三匹（？）が語る！HRリスクマネジメント相談室（１）「退職者が個人情報を持ち出した！?」

【今月の三匹・プロフィール】
クマさん：
　鮭をもらった恩は一生忘れない。法律も大事だけど・・・義理とか人情とかも好き。特定社会保険労務士です。

ネコさん：
　猫なで声と鋭い爪をあわせ持ち、企業内での人事実務経験が豊富。社会保険労務士で、産業カウンセラーでもある。コンプライアンス違反を放置したら、「シャーッ！」ってしますよ。

フェネックさん：
　大きな耳はリスクを察知するアンテナ。情報セキュリティの専門家で、産業カウンセラーという一面も。でもなぜか方向音痴。

　みなさまはじめまして。森ではよく道に迷います。地図をくるくる回しながら、目的地を目指します。東西南北などわかりません。直感を信じてさらに道に迷います。大丈夫。迷うことはわかっています。だから、早め早めの行動を心がけているのです。

　さて、今回のご相談内容は、転職や独立のために既存顧客情報が持ち出された可能性があるというケースかと思われます。個人情報だけに限らず、技術情報等の営業秘密が競合他社等へ流出する場合は、当然ながら中途退職者が多く関与しています。（持ち出されたことにも気づかず、いつの間にか競争力を損なうようなこともあります）
　相談内容のような持ち出しによる不正が表に出るタイミングはさまざまです。多くはデータベースやPCへの不審な行動を監視で検知したり、「そちらのサービスを利用し始めたら急に不審なメールを受信するようになった」といった組織外の被害者からの問い合わせがあったり、不審な行動を目撃した同僚から報告されたりして判明します。
　情報を持ち出す媒体はほとんどの場合、ファイルなどの電子データか紙です。いずれも出力にはPCなどを介します。内部不正の懸念を持ったら、調査担当者は対象者のPCについて印刷履歴やUSBポートの接続履歴、インターネット上のストレージサービスの利用痕跡など持ち出し経路になり得る証拠やログを調べます。
　なお、調査にあたって必須の作業があります。調査の過程でPCやサーバ内の調査に使う電子データが改変されていないことを証明することです。電子データはとても簡単に改変できるからです。
　内部不正を追及する組織側が、改ざんされたことをある程度証明した場合でも、対象者が「身に覚えがない」「だれかのせいにしたい会社側が証拠をでっちあげた」と反論するかもしれません。こうしたやり取りが表に出ると、対象者への責任追及が緩むだけでなく、社会からは、反対に「（会社側は）情報漏えいを起こした上に証拠を捏造した」と不要な疑いを持たれかねません。組織側が調査データを改変していないことを証明するには、内部不正の調査における適切な初動対応（手続き）、つまり不正に持ち出された情報が使用されることを止めることや訴訟を見据えた証拠保全作業が欠かせません。
　不正に持ち出された情報が使用されることを止めることや訴訟を見据えた証拠保全を進める場合、データ内容を改変していないことを証明するため、作業内容をより詳細に記録として残すことが求められます。この場合、専門業者に保全作業を依頼することが望ましいといえます。これらを専門的に行うのが、コンピュータフォレンジックです。手法が少々煩雑であることに加え、第三者によって客観的に証拠が保全され、調査が適切に実施された事実が調査結果の正当性を担保します。USB端末やスマートフォン、コピー機などにも不正の痕跡が残されている可能性があります。対策班はどんな機器やログに調査が必要かを洗い出して、フォレンジックの専門業者と調査の範囲を決めつつ、隔離していきましょう。
　併行して弁護士など法律の専門家を交えて、証拠保全や調査、不正競争防止法他の法律などによる訴訟なども含めた今後の対応について協議します。保全したデータや調査結果を使って訴訟を進める専門家から見て、保全手順や調査手法が訴訟に耐えうるものかを判断してもらうことが必要です。そもそも私物のスマホでPCの画面を写真撮影して、当該情報外部に持ち出されてしまった場合、証拠そのものが何も残りません。機密性の高い情報を扱う執務室等については、私物端末の持ち込みを禁止し、出入り口に金属探知機を設置したり、室内に監視カメラを設置するなど、必要とされる情報セキュリティのレベルに応じた管理体制を整えることが事前対策として求められます。
　協議によって訴訟までの一連の対応手順が分かり、作業をスムーズに運べるようになるメリットもあります。すぐに連絡が取れる専門業者や法律の専門家を平時から選定し、有事に備えておくことも大切です。
　調査を進める際に大切なのは、不正を働く者の立場になって考えることです。自分がもし情報を持ち出すならどうするでしょうか。紙に印刷するのか、電子データであればUSBメモリにコピーするのかインターネット上のストレージサービスに転送するのか。自組織のシステム状況が分かるからこそ、どの媒体でどの経路を使うかを想像できるのです。仮説に基づき、PCやサーバなどにどういったログが残るかを導きだし、調査項目を設定します。情報漏えいの場合、ほかにもFTP（ファイルを送受信する仕組み）で転送したりメールに添付して個人のフリーアドレスに送信したりする経路もあるでしょう。その他にも日常的な行動に変化や兆候が見られたかどうかも重要な情報となります。例えば、「従業員が特定の申請や上長の承認なく、勤務時間外に社内で作業している」、「従業員が残業時間、勤務時間外、週末に非常に熱心に作業している」、「従業員に経済的困難、ギャンブル、健康状態、アルコール、薬物乱用などの問題がある」、「従業員が予期しない旅行や休暇をとったり、急に大金を得たり、多額のローンを返済している」など、ログ以外にも対象者の行動履歴や変化も調査の材料となりえます。

