため、第三者機関である調査会社に相談することをお勧めします。

警察は証拠と被害届が提出されない限り捜査を行うことができないため、調査会社を活用して早急に調査を進めることが重要です。特に、デジタル端末の調査や証拠保全については、フォレンジック調査会社を利用することが効果的です。

＼累計3.9万件の相談実績／

会社の情報持ち出しの調査は専門業者に相談する

情報持ち出し、個人情報の漏えい、社内不正、横領・着服のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。

このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備での端末の調査・解析、調査報告書の提出ならびに報告会によって問題の解決を徹底サポートします。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。

官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。

会社のデータ持ち出しによる企業のリスク

会社のデータが持ち出されることによって、企業は以下のようなリスクを被る可能性があります。

• 退職者による競合他社への情報漏えいのリスク
• 個人端末に会社の重要情報が漏えいするリスク
• 会社が社会的信用・経済的損失を被るリスク

退職者による競合他社への情報漏えいのリスク

退職者が競合他社へ転職する際に、会社のデータを不正に持ち出すことがあります。履歴書や面接で実績をアピールするためにデータを持ち出す場合や、悪意をもって企業秘密を持ち逃げする場合です。特に顧客情報や製品の開発マニュアルなどが漏洩すると、企業は競争力を失い、顧客からの信頼も失われます。これにより、大きな損失が生じる可能性があります。

個人端末に会社の重要情報が漏えいするリスク

個人端末に会社の重要情報が漏洩するリスクは避けるべきです。個人端末は会社の端末よりもセキュリティが甘い場合が多く、サイバー攻撃によって情報が窃取されるリスクがあります。特に、フリーソフトやアプリを装った攻撃により、情報が流出する可能性があります。

また、リモートワークや勉強目的で意図せず情報が持ち出されることもあるため、重要情報の取り扱いに関する社内の周知徹底や、個人端末の使用禁止を明確にすることが重要です。

会社が社会的信用・経済的損失を被るリスク

企業の機密情報や顧客情報が漏洩すると、会社は社会的信用や経済的損失を被るリスクがあります。例えば、開発情報が競合他社に流出すると、競争優位性を失い、顧客情報の漏洩により信用が失われる可能性があります。信用喪失は企業のイメージを悪化させ、最終的に経済的な損失を引き起こすことにつながります。

また、データの持ち出しによる情報漏洩は、企業の責任も問われることがあります。特に、営業秘密や顧客情報、クレジットカード情報などが流出した場合、企業は損害賠償を求められる可能性があります。

情報漏洩が発生した場合、企業は迅速に漏洩内容と規模を調査し、必要に応じて顧客や個人情報保護委員会に報告する必要があります。調査が不十分になるリスクを避けるため、外部の調査機関に相談することも検討しましょう。

＼情報持ち出しについて調査したい方へ／

会社のデータ持ち出しの手口

会社のデータ持ち出しにはいくつかの手口があります。従業員の行動や端末使用に不審な点がないか確認することが重要です。

主な手口としては以下のようなものがあります。

私用のUSBメモリやスマートフォンを使用する

情報持ち出しの一般的な手口の一つは、私用のUSBメモリやスマートフォンを使用することです。従業員が会社のネットワークに接続されたPCに私用のUSBメモリや外付けHDDを接続し、機密データをコピーして外部に持ち出します。

また、最近ではBYOD（Bring Your Own Device）制度を採用している企業も増えており、従業員が私用のスマートフォンを業務に使うケースもあります。パソコンの画面を撮影したり、社用ファイルを直接私用端末に転送するなどの手口も見られます。

社用メールアドレスから自身の端末にメールを送信する

社用メールアドレスを利用して、自分の個人メールアドレスに機密データを送信する手口もよくあります。特に、外部で作業をしているかのように装い、業務用のデータを自分の私用のメールアカウントに転送するケースが見受けられます。メールが企業の監視を受けにくいため、情報持ち出しを行う手段として使われることがあります。

