「退職が決まった社員による、顧客データや営業秘密の持ち出しを未然に防ぎたい」
「退職予定者に対して、どのようなセキュリティアナウンスや教育を行うのが効果的なのだろうか」
このような悩みを抱える総務・人事・情報システム部門の担当者の方は少なくありません。
企業の重要なデータや営業秘密が外部に流出するインシデント(事故)の中で、発生頻度・被害規模ともに大きいのが「退職者による不正な情報の持ち出し」です。
「自分が関わったプロジェクトだから」「転職先で成果を出すために参考にしたい」といった軽い気持ちから、PCやクラウドからデータを個人のストレージにコピーしてしまうケースが後を絶ちません。
万が一流出が発生すると、企業の社会的信用の失墜だけでなく、競合優位性の喪失、さらには法的措置への発展など、組織に甚大な損害をもたらします。
本記事では、退職予定者による情報持ち出しを防ぐために企業が実施すべき「セキュリティアナウンス」と「研修・教育の注意点」について、中立かつ実務的な視点で分かりやすく解説します。
1. 退職予定者へのセキュリティアナウンスで伝えるべき「3つの必須事項」
退職が確定した従業員に対しては、個別の面談や書面(またはメール)を通じて、速やかにセキュリティに関する注意喚起(アナウンス)を行う必要があります。
その際、必ず盛り込むべき内容は以下の3点です。
① 「営業秘密・機密情報」の定義と持ち出し禁止の明記
何が会社の秘密にあたるのかを具体的に伝えます。
顧客リスト、ソースコード、未発表の企画書、技術マニュアル、業務で使用した各種テンプレートなどはすべて会社の資産であり、私用USBメモリや個人のクラウドストレージ(Googleドライブ、Dropbox等)、個人のメールアドレス宛に転送・保存することは一切禁止されている旨を明確に通知します。
② 退職後も継続する「秘密保持義務(秘密保持誓約書)」の確認
在職中だけでなく、退職後であっても会社の機密情報を第三者に開示・漏えいしてはならないという法的義務があることを確認させます。
一般的には、退職時に「秘密保持誓約書(NDA)」を再度提出してもらう手続きとセットでアナウンスを行います。
③ 不正持ち出しに対する「ペナルティ(法的措置)」の周知
「知らなかった」では済まないリスクであることを理解させるため、万が一不正な持ち出しや漏えいが発覚した場合には、不正競争防止法違反などの罪に問われる可能性があること、および損害賠償請求や刑事告訴などの厳格な法的措置をとる方針であることを毅然と伝えます。
2. 実務で実践すべき「退職時セキュリティ研修・教育」の進め方
単にルールを書面で渡すだけでなく、退職前の期間を活用して、適切なフォローと教育を行うことが持ち出しの抑止力になります。
ステップ1:最新の「漏えい事例」を用いた意識改革
退職予定者向けのミニ研修や説明の場を設け、「過去に他社で退職者がデータを持ち出し、逮捕されたり数千万円の損害賠償を請求されたりした実際の事例」を共有します。
悪意がない「ちょっとした持ち出し」であっても、人生を棒に振る重大な犯罪になり得るという事実を客観的に認識させることが、最大の防御策となります。
ステップ2:引継ぎ業務におけるデータ整理のルール化
退職直前は、業務の引継ぎのためにデータの移動や整理が頻繁に行われる時期です。
このどさくさに紛れた持ち出しを防ぐため、「データの引継ぎは必ず会社の指定した共有サーバー内で行うこと」「個人のPCローカル環境に一時的に保存したデータは、引継ぎ完了後に担当者立ち会いのもと完全に消去すること」を教育し、徹底させます。
ステップ3:私物デバイスや個人アカウントの利用確認
業務で使用していたPCやスマートフォンなどの社給デバイスに、私的なアカウント(Apple ID、Googleアカウント等)でログインしていないかを確認させます。
また、業務を効率化するために個人で勝手に導入していた外部ツール(シャドーIT)がないかをヒアリングし、会社データが個人環境に残らないよう確実に削除させます。
3. システム・運用面で担当者が並行して行うべき対策
教育やアナウンスによる「人の意識へのアプローチ」と同時に、情報システム部門と連携して「システム的な制限」をかける両輪の対策が不可欠です。
- アクセス権限の早期剥奪・縮小: 退職が決定した時点から最終出社日にかけて、その従業員の業務に不要となった機密情報や基幹システムへのアクセス権限を段階的に縮小していきます。
- 各種アカウントの確実な削除: 最終出社日の業務終了と同時に、社内ネットワークへのVPN接続アカウント、メールアドレス、ビジネスチャット(SlackやTeams等)、利用しているクラウドサービスのアカウントを一斉に停止・削除します。
- PCやログのチェック体制の確保: 退職前1〜2か月間の操作ログ(大容量データのダウンロード履歴、外部ストレージへの書き込み履歴、不自然なメール送信など)に異常がないかを確認できる体制を整えておきます。
よくある質問(FAQ)
Q. 「自分が作った企画書だから、転職先でも参考にしたい」と言われたら?
A. 会社の業務時間内に、会社の資産(PCや給与)を使って作成された成果物は、すべて「職務著作」として会社に帰属します。
たとえ本人が一から作成したスライドやプログラムであっても、それを無断で持ち出すことは違法行為にあたるため、一切の持ち出しを認めてはならない旨を毅然とした態度で説明してください。
Q. 契約社員やパート、アルバイトの退職時にも同様のアナウンスは必要ですか?
A. 雇用形態に関わらず、すべての退職予定者に対して一律でアナウンスと秘密保持誓約書の回収を行ってください。
非正規雇用であっても、業務上顧客データや社内システムにアクセスしている以上、リスクの大きさは正社員と変わりません。
組織全体のセキュリティ規定として、一貫した運用を行うことが重要です。
まとめ
退職予定者からの情報持ち出しを防ぐ最大のポイントは、退職者を「疑う」ことではなく、会社として「持ち出せない仕組み」と「持ち出してはいけないという明確なルール」をあらかじめ示しておくことです。
- 秘密保持誓約書(NDA)の回収とペナルティの存在を明確にアナウンスする
- 他社の摘発事例などを通じて、軽い気持ちの持ち出しが重大なリスクになることを教育する
- 引継ぎ時のデータ整理ルールを定め、退職と同時にアカウントを確実に停止する
退職する従業員が、これまでの貢献に感謝しつつ、最後まできれいな形で次のステップへ進めるよう、担当者として抜け目のないスマートな退職アナウンスとセキュリティ体制を整えていきましょう。
情報セキュリティ研修をご検討中の方へ
当サイトでは、企業・自治体向けに以下のサービスをご提供しています。
- 研修動画パッケージ(買い切り型)
- 講師派遣による対面・オンライン研修
- 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター
動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。
料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。
の入社当日に行うべきセキュリティ教育|即戦力をリスクにしない初動対応-120x68.png)