• 同業他社が自社商品と酷似した商品の販売を始めた
• ある人物に退職されてからスパムメールやマルウェアの検知が増加した
• 多数の既存顧客が同業他社のサービスに乗り換えた

昨今は転職の活発化により、退職者による情報持ち出しトラブルが表面化しています。USBメモリやスマートフォンにコピーして持ち出す手口が一般的ですが、中には遠隔操作アプリを使用したサイバー犯罪も発生しています。

退職者によって流出した顧客情報は、同業他社で活用される場合もあれば、顧客名簿業者に販売される場合もあります。前者の場合は会社の利益損失につながり、後者は顧客が詐欺などの犯罪に遭うリスクが高くなるため信用の損失につながります。

本記事では退職者による顧客情報持ち出しが発覚した際に企業がとるべき対応と、再発防止のための予防策について解説します。迅速に対処し、被害を最小限に抑えましょう。

＼24時間365日　相談受付／

退職者による顧客情報の持ち出しが発覚した際に企業がとるべき方法

退職者による顧客情報の持ち出しが発覚した、あるいは疑われる場合は、警察に相談する前に、しかるべき機関への報告及び、自社での調査・証拠収集が必要になります。

警察は民事不介入の原則により、現行犯を除き、被害届が提出されない限り捜査を行うことはできません。また仮に被害届が受理されたとしても他に緊急度の高い事件があれば、時間がかかってしまうため、裁判を見据える場合は早めに証拠収集を行いましょう。

個人情報保護委員会に報告する

2022年4月より改正個人保護法が施行され、以下の情報が漏えいした場合、企業は個人情報保護員会へ2度報告する義務が課されています。

• 要配慮個人情報が含まれる個人情報…健康診断結果、病歴、犯罪歴など
• 不正利用により財産的被害が生じるおそれがある個人情報…クレジットカード番号、企業秘密など
• 不正が目的で行われた個人情報の漏えい
• 1000人以上の情報が漏えいしたおそれがある
• 条例要配慮個人情報が含まれる個人情報…人種、社会的身分など

以上の内容の個人情報が流出した場合は以下の期日までに報告を行いましょう。

• 情報流出が発覚してから3～5日以内…情報流出の経緯、被害状況など
• 情報流出が発覚してから30日以内…調査によって判明した情報漏洩の原因や経緯、被害の程度など

漏えいした情報の拡散状況や内容について調査する

顧客情報の漏えいが発覚した場合は早急に以下の内容について調査しましょう。以下の内容については個人情報保護委員会へ報告する際にも重要となります。

• 漏えいした情報の内容
• 漏えいした個人情報の人数
• 漏えいした情報の拡散状況
• 情報漏えいが発生した経緯
• 情報持ち出しが発生した原因
• 情報持ち出しを行った人物

以上のような情報を調査する方法の一例として、以下の手段があります。

• 関係者への事情聴取
• 監視カメラの映像の確認
• 社用パソコンやスマートフォンのアクセスログ調査
• 不正アクセスの痕跡を調べる
• 顧客情報などを撮影した写真の調査
• メールの送信履歴・メッセージ内容の調査

以上の調査のうち事情聴取や監視カメラの調査は社内で可能ですが、不正アクセスの痕跡調査やアクセスログ調査などは専門知識が必要になるため、社員のみで調査できない可能性があります。

加えてパソコンやスマートフォン上の電子データは一般的な方法でデータのコピーや保存を行っても証拠にできない可能性が高いです。その理由は、電子データの改ざんや上書きが容易なため、客観性が担保できないためです。

したがって電子機器をそのまま調査しても証拠にできない場合は、特定の専門知識を持った外部の調査会社に相談し、適切な方法で電子機器のデータを調査してもらう必要があります。

外部の調査会社に相談する

社内の人材不足や多忙により、自社内での調査が困難な場合は外部の調査会社に相談する必要があります。しかし調査会社の中にも得意、不得意があり、人物の素行調査や会社の信用調査などは興信所、電子機器のアクセスログや履歴、情報をコピーした痕跡を調査する場合はフォレンジック調査会社に相談する必要があります。