クラウドストレージに会社のデータを保存する

従業員がクラウドストレージサービス（例：Google Drive、Dropboxなど）に会社のデータをアップロードし、外部からアクセスする手口も一般的です。

基本は、インターネット接続があればどこからでもデータにアクセスできるため、業務が効率化されますが、企業のセキュリティ対策が十分でない場合、外部から不正にアクセスされるリスクや、データの漏洩・持ち出しが発生する可能性があります。

紙などに印刷して持ち出す

社用端末が監視されている環境でも、従業員が機密情報を紙に印刷して持ち出す手口は依然として有効です。紙に印刷の方法は、デジタルデータの監視を回避できるため、情報漏洩のリスクを防ぐのが難しくなります。

社用端末を遠隔操作してデータを持ち出す

リモートアクセスツールを使用して社用端末を遠隔操作し、外部からデータを持ち出す手口も存在します。正当な利用を装いながら遠隔でシステムにアクセスし、機密情報を外部に転送することが可能となります。

＼累計3.9万件の相談実績／

会社のデータ持ち出しで適用される刑罰

会社のデータ持ち出しに関して適用される刑罰について説明します。

• 窃盗罪
• 不正競争防止法違反
• 業務上横領罪
• 背任罪（特別背任罪）

窃盗罪

窃盗罪は、刑法第235条に基づき、他人が所有する財物を不法に盗んだ場合に適用される罪です。窃盗罪の刑罰は、10年以下の懲役または50万円以下の罰金です。

原則として、窃盗罪は物理的な「財物」を盗んだ場合に適用されますが、無形の情報（例えば、アイデアやデータ）は通常「財物」とみなされません。

しかし、過去の判例では、情報が物理的な媒体に記録されている場合（例えば、紙やUSBメモリなど）には、その媒体が「財物」として扱われ、窃盗罪が適用されています。

不正競争防止法違反

不正競争防止法は、企業間の公正な競争を守るため、商標や商品の模倣、営業秘密の不正利用、信用棄損などの不正競争行為を防止し、損害賠償を規定しています。

2024年4月から施行される改正不正競争防止法では、営業秘密保護が強化されます。退職や転職する社員が顧客情報を持ち出して、営業秘密として認められる条件を満たしていれば、不正競争防止法に基づく違法行為となります。

具体的な営業秘密の条件は以下の通りです。

不正競争防止法における営業秘密の漏洩について、個人は最大で懲役10年以下、罰金3000万円以下の罰金、法人は最大で10億円以下の罰金が課されます。なお公訴時効期間も延長され、個人・法人ともに7年となっています。

業務上横領罪

刑法第253条によれば、業務上横領罪は「業務上、自己の占有する他人の物を横領すること」と定義されており、最大で10年以下の懲役刑です。

一般的な事例として経理による会社の売り上げの横領や、配達員による荷物の着服などがあげられますが、社員が管理する情報媒体や情報を外部に流出させた場合も業務上横領罪に該当する場合があります。

背任罪（特別背任罪）

刑法247条によると、背任罪は「他人のためにその事務を処理する者が、自己または第三者の利益を図ったり、本人に損害を加える目的で、その任務に背く行為をし、本人に財産上の損害を与えた場合」に適用されます。

罰則は5年以下の懲役または50万円以下の罰金です。

会社の従業員が悪意を持って営業秘密や社外秘を流出させ、会社の利益や財産が減少した場合、背任罪が適用されます。

会社の役員（取締役、監査役、執行役など）が行った背任行為は、役員が不正を容易に行える立場にあるため、通常の背任罪よりも厳しく処罰されます。発覚した場合、特別背任罪として扱われ、罰則は懲役10年以下または罰金1000万円以下、またはその両方が科されることになります。

