• 同業他社が自社商品と酷似した商品の販売を始めた
• ある人物に退職されてからスパムメールやマルウェアの検知が増加した
• 多数の既存顧客が同業他社のサービスに乗り換えた

昨今は転職の活発化により、退職者・転職者による情報持ち出しトラブルが表面化しています。USBメモリやスマートフォンにコピーして持ち出す手口が一般的ですが、中には遠隔操作アプリを使用したサイバー犯罪も発生しています。

退職者・転職者によって流出した顧客情報は、同業他社で活用される場合もあれば、顧客名簿業者やダークウェブ上（一般的な検索エンジンで検索できないインターネット領域）で販売される場合もあります。前者の場合は会社の利益損失につながり、後者は顧客が詐欺やサイバー攻撃などの犯罪に遭うリスクが高くなるため信用の損失につながります。

本記事では退職者・転職者による顧客情報持ち出しが発覚した際に企業がとるべき対応と、再発防止のための予防策について解説します。迅速に対処し、被害を最小限に抑えましょう。

＼24時間365日　相談受付／

転職・退職した社員による顧客情報の持ち出しは罪になるか？

転職・退職した社員が顧客情報を持ち出す行為は、日本の法律である「不正競争防止法」にある「営業秘密」の取り扱いに抵触するため、罪に問われる可能性があります。

不正競争防止法と営業秘密

退職や転職する社員が顧客情報を持ち出した場合、その情報が「営業秘密」として認められる条件を満たしていれば、不正競争防止法に基づいて違法行為とされる可能性があります。

営業秘密の定義は企業が有する機密情報のうち、3点全てを満たすものが該当します。

• 秘密管理性…限られた人物しか閲覧できないなど、情報が秘密として管理されていること
• 有用性…情報が事業活動に役立つものであること
• 非公知性…情報が公に知られていないこと

営業秘密の例としては、顧客情報のリストや自社製品の図面などが該当します。

不正競争防止法では、このような営業秘密の「取得」「開示（漏えい）」「使用」は禁止されており、悪質な場合は「10年以下の懲役」または「2,000万円以下（海外使用等は3,000万円以下）の罰金」あるいはその両方が科されます。（不正競争防止法 第21条1項1号-9号)

また、企業に損害を与えた場合は民事訴訟で「損害賠償責任」を問われる場合があります。

退職者・転職者による顧客情報の持ち出し発覚時に企業がとるべき方法

退職者・転職者による顧客情報の持ち出しが発覚した、あるいは疑われる場合は、警察に相談する前に、しかるべき機関への報告及び、自社での調査・証拠収集が必要になります。

警察は民事不介入の原則により、現行犯を除き、捜査には被害届などの提出が必要になります。また仮に被害届が受理されたとしても他に緊急度の高い事件があれば、捜査開始まで時間がかかってしまうため、裁判を見据える場合は早めに証拠収集を行いましょう。

個人情報保護委員会に報告する

2022年4月より改正個人保護法が施行され、以下の情報が漏えいした場合、企業は個人情報保護員会へ2度報告する義務が課されています。

• 要配慮個人情報が含まれる個人情報…健康診断結果、病歴、犯罪歴など
• 不正利用により財産的被害が生じるおそれがある個人情報…クレジットカード番号、企業秘密など
• 不正が目的で行われた個人情報の漏えい
• 1000人以上の情報が漏えいしたおそれがある
• 条例要配慮個人情報が含まれる個人情報…人種、社会的身分など

以上の内容の個人情報が流出した場合は以下の期日までに報告を行いましょう。

• 情報流出が発覚してから3～5日以内…情報流出の経緯、被害状況など
• 情報流出が発覚してから30日以内…調査によって判明した情報漏洩の原因や経緯、被害の程度など

漏えいした情報の拡散状況や内容について調査する

顧客情報の漏えいが発覚した場合は早急に以下の内容について調査しましょう。以下の内容については個人情報保護委員会へ報告する際にも重要となります。

• 漏えいした情報の内容
• 漏えいした個人情報の人数
• 漏えいした情報の拡散状況
• 情報漏えいが発生した経緯
• 情報持ち出しが発生した原因
• 情報持ち出しを行った人物