　事案ごとにシステム環境や被疑者のシステム的な権限が異なるため、持ち出しの手段・経路も変わってきます。発生の都度、調査対象の状況を踏まえて想像を膨らませ、調査項目をリスト化し、新たに項目追加することが欠かせません。
　その他、被疑者の行動や傾向を調べると、調査のヒントとなったり、調査側が認識していない新たな不正の痕跡を確認できたりする場合があります。
　被疑者のPCの起動履歴や、プログラムの実行履歴、Webブラウザで閲覧していたWebページの内容などを調べてみましょう。例えば、イベントログからPCの起動ログを確認したところ、不正を働いたと疑わしい期間に、休日のPC起動が突然増えていれば、休日の被疑者の行動を深く調査する必要があるでしょう。人がいない休日は（他人の目を気にせず）集中して不正を働きやすいものだからです。
　Webサイトの閲覧履歴に「ファイル 復元できなくする」と検索した痕跡があれば、被疑者は不正の証拠となるファイルを削除して復元できなくする「完全消去ツール」を使って証拠の隠滅を図ったかもしれないと想像できます。
　対策班が調査するのはこうしたログですが、ログの分析結果を基に被疑者の行動をイメージし、なぜそれがなされたかを想像することも調査に必要な観点です。
　コンピュータフォレンジックによる調査では、正確な証拠を発見できる場合が限られるのが現状です。情報漏えいの可能性が高いか低いかを、突き止めるだけに止まることも多少なくありません。「ストレージサービス上に何らかのファイルを送った」といったログだけでは「疑わしい行為があった」とまでしか判断できません。近年は「完全消去ツール」や侵入した証拠、操作の証拠となるログを消すプログラムなど、調査を阻害するアンチフォレンジック手法も発達してきています。
　本件のような事案の再発防止に意味も込めて、重要情報へのアクセス制限や管理はあらためて確認しておきたいポイントです。アクセス制限及び特権ID等の適切な付与及び無効化等の確実な措置は、企業・組織にとって当然実施されているものと思われがちです。しかし、企業・組織においてITシステムが規模を拡大しているなかで、サーバ台数の増加や、ルーター、セキュリティ・アプライアンスなどの管理者用アカウントの管理は一層煩雑になっており、それに伴い記録上では削除されたことになっているのに当該アカウントが有効であったりするなどの現実があります。
　実際の企業の現場では、情報システムの運用において「特権IDを共有で利用している」、「特権ID利用の申請ルールが徹底されていない」、「申請なしに権限を与えてしまう」、「証跡不足により、誰が・いつ・何をしたか特定できない」、「退職者、異動者のID削除漏れが多い」といった諸問題が、「重要情報を容易に持ち出せるということ」、「持ち出しても誰も気づかない環境を提供していること」と同一であり、不正の機会を安易に与えているということを認識する必要があります。
　この特権IDやシステム管理者権限の悪用は、情報セキュリティ関係の制度が整っているとされている組織・企業でも起こり得るため、盲点になっているということです。
　重要情報が不正に持ち出されないためにも、複数のシステム管理者による相互監視、又は少なくともシステム管理を更に監督する管理監督者や上司の存在が重要になってきます。これは、組織の大小にかかわらず、情報システム運用上不可欠であるといえ、特に不正な情報持ち出しについては、性善説に基づいた管理では全く実効性がありません。自社の運用と現状を踏まえたうえで、危険要因となり得る下記項目についてはあらためて確認いただきたい箇所です。

