近年、従業員による情報漏洩のニュースが頻繁に報じられています。特に目立つのは、元従業員や派遣社員が企業秘密を持ち出して転職先で利用するケースです。この問題は、退職者が転職の際に持ち出す情報が、転職先で「手土産」として使われることが多いという現実から生じています。
新型コロナウイルスの影響で、世界的に人材の流動性が高まっています。アメリカの退職率は2022年に過去最多を記録し、日本でも退職率が増加の一途をたどっています。この背景には、より良いキャリアや待遇を求める動きがあり、特に20代から50代の正社員、エンジニア職の転職が活発になっています。
こうした動き自体は歓迎すべきものですが、情報管理の観点からは頭痛の種となります。調査によれば、セキュリティに責任を持つCISOの82%が退職者が情報漏洩に関わっていたと回答しており、実際に退職者が内部情報を持ち出すケースが多発しています。
では、企業はどのようにして内部からの情報漏洩を防ぐべきでしょうか。
法制面での対策
まず、不正競争防止法の改正により、保護対象が広がり、デジタル上の情報資産も規制対象となりました。また、退職者や業務委託先の行為も規制されるようになり、これに違反した場合、民事訴訟を提訴できる旨が明記されています。しかし、これが適用されるためには、保護すべき資産を「営業秘密」として適切に管理する必要があります。
内部情報漏洩対策の基本三原則
- 守るべき情報資産の定義と洗い出し
機密情報や個人情報を明確に定義し、社員全員に周知する。
- 情報資産へのアクセス管理
適切なアクセス権限を設定し、退職者のアクセス権限を迅速に剥奪する。
- 運用・監視
ログを監視し、アクセス管理が機能しているか確認する体制を整える。
これらの対策に加え、従業員や業務委託先と秘密保持契約を結ぶことも重要です。さらに、退職プロセスを整備し、退職時にネガティブな経験をさせないことも情報漏洩防止につながります。
テクノロジーの活用
ID管理基盤や自動化によるプロセスの進行、情報漏洩対策ソリューションを活用して退職者の振る舞いを可視化し、リアルタイムに注意喚起を行うことも有効です。
内部不正のトライアングル
アメリカの犯罪学者、ドナルド・クレッシーの「内部不正のトライアングル」によれば、内部不正は動機、機会、正当化の3つの条件がそろった時に行われます。このうち、機会や正当化の理由を排除することが内部不正対策に有効です。
まとめ
内部脅威のリスクに真剣に向き合い、個人の信頼性の確認やリアルタイムな抑止を行う対策が必要です。企業はゼロトラストセキュリティの考え方に基づき、内部からの情報漏洩対策を強化する時期に来ていると言えるでしょう。
これらの対策を実行することで、内部脅威による情報漏洩を未然に防ぎ、企業の重要な情報資産を守ることができます。