以上のような情報を調査する方法の一例として、以下の手段があります。

• 関係者への事情聴取
• 監視カメラの映像の確認
• 社用パソコンやスマートフォンのアクセスログ調査
• 不正アクセスの痕跡を調べる
• 顧客情報などを撮影した写真の調査
• メールの送信履歴・メッセージ内容の調査

以上の調査のうち事情聴取や監視カメラの調査は社内で可能ですが、不正アクセスの痕跡調査やアクセスログ調査などは専門知識が必要になるため、社員のみで調査できない可能性があります。

加えてパソコンやスマートフォン上の電子データは一般的な方法でデータのコピーや保存を行っても証拠にできない可能性が高いです。その理由は、電子データの改ざんや上書きが容易なため、客観性が担保できないためです。

したがって電子機器をそのまま調査しても証拠にできない場合は、特定の専門知識を持った外部の調査会社に相談し、適切な方法で電子機器のデータを調査してもらう必要があります。

外部の調査会社に相談する

社内の人材不足や多忙により、自社内での調査が困難な場合は外部の調査会社に相談する必要があります。しかし調査会社の中にも得意、不得意があり、人物の素行調査や会社の信用調査などは興信所、電子機器のアクセスログや履歴、情報をコピーした痕跡を調査する場合はフォレンジック調査会社に相談する必要があります。

フォレンジック調査はデジタルデータを適切に保全したうえで、電子的な情報やデータを収集・解析する調査方法です。したがって調査会社が作成した、調査結果をまとめた報告書を提出すると、客観性も担保できるため、デジタルデータが裁判や警察で証拠として取り扱ってもらえるようになります。

顧客情報を持ち出した人物へ訴訟を検討する際は、調査にあたりフォレンジック調査会社に相談することをおすすめします。

＼24時間365日　相談受付／

調査完了後に送る内容証明郵便に必要な記載内容

企業での調査が完了し、顧客情報を持ち出した本人を訴えたい場合は、内容証明郵便を各所に送付しましょう。内容証明郵便には以下の内容を記載する必要があります。

民事上の損害賠償の予定

内容証明郵便を退職者や転職者などに送付する際は、民事上の損害賠償の予定を明記しましょう。顧客情報の持ち出しや不正使用に対する警告となりえます。加えて数千万円以上の損害賠償命令が請求された過去の民事裁判事例を引き合いに出すことで、情報の持ち出しや不正利用に対する警告の裏付けとすることができます。

刑事告訴の予告

顧客情報などの重要機密情報の持ち出しは、刑事事件として告訴することも可能です。悪質な情報持ち出しの場合は、内容証明郵便に実際の判例を明示し、刑事告訴の予定を予告しましょう。

顧客情報の情報持ち出しで適用できる罪状の一例として「業務上横領罪」「窃盗罪」「不正競争防止法違反」「背任罪」などがあります。。

必要であれば身元保証人や転職先にも内容証明郵便を送る

情報を持ち出した退職者・転職者や関係者と連絡がつかない、本人に賠償金の支払い能力がない、同業他社が自社の技術や顧客リストを元に営業している場合は内容証明郵便を身元保証人や転職先に送付しましょう。後者の場合は転職先の同業他社に損害賠償請求ができる場合もあります。

ただし身元保証人に内容証明郵便を送付する際は、以下の条件に全て合致している必要があります。

• 身元保証書の期限内であること
• 退職者・転職者が顧客情報の持ち出しを退職前に行ったことが証明できた状態であること

以上の条件に一つでも適合しない場合は、身元保証人への賠償金請求が困難になるため注意しましょう。

外部のフォレンジック調査会社に調査を依頼すると、第三者による調査のため、客観性が担保され、デジタルデータが証拠として裁判や警察などの公的機関で認めてもらえる可能性が高くなります。

退職者・転職者の私用の機器が調査できない場合でも、社用パソコンやスマートフォン、会社の機密情報へのアクセスの痕跡調査といった、情報持ち出し調査のご提案が可能です。裁判を見据えている場合は、初動対応が早いフォレンジック調査会社までご相談ください。