• 重要データへアクセス権を持つものに対する権限管理を定期的または不定期に実施しているか。（例えば、正社員と非正社員ではメンタリティ、会社や業務に対する忠誠心も異なることを念頭に置いた権限設定の見直しも必要である）
• 定期的・不定期的に重要データにアクセスする者の登録をおこなう作業担当者が適当であることを充分審査し、その者だけが登録等の作業をおこなえるようにしているか。
• 人事異動や人員の交代（派遣含む）後もアクセスできる状況にしていないか。
• 出退勤のルールや残業等の業務実施に伴う労務管理状況を見直しているか。（休日に一人ないし特定グループで作業している環境にないか、といった作業モニタリングの実施）
• 従業員ごとの誓約書等の提出状況・内容を確認しているか。

　こたつにもぐりこんでいたら、誰かに尻尾を引っ張られたの。困っている人がいるから出てきなさいって。呼ばれたからには頑張るニャン。

＜介護離職への対応＞
　さて、この○○さん、なんだか怪しいにおいがぷんぷんしますね。「介護離職」は本当に深刻で、社会問題化もしていますが・・・残念ながら、それを逆手にとって、「とやかく言われずに円満退社するための言い訳」としても使う人もいるようです。親の体調が悪いから「実家に帰る」と辞めた人と、近所の駅でばったり会ったとか、同業社で働いているらしいとか、そういう噂話は本当によく聞きます。疑いたくはないけれど・・・何もこんな理由で騙さなくてもいいのに、と思ってしまいます。でも、これも現実の一部。あくまでも、一部ですよ！
　ただ、疑うという意味ではなく、介護を理由とした退職の申出があったときに、介護休業を勧めてみるとか、転勤や一時的な業務負担軽減等で、働き続けるための方策を相談するとか、何らかの声掛けはしておくべきかな、と思います。介護休業は、「自分自身が介護をする期間」として考えたら短すぎるかもしれませんが、介護サービスの利用申請等、受けられるケアを受けるための「準備期間」だと考えるべきだ、という話も聞いたことがあります。「介護」と言われた途端に「じゃあ、退職するのは仕方ないですね」と短絡的に考えるのは、できれば避けたいところです。
　この○○さんの場合は、結果的には「介護」が嘘だったようですが、退職を申し出たときに、親身になって相談にのる姿勢を示していれば、その時点で「辞めづらい」雰囲気は醸し出せたはず。例えばですが、親身になって一生懸命対応しようとしているのに、本人が逆に明らかに不機嫌になったりするならば・・・怪しいサインと見抜けたかもしれませんね。
　親身に対応することは、本当に介護が必要になった人へは、もしかしたら「辞めずに済むための情報提供」になり得ますし、嘘の人には「怪しい様子を見抜くためのきっかけ」になり得ます。人材流出を食い止められれば「プラス」を減じることを防げますし、良からぬ事をたくらむ人に騙されるという「マイナス」も防げます。やっぱり「やるべきこと」「やった方が望ましいこと」はやるべし！それがHRリスクマネジメントの真髄だと思うのです。

