ナレッジ

退職者リスクマネジメント

退職者による情報持ち出しを防ぐためのリスク評価と対策の重要性

近年、退職者による営業機密等の情報持ち出しが増えてきています。退職者による情報の持ち出しを防ぐためには、監視ツールの導入など機械的な手法だけでは不十分です。退職の申し出を起点に、リスク評価と対策ができる体制と仕組みづくりの構築と合わせて、従業員の情報リテラシーを高めることも重要です。

 

I. 退職者と不正のトライアングル

近年、日本企業における人材流出が深刻な問題となっている。終身雇用制度が長く根付いていた日本社会では、企業と従業員の長期的な信頼関係を基盤として安定した雇用環境を提供することで、従業員の忠誠心を高め、不正行為のリスクを抑える役割を果たしていた。しかし、労働市場の変化や若年層の価値観の多様化により、転職や退職、独立する人材が増加し、終身雇用が崩れつつある。

人材流出の増加に伴う情報漏洩リスクの増大は、「不正のトライアングル」という概念を使って整理すると理解が進む。このトライアングルは、「動機」「機会」「正当化」の3要素が重なり合うことで不正が発生するという理論である。以下で、それぞれの要素について説明する。

動機

「動機」は、不正を引き起こす個人の内的な欲求や外的な圧力を指す。人材流出が増加する中で、従業員が感じる不安や不満が、不正行為を行う動機として働くことが多くなる。たとえば、職場環境への不満、待遇への不満、将来への不安などが積み重なることで、「会社のためではなく、自分のために何かを得なければならない」という強い動機が生まれる可能性がある。最悪の場合は、同業他社への転職を希望し、その転職を有利に進めるために、競合にとって価値のある情報を持ち出す誘惑に駆られることとなる。

近年、新入社員が3年目を迎えると転職を考えることが多くなってきており、従業員が転職を前提にキャリアを積む傾向が強まっている。先輩社員が既に同業他社に転職しており、そこで築かれたネットワークが存在する場合、そのネットワークを利用して転職を容易に進めるケースが少ない。若年層であるほど、転職への心理的ハードルが低く、転職先での成功を確実にするために情報を持ち出す動機を持ちやすいことを認識すべきだろう。

機会

次に、「機会」は、不正行為を実行するための状況的な要因を指す。企業が十分な管理体制や監視システムを設けていない場合、従業員が不正行為を行う「機会」が増加する。特に、退職が近づく従業員に対しては、業務量を徐々に絞るなどして、企業が管理の手を緩めがちなため、「機会」が知らず知らずのうちに増大している場合がある。

従業員が利用するPCやスマートフォン、クラウドストレージや外部記憶媒体などのセキュリティ設定やルールが整備されていない場合、容易に情報が持ち出せてしまう環境が存在していることも、不正行為の機会を与えているといえる。有事対応で行うデジタルフォレンジックのプロセスの中で調査対象部署のIT環境をヒアリングすると、資産管理台帳に存在しない機器を利用していることや、アクセス権限が整理されていないなど、管理が行き届いていない状態の企業は意外と多い。また、サイバー攻撃の増加により、不正アクセスやセキュリティインシデント、情報漏洩を防ぐために、資産管理ソフトやネットワーク監視ソフトを導入し、ユーザーが行った操作(ウェブの閲覧、アクセス先、ファイル共有、ダウンロードなど)のログを残す環境が整ってきているが、機器ごとに形式が違うログ、保存場所が点在して所在が定かでない状態、ログを見ても理解できないなど、ツールを導入しただけで、不正検知や抑止のために、ログを有効活用できている状態の企業は少ない。

正当化

最後に、「正当化」は、不正行為を行う際に、個人がその行為を倫理的に許容できる理由を見つける過程を指す。例えば、従業員が「これまでの貢献に対する正当な報酬」と解釈したり、「どうせ辞めるのだから、もう企業に義理はない」といった思考に陥ることがある。

2023年の正社員の転職率は7.5%で、そのおよそ半数がミドル世代(40代~50代)*だ。この世代の転職理由は給与などの待遇の改善、経験を生かして即戦力となれることが多く、条件を満たす転職先は同業他社となる傾向がある。特定の業務経験やそれに伴うスキル習得、管理職の経験があると同業他社に転職しやすい、ということが実は従業員の中では当然のこととして認知されている。また、同業他社へ転職した元先輩社員や元同僚が資料やデータを持ち出した経験を持っていると、「他の人もやっている」「これくらいは許される」といった集団的な認識が広がり、不正を行う際の心理的なハードルが低くなる原因となる。先に若年層の転職動機が高まっていることを指摘したが、ミドル層はより動機と正当化が一致しやすいといえるだろう。人口が減少していく社会で、従業員が長期的に活躍できる社風や文化を作ることは簡単ではないが、経営者は実態を把握するべきである。