フォレンジック調査はデジタルデータを適切に保全したうえで、電子的な情報やデータを収集・解析する調査方法です。したがって調査会社が作成した、調査結果をまとめた報告書を提出すると、客観性も担保できるため、デジタルデータが裁判や警察で証拠として取り扱ってもらえるようになります。

顧客情報を持ち出した人物へ訴訟を検討する際は、調査にあたりフォレンジック調査会社に相談することをおすすめします。

＼24時間365日　相談受付／

調査完了後に送る内容証明郵便に必要な記載内容

企業での調査が完了し、顧客情報を持ち出した本人を訴えたい場合は、内容証明郵便を各所に送付しましょう。内容証明郵便には以下の内容を記載する必要があります。

民事上の損害賠償の予定

内容証明郵便を退職者などに送付する際は、民事上の損害賠償の予定を明記しましょう。顧客情報の持ち出しや不正使用に対する警告となりえます。加えて数千万円以上の損害賠償命令が請求された過去の民事裁判事例を引き合いに出すことで、情報の持ち出しや不正利用に対する警告の裏付けとすることができます。

刑事告訴の予告

顧客情報などの重要機密情報の持ち出しは、刑事事件として告訴することも可能です。悪質な情報持ち出しの場合は、内容証明郵便に実際の判例を明示し、刑事告訴の予定を予告しましょう。

顧客情報の情報持ち出しで適用できる罪状の一例として「業務上横領罪」「窃盗罪」「不正競争防止法違反」「背任罪」などがあります。上記の罪状の中では不正競争防止法違反が最も重く、最大で懲役10年と2000万円以下の罰金の両方を科すことができます。

業務上横領罪や窃盗罪は、会社のHDDやUSBメモリ、紙などの媒体が情報持ち出しに使用された場合に適用が可能で、私用の媒体を利用した場合は罪に問うことができません。一方で「不正競争防止法違反」は私用の記録媒体や記憶を頼りに顧客データや機密情報を利用した場合でも適用が可能です。

必要であれば身元保証人や転職先にも内容証明郵便を送る

情報を持ち出した退職者や関係者と連絡がつかない、本人に賠償金の支払い能力がない、同業他社が自社の技術や顧客リストを元に営業している場合は内容証明郵便を身元保証人や転職先に送付しましょう。後者の場合は転職先の同業他社に損害賠償請求ができる場合もあります。

ただし身元保証人に内容証明郵便を送付する際は、以下の条件に全て合致している必要があります。

• 身元保証書の期限内であること
• 退職者が顧客情報の持ち出しを退職前に行ったことが証明できた状態であること

以上の条件に一つでも適合しない場合は、身元保証人への賠償金請求が困難になるため注意しましょう。

退職者による顧客情報持ち出しを防止する方法

退職者による顧客情報持ち出しが過去に発生した場合は、再発防止のための予防策を新たに実施する必要があります。

入社時に身元保証書の提出を従業員に義務化させる

身元保証書とは、従業員が雇用契約や就業規則に違反する行為によって、会社に損害を与えた場合に、賠償金を身元保証人にも請求できる書類です。

身元保証書があれば、作成日から3年～5年間の間に従業員が不正行為を行い、企業が損害を被った場合、従業員に賠償金を支払う金銭がなくとも身元保証人に賠償金を請求することが可能です。

従業員の入社時に身元保証人の署名捺印を社内で義務化することで、従業委の不正による社内の経済的損失を補填できるのみならず、不正行為への抑止力とすることが可能です。

従業員と秘密保持契約書を締結する

秘密保持契約書とは自社の秘密情報を他社に開示する場合に、情報を他社にも秘密にしてもらう契約書です。重要な情報を取り扱う直前に交わされることが一般的ですが、従業員の入退社時にも締結しましょう。