＜採用時の注意点＞
　良からぬたくらみを牽制するための、退職時の「誓約書」については、クマさんが書いてくれると思いますので、私は「入口」つまり、採用時のことについてふれておきたいと思います。
　この○○さん、半年前に入社して、先月に退職したということですから、半年未満での退職ですね。同業社の出身で「即戦力」、早々に担当顧客も持たせて・・・ということで、期待してしまう気持ちはわからなくもないのですが、採用では「即戦力だ！」と飛びつきたくなったときほど、私は注意深くなるべきだと思っています。
　少なくとも、バリバリの競合会社から、それなりのポジションの人を入社させるとなれば、相当の覚悟が必要です。当然、競合会社から持ち出してきた情報を社内で使われたりすれば、大問題に発展することは目に見えています。業界内で「よからぬ噂」が立てば、即戦力どころかトラブルメーカーにしかなりませんよね。
　そこまで競合関係にあるわけではなく、ポジション的にもそれほど気を遣うほどでなく、というあたりが、つい油断してしまう層でしょう。
　まず面接でしっかり確認したいのは、退職理由です。「同じ業界」で、「同じ仕事」をするために、なぜわざわざ「転職」するのでしょうか。その理由を、きちんと聴く、「心まで含めて」聴くことが大切です。建前の理由だけを聞いて安心せず、本音レベルで聴くことができれば、相手が信頼できる人であれば信頼関係が深まりますし、信頼できない人であれば相手から逃げていくでしょう。問題は、どう訊けば「聴ける」か、というところです。
　転職サイトなどを見ていると、退職理由は「現在の職場を悪く言うのはNG」「応募先でできることに強い意欲を示すように」等、いかに「ポジティブに書くか」が肝のように書かれています。そうですね、あまりにも「あれがイヤ」「これがイヤ」と言われては、「うちでもあれがイヤ、これがイヤと言いそうだな」と、あまり良い気分にならないでしょう。しかし、「書いてあること」が全てではありません。「あえて書いていないこと」ほど、注目すべき点だと思うのです。
　例えば、「貴社の○○事業にぜひ参画したい！」とアピールされたとしたら・・・私なら、前職を志望した理由あたりから訊き始めるかもしれません。前職でも心惹かれた事業があったのかしら、この人はどんなことに興味を持つ傾向があるのかしらと、想像しながら、じっくり聴いていきます。前職で心惹かれたことを、どのくらいやりきって、どんな壁にぶつかって、どう対処してきたか、そして今、転職に至るまでにどんな葛藤があるかなどを聴いていけば、かなり深い話ができますよ。ただ、あまりにも詮索されると、ガードが固くなりますので、「差し支えない範囲で教えてください」と、付けるようにしています。
　あとは、「転職するときに、これだけは譲れない！と思う条件があれば教えてください」という質問もよくします。こちらは、労働時間や休日等、最も大切にしたいと思っている待遇面の条件が返ってくることが多いです。ここでミスマッチが起きると、せっかくご入社いただいても、結局は勤務を続けられなくなる可能性が高いので、しっかり確認しておきたい点です。同様に、「病気や服薬・通院等、お仕事をしていく上で、何か会社が配慮する必要のあることはありますか？」と聞くことも、あくまでも「会社が配慮すべきこと」に限って聞いていれば、問題はないはずです。本当に介護での離職であれば、「実は両親が・・・」という話が、この時点で出ていたかもしれませんね。はなから嘘なら、詳しく訊かれた時点で逃げ出すでしょう。「産業スパイ」的な目的で採用面接を受ける人も、いないとは限りません。経歴や表面的な受け答えで「素晴らしい」と思い込まず、冷静な目で観察し続けることが、まずは重要だと思います。

＜入社後、顧客や名簿類を任せる前に＞
　安易に顧客リストを持ち出したり、それを早々に使って営業したりするのは、随分軽率な行動ですね。この分では日常の業務中にも、「思っていたほど、優秀ではないなぁ」と思うようなエピソードや、化けの皮がはがれないようにするための怪しい言動が見受けられたのではないでしょうか。
選考を通り、入社してからでも、良からぬ事をたくらんでいる人には、「怪しい態度」は見つけられると思います。
例えば、こんなことはないでしょうか。