＼法人様は最短30分でWEB相談可能／

企業の情報持ち出しの調査は専門業者に相談する

情報持ち出し、個人情報の漏えい、社内不正、横領・着服のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。

このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備での端末の調査・解析、調査報告書の提出ならびに報告会によって問題の解決を徹底サポートします。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。

官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。

情報持ち出し調査会社への相談方法

企業の情報漏えいインシデント対応が義務化されています

2022年4月から改正個人情報保護法が施行されました

2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。

もしサイバー攻撃や情報持ち出しにより個人情報が漏えいした場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。

退職者・転職者による顧客情報持ち出しを防止する方法

退職者・転職者による顧客情報持ち出しが過去に発生した場合は、再発防止のための予防策を新たに実施する必要があります。

入社時に身元保証書の提出を従業員に義務化させる

身元保証書とは、従業員が雇用契約や就業規則に違反する行為によって、会社に損害を与えた場合に、賠償金を身元保証人にも請求できる書類です。

身元保証書があれば、作成日から3年～5年間の間に従業員が不正行為を行い、企業が損害を被った場合、従業員に賠償金を支払う金銭がなくとも身元保証人に賠償金を請求することが可能です。

従業員の入社時に身元保証人の署名捺印を社内で義務化することで、従業委の不正による社内の経済的損失を補填できるのみならず、不正行為への抑止力とすることが可能です。

従業員と秘密保持契約書を締結する

秘密保持契約書とは自社の秘密情報を他社に開示する場合に、情報を他社にも秘密にしてもらう契約書です。重要な情報を取り扱う直前に交わされることが一般的ですが、従業員の入退社時にも締結しましょう。

なお秘密保持契約書を締結する際は以下の点を書類で明確にして締結すると、トラブルを未然に防止することが可能です。

• 秘密にしてもらう情報の内容や期間は明確にする
• 受け取った情報の公開範囲を明確に定める
• 秘密情報の使用範囲を明確に定める
• 秘密情報のデータや書類の廃棄方法や返還の方法について明確にする

顧客情報・顧客名簿の取り扱い方法を就業規則に明記する

企業内の情報持ち出しが発生する理由としては、社内での情報の取り扱い規則が曖昧である可能性があります。就業規則に顧客情報や名簿の取り扱いが規定されていなければ以下の内容などを追加しましょう。

• 顧客情報や顧客名簿の社外持ち出しの禁止
• 顧客情報や顧客名簿のコピーやスキャン、撮影の禁止
• 顧客情報や顧客名簿の私用のデバイスへの保存の禁止
• 顧客情報や顧客名簿の廃棄方法
• 顧客情報や顧客名簿の取り扱い規定を破った者への罰則

更に顧客情報や顧客名簿などの機密情報の取り扱い規則は、紙媒体と電子データの両方を想定した規定を作成しておきましょう

紙媒体の場合は以下のような保存方法が適します。

• 重要機密文書などには㊙などの表示を入れる
• 顧客名簿などの重要書類は金庫や立ち入り制限区域に保管する

一方で電子データの場合は以下のような保存方法が適します。

• 電子ファイルやドキュメント名に「秘密」「重要」など機密情報であることを明記する
• 機密情報が保存されている外付けHDDやUSBメモリなどの記録媒体に㊙など記入する
• 機密情報のファイルやフォルダにパスワードを設定する

以上のように、機密情報であることを明確にすることで、規則の認識不足による情報持ち出しを防止しましょう。

企業のデータや外部機器は全て返却または削除する

顧客情報の持ち出しを予防するには転職者や退職者に会社のデータや外部機器の返却や削除を徹底しましょう。

退職社員が使用していた社用パソコンや外付けハードディスク、USBメモリなどの外部機器をすべて回収し、データを安全に削除する手順を明確にします。

また、クラウドストレージや会社のメールアカウントに保存されているデータも確認して削除し、退職前にアクセス権を取り消しましょう。これにより、意図的または無意識的に顧客情報が外部に流出するリスクを最小限に抑えることができます。