「情報漏えい、当社に関係なし」の嘘（第4回）転職、退職時に重要情報を抜き取られる！？

　企業は従業員との信頼関係で成り立っている――。こう考える経営者は多い。しかし、仕事や待遇に不満を持つ従業員はいないと言い切れるだろうか。不満を持つ従業員がすべて不正行為を働くわけではない。だが、たった1人でも不満と悪意を持つ人がいれば、会社の機密情報を持ち出すリスクがないとはいえない。

　例えば、会社とのトラブルが原因で退職した従業員が技術情報を持ち出し、競合他社に転職というケースがある。情報処理推進機構セキュリティセンター（IPA）ではケーススタディーを「中小企業における組織的な情報セキュリティ対策ガイドライン」で紹介している。

　実例にも事欠かない。2015年2月、家電量販のエディオンの元課長が、ライバルの上新電機に営業秘密を漏えいしたとして逮捕された。2016年に入って、エディオンは50億円の損害賠償などを求めて上新電機を提訴している。

　2015年9月に東京高裁から判決が下った東芝の情報漏えい事件も話題になった。東芝の提携先企業の元技術者が、研究データを韓国半導体メーカーのSKハイニックスに漏えいした。この情報漏えいにより、東芝は1000億円規模の損失を被ったとみられる。秘密情報を漏えいした元技術者には、懲役5年・罰金300万円の判決が下っている。

　これらは大企業の例だが、中堅・中小規模の企業が無関係なわけではない。内部犯行の対策が不十分だと、誰も気づかない、誰も気に留めないうちに、重要情報が漏えいする。転職者、退職者が持ち出した情報により、ライバル企業に出し抜かれてシェアを奪われる事態もあり得る。

人とシステムの両面で対策

　対策としては、機密保持義務に関する誓約書を社員と結ぶといったルールの整備と、社員が不必要に情報を持ち出せない仕組みづくりが必要だ。

　そこで、人とシステムの両面から対策を講じる必要がある。人の対策では、情報活用のルールを取り決め、常日ごろから社内研修などを通じて情報セキュリティーの徹底を図る。IPAには企業向けの情報漏えい対策の教材「情報漏えい対策のしおり」があるので、参考にしていただきたい。

　システム面では、権限外の社員が機密情報や顧客情報にアクセスできないように制限する。また「いつ」「誰が」「どのデータ」にアクセスしたのか、分かるようにしておくのも重要だ。そのためには普段からアクセスログ（履歴）を取って保存しておくなど、情報セキュリティー対策の徹底がカギとなるだろう。