• 同行訪問や面談への同席を嫌がり、一人での行動にこだわる
• 前職でも付き合いがあったはずの関係先を、よく知らない（最寄り駅からの道や、受付システムを知らない等）
• 間違いを指摘されると、烈火の如く怒り出す
• 自分よりも若い人、立場が下の人の前では態度が変わる

　職務経歴書に書いてあることは、あくまでも自己申告です。悪気の有無に関わらず、本人一人の実績ばかりでなく、チームや部署の実績が含まれることは普通にあります。本人もそれに貢献していれば、書いてあることは嘘ではないのです。ただ、その「関与度」を、面接できちんと確認する必要はあります。その確認がもれると、「思ったよりも、即戦力ではなかった」ということは多々発生します。
　外部の関係先との面談に、誰かを同席させたくないのは、何かバレると困ることがあるのかもしれません。必要以上に怒ったり、自分の権威を見せ付けるような態度を示すのも、「とやかく言われたくないこと」「深く知られたくないこと」が隠れているサインとも取れます。
　この○○さんはどうだったでしょうね。「早々に担当顧客を持たせた」とのことですが、そうなるに至った経緯が気になります。上司の前では「私に任せてください！」と胸を張り、部下には「お前が同行するなんて、100年早い！」などとパワハラ発言をしたり・・・そんな怪しいサインはなかったでしょうか。「気分を害すといけないから」と、忖度ばかりしていてはいけません。時には「空気を読めない、ずうずうしい上司」となって、単独行動を牽制することも必要かもしれません。実際に同行し、相手とのやり取りを見て、本当に「即戦力だ」と思えたならば、存分に誉めて、仕事を任せたらよいのではないでしょうか。やはり「やるべきことはきちんとやる」ことで、任せることも、牽制することもできるのです。

　みなさまこんにちは。先月をもって冬眠の準備に入るつもりでしたが、もう少し起きているように言われましたので、もう少々お付き合いいただきたく存じます。

＜「入口→中間→出口」の管理＞
　小売業に従事している方でしたら、「入口→中間→出口」における管理と言えば商品管理の分野で良くお聞きになるかと思います。入口では、発注・納品・検品、中間では、在庫数・商品状態（温度管理、劣化状況、市場価値）、そして出口では、売上または廃棄、あるいは移転といった処理があるかと思います。そのいずれにおいても、紙面／データの形式を問わず、何らかの記録が残っていると思います。発注書・納品書・仕入伝票・温度管理表などが思い浮かびます。
　誤解を恐れずに表現すれば、「モノ」についてこれだけの記録を残しているのに、「ヒト」について記録を残さないことが不自然であるということです。決して、「ヒト」を「モノ」扱いしているわけではありません。「モノ」で当然に行われていることは「ヒト」において、それ以上にしっかり記録・管理をするべきだということになります。
　入口、すなわち「入社（その前の選考・採用過程を含む）」の段階は【ネコさん】が詳述してくれましたので、私から申し上げることはありません。他方、中間（在籍中）および出口（退職）について考えてみたいと思います。中間（在籍中）の管理とは、従業員さんの健康状態を示す健康診断の記録から始まり、個人の能力・スキル・経験の蓄積を一定期間ごとに振り返り、新しい目標の設定を行う目的で使用されることが想定される人事考課の記録などが考えられます。

＜出口（退職）＞
　どの従業員さんもいつかは退職します。定年退職もあれば自己都合退職もあります。自己都合退職の中にも、実家を継ぐなどの理由から、事例のように「元々情報を抜くことが目的」であることが疑われるものまで様々です。いずれにおいても、自己都合退職であれば、しっかりと出口の管理をしなければなりません。貸与品（PC、会社貸与のスマートフォン、ユニフォーム、名刺）、お客様・取引先の名刺、社員証、健康保険証などの返却と返却されたことの記録、そして何より「退職時の誓約書」を必ず取り交わしていただきたいところです。そして、定期的にその内容を見直すことも必要になるでしょう。例として、以下、箇条書きでお示しした点をご参考にしていただければ幸いです。