* 株式会社マイナビ「転職動向調2024年版(2023年実績)」

II. 退職者による情報持ち出しに伴うリスク

退職者による情報の持ち出しには、例えば、営業職やマーケティング担当に多いケースとしては、取引先や顧客の担当者名、連絡先、契約条件のような顧客情報を持ち出し、転職先での新規顧客獲得に活用されるケースがある。研究開発担当やエンジニアの場合では、製品の開発資料、マニュアル、設計図、特許情報などの技術情報が持ち出され、同じ技術を用いた製品やサービスを市場に投入されることで差別化が困難になり、競争優位性が失われるケースなどがあり、企業に与えるインパクトは大きい。さらに、こういった不正行為が公になると、企業の情報管理の甘さが原因でブランドイメージが損なわれ、顧客や取引先からの信頼が低下する可能性もある。

こうした不正行為は、企業にとって法的リスクを伴う問題でもある。顧客の個人情報を不正に持ち出した場合には、持ち出した本人に対する懲役や罰金が課される可能性があるが、被害者でもある企業側も、個人情報保護法違反として、個人情報保護委員会への報告やステークホルダーへの説明などが求められる。また、顧客リストや営業戦略といった営業秘密を持ち出す行為は、不正競争防止法違に違反する恐れがあり、持ち出された側の企業は退職者および持ち込み先の企業に対して損害賠償を請求できるため、持ち出し側だけでなく、持ち込まれる側もリスクを抱えることに注意が必要だ。これらが取締役などの役員による不正行為の場合、善管注意義務や忠実義務の違反となり、企業へ与えるダメージは甚大になる恐れがある。

III. 持ち出しリスク低減に向けた課題

退職者による情報持ち出しリスクを低減するにあたって、最後に、実際の経験からいくつか課題を抽出してみたい。

一つ目として、企業は日常的に情報漏洩リスクへの対策を講じているが、退職者にかかわる情報の持ち出し被害が発覚するのは退職した後が多いことが挙げられる。当社が相談を受けるタイミングも退職後が多く、そこから調査を進めても有益な情報が残っておらず、法的措置が思うように進まないケースがある。この事態を回避するためには、退職する前に不正を見つけられる仕組みが必要だが、その一方で、情報漏洩対策で導入した監視ツールが有効に機能していないことが多くみられる。この原因はいくつかあるが、一つは情報システム部門に一任し、退職などの人事と連動していないことが挙げられる。また、ログを分析できる知識やリソースが不足していることも原因と考えられる。

二つ目として、この不正行為の特徴の一つに、情報を持ち出す行為が不正であり、発覚後に法的措置を取られることまで想定していないことが挙げられる。これは、機密情報の守秘義務等に対する認識が低いことが原因の一つだ。企業の中にずっといると、自身が業務で関与していた情報の機密性や重要度に対する感度が鈍くなりがちだ。特に近年、テレワークが急速に浸透したことでデータ化される情報が膨大になったことで、取り扱う情報に対する軽重の区別が曖昧になっていると考えられる。

以上の課題に対応するため、情報システム部門と人事が連携して、退職直前のデータアクセスや情報の持ち出しの監視を強化、あるいは、退職申請時点からシステム的にロックをかけるなどの措置を講じる必要があるだろう。また、情報の取り扱いに関する従業員のリテラシーを上げるために定期的な研修を実施するとともに、普段から従業員の理解度や行動から、リスクの高い従業員を識別しておくことが不正を未然に防ぐための重要なステップとなる。

※本文中の意見や見解に関わる部分は私見であることをお断りする。

 

執筆者

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック&クライシスマネジメントサービス
村上 尚矢 (シニアマネジャー)

 

(2024.12.11)
※上記の社名・役職・内容等は、掲載日時点のものとなります。

不正・危機対応の最新記事・サービス紹介は以下からお進みください。

>> フォレンジック&クライシスマネジメント:トップページ <<

お役に立ちましたか?