なお秘密保持契約書を締結する際は以下の点を書類で明確にして締結すると、トラブルを未然に防止することが可能です。

• 秘密にしてもらう情報の内容や期間は明確にする
• 受け取った情報の公開範囲を明確に定める
• 秘密情報の使用範囲を明確に定める
• 秘密情報のデータや書類の廃棄方法や返還の方法について明確にする

顧客情報・顧客名簿の取り扱い方法を就業規則に明記する

企業内の情報持ち出しが発生する理由としては、社内での情報の取り扱い規則が曖昧である可能性があります。就業規則に顧客情報や名簿の取り扱いが規定されていなければ以下の内容などを追加しましょう。

• 顧客情報や顧客名簿の社外持ち出しの禁止
• 顧客情報や顧客名簿のコピーやスキャン、撮影の禁止
• 顧客情報や顧客名簿の私用のデバイスへの保存の禁止
• 顧客情報や顧客名簿の廃棄方法
• 顧客情報や顧客名簿の取り扱い規定を破った者への罰則

更に顧客情報や顧客名簿などの機密情報の取り扱い規則は、紙媒体と電子データの両方を想定した規定を作成しておきましょう

紙媒体の場合は以下のような保存方法が適します。

• 重要機密文書などには㊙などの表示を入れる
• 顧客名簿などの重要書類は金庫や立ち入り制限区域に保管する

一方で電子データの場合は以下のような保存方法が適します。

• 電子ファイルやドキュメント名に「秘密」「重要」など機密情報であることを明記する
• 機密情報が保存されている外付けHDDやUSBメモリなどの記録媒体に㊙など記入する
• 機密情報のファイルやフォルダにパスワードを設定する

以上のように、機密情報であることを明確にすることで、規則の認識不足による情報持ち出しを防止できると同時に、悪意ある情報漏えいが発生した場合に、犯行を裏付ける明確な証拠となりえます。

特に電子データの顧客情報が持ち出された場合、フォルダやドキュメントの名前の変更し、機密情報であることがわかる内容にするだけで、アクセスログを調査・復元した際に動かぬ証拠となります。

外部の調査会社に調査を依頼すると、調査の客観性が担保され、デジタルデータが証拠として裁判や警察で取り扱ってもらえる可能性が高くなります。

退職者の私用の機器が調査できない場合でも、社用パソコンやスマートフォン、会社の機密情報へのアクセスの痕跡などを調査し、情報持ち出しを調査することが可能です。退職者や関係者の裁判を見据えている場合は、電子機器の調査に特化しているフォレンジック調査会社までご相談ください。

＼フォレンジック調査の専門家へ24時間365日で無料相談／

企業の情報持ち出しの調査は専門業者に相談する

情報持ち出し、個人情報の漏えい、社内不正、横領・着服のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。

このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備での端末の調査・解析、調査報告書の提出ならびに報告会によって問題の解決を徹底サポートします。

デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。

官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。

0120-900-952

企業の情報漏えいインシデント対応が義務化されています

2022年4月から改正個人情報保護法が施行されました

2022年4月に施行された「改正個人情報保護法」では、個人データの漏えい、あるいは漏えいが発生する可能性がある場合、報告と通知が法人に義務付けられました。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。

もしサイバー攻撃や情報持ち出しにより個人情報が漏えいした場合、まず感染経路や漏えいしたデータを確認することが重要です。しかし、調査を行う場合、法知識や専門技術が必要です。これは自社のみで対応するのが困難なため、フォレンジック専門家と提携して調査を実施することをおすすめします。

＼相談から最短30分でWeb打ち合わせを開催／

0120-900-952

対応機種

0120-900-952

この記事を書いた人

デジタルデータフォレンジック
エンジニア

累計ご相談件数32,377件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

認証取得情報

• 経済産業省策定の情報セキュリティサービス基準審査登録制度認定（サービス登録番号：022-0007-30）
• デジタル・フォレンジック研究会所属
• 日本ネットワークセキュリティ協会加入
• ISO27001、Pマーク取得

0120-900-952