―――――――――――――――――

• 在職中に知り得た個人情報を含む全ての情報を第三者に漏洩しない旨を誓約してもらう内容
• 退職後、会社に対する誹謗中傷をしない旨を誓約してもらう内容
• 債権債務不存在を示す内容
• 競業避止に関する内容
• 退職日までに、会社が所有し貸与していた備品等を返却することと同時に、社外持ち出し、譲渡、貸与等をしない旨を誓約してもらう内容
• （前項の備品等とは別に）退職日までに、顧客情報、保有個人情報、業務関連資料その他会社が所有する全ての情報および資料について、会社に返却し、会社の許可なく、社外への持出、譲渡、貸与等をしない旨を誓約してもらう内容
• （あくまでも業務の引継ぎをしっかりするという意味合いで）退職日までに、退職する従業員さんの郵便物および宅配物を送付し得る顧客、取引先、提携先その他全ての関係者に対して、退職後、会社へ退職する従業員さんの郵便物および宅配物を送付しないよう（または代わりの送付先を連絡する）連絡してもらう内容（退職後、退職する従業員さん宛に届く郵便物および宅配物の取扱いについても取り決めをしておくことをお勧めします）
• 退職後においても、ソーシャルメディア（ブログ、２ちゃんねる、Facebook（フェイスブック）、Twitter（ツイッター）、LINE（ライン）、YouTube（ユーチューブ）等インターネットを利用した情報発信媒体すべてをいう。）上で次の各号に掲げる情報（匿名および伏字の情報を含む。）の発信をしない旨の誓約をしてもらう内容
• 会社、顧客、取引先等の業務上知り得た機密または個人情報
• 会社を代表する見解または意見と誤解され得る内容の情報
• 著作権、商標権、プライバシー権、肖像権、基本的人権等の貴社の権利を侵害する情報
• 会社の名誉・信用を毀損する内容、誹謗中傷、虚偽またはその誤解を招く内容の情報
• その他会社の利益を害する内容　　など
• 万が一、退職する従業員さんの故意または重大な過失により、上記事項に違反し、会社に損害を与えた場合の取り決め（書面上は「当該損害を賠償する」などとする内容が想定されます）

―――――――――――――――――

　ここで注意したいのは、「対面」で取り交わすことです。（返信用封筒を入れて）内容証明郵便で送る、あるいは顧問弁護士から送るといった方法もあるかと思いますが、この書面を「対面」で取り交わすことができない状況は、トラブルの火種を抱えているという意味で好ましくありません。ご承知のように労務関係のトラブルのうち、一定数は退職時のもめ事があるでしょう。しかし、退職時のもめ事は、退職時に突然発生したものではなく、中間（在籍中）からのいさかい、ボタンの掛け違いその他が蓄積した結果であると言えます。いかにして「非対面」での取り交わしを減らすか、言い換えれば（100％ではなくとも）「円満退社」を増やせるかは、中間（在籍中）から始まっていると言えます。

　そのためにも、人事部門のみなさまには、事業部門を含む各部門の責任者の方々に対して、日頃から働きかけていただきたいと思います。人事部門に相談があったころには「もう連絡も取れない状況」では遅いでしょう。そうならないように各部門の責任者の方々から、人事部門のみなさまに対して、「懸念」のレベルでも相談が寄せられるような関係構築をお願いしたいところです。

　これは言うだけなら簡単で、「人事に相談したら自分の管理能力が疑われるのではないか」といったことを心配する責任者の方々もいらっしゃると思います。しかし、わずかな異変、懸念への対応が不十分であったり見過ごしてしまったりした場合、その代償は後から、事例のように退職後に大きな問題となって現れてしまうことがあります。その方が会社にとっても責任者にとっても悪影響が大きくなります。そのことを認識してもらう働きかけが望まれます。