会社のデータ持ち出しで適用される民事上の処罰

会社の重要データが無断で持ち出されると、解雇や民事訴訟に発展する可能性があります。具体的な民事上の処罰は、以下の通りです。

• 民事損害賠償請求
• 懲戒解雇

民事損害賠償請求

持ち出されたデータによって企業に損害が生じた場合、企業は民事訴訟を通じて損害賠償を請求することができます。損害賠償請求には、漏洩したデータに関する損失や、営業利益の損害が含まれます。

また、次のような民事上の措置も取ることができます。

懲戒解雇

懲戒解雇は、業務上横領や業務命令の拒否など、社内秩序を著しく乱した従業員に対して行われる最も厳しい解雇処分です。就業規則には、懲戒解雇の条件が明確に定められている必要があります。

懲戒解雇を実施するには、社会通念に照らして合理的かつ客観的な理由が必要です。もし合理的な理由が欠けている場合、懲戒解雇は無効とされることがあるため、会社は情報持ち出しの証拠をしっかりと確保し、従業員を特定することが重要です。

デジタルデータの場合、消去や改ざんが容易であり、調査が難航することもあります。社内調査が十分に行えない場合は、専門機関への相談を検討することが効果的です。

従業員のデータ持ち出しを防止する方法

会社の重要な機密情報が漏えいすることを防ぐためには、情報の取り扱いに関する規則を整備し、電子機器の設定を強化することが重要です。

以下内容では、従業員によるデータ持ち出しを防止するための具体的な方法について解説します。

• 会社のデータの社外持ち出しを禁止する
• 会社のデータの取り扱いを就業規則に規定する
• 会社のデータにアクセス制限をかける
• メールのモニタリングを行う
• 定期的に従業員と面談する

会社のデータの社外持ち出しを禁止する

就業規則に会社データの社外持ち出しを禁止する項目がない場合は、速やかに追加し、徹底することが必要です。特に、新入社員や転職者などは社内規則を十分に理解していない場合があるため、社用端末を社外に持ち出す際には、事前に上司に報告する義務を設けることが重要です。

また、データの取り扱いに関する研修を定期的に実施し、従業員全員にデータ持ち出しに該当する行為や注意点をしっかり共有することで、社内全体の意識向上を図り、リスクを最小限に抑えることができます。

会社のデータの取り扱いを就業規則に規定する

会社の重要データの取り扱いについては、罰則を含む詳細な規定を就業規則に記載することが必要です。

規定を設けることにより、悪意を持った従業員が情報漏えいを引き起こし、企業が大きな損害を被った場合でも、懲戒解雇などの処分を適切に実施できます。深刻な社内不正が発生した場合、懲戒解雇は一般的に適用されますが、実際には法律上、解雇の適用が厳しいことが多いです。

特に、就業規則に懲戒解雇の規定がない場合、情報持ち出しによって企業が甚大な損害を受けても、適切な処分が行えない可能性があります。

会社のデータにアクセス制限をかける

会社の重要データにアクセス制限を設けることで、データが無断で他の端末にコピーされることを防止できます。

アクセス制限には、特定の人物のみが閲覧できるようにするものから、コピーを防止する機能を追加するものまでさまざまな方法があります。社内SEや端末管理者と連携し、適切な設定を行うことが重要です。

メールのモニタリングを行う

メールを使ったデータの持ち出しを防ぐためには、監視ツールを導入し、メールのモニタリングを行うことが重要です。

モニタリングの実施により、メールを介した情報漏えいを未然に防ぐことができます。さらに、モニタリングツールは抑止力を高めるだけでなく、人的ミスによる情報漏えいを迅速に検知し、被害を最小限に抑える効果も期待できます。

定期的に従業員と面談する

悪意ある情報持ち出しの原因の一つとして、従業員が会社に対して不満を抱えている場合があります。したがって、従業員の不満を早期に発見し、迅速に解決に向けて対応することが重要です。定期的に責任者と従業員が面談を行い、改善が必要な点は速やかに改善していくことが求められます。

フォレンジック調査はデジタルデータフォレンジックにお任せください