【経営者・情シス1,019名調査】入社時教育だけでは防げない―退職者による機密情報持ち出しリスク、約8割が警戒するも当日のアカウント削除・権限変更完了はわずか2割！？

株式会社ISOプロ（本社：東京都新宿区、代表取締役：米田 泰三）は、企業の経営者・経営層・情報システム部門に所属している方を対象に、「退職者による機密情報持ち出し・不正アクセスのリスクと組織のセキュリティ体制」に関する実態調査を行いました。企業のセキュリティ対策において、従業員への教育は不可欠ですが、その定着には課題が残されています。今年3月に実施した調査では、入社時にセキュリティ教育を受けても「なんとなくしか理解していない」従業員が約6割おり、さらに約2割が「セキュリティミスを自己解決してしまう」という、組織の隠れたリスクが浮き彫りになりました。このように「入口（入社時）」のセキュリティ対策の定着に課題が残る一方で、いま企業にとって見落とせないもう一つの重大な脅威が「出口（退職時）」のセキュリティ対策です。人材の流動化が激しい昨今、外部からのサイバー攻撃だけでなく、退職者による顧客リストやノウハウデータの「持ち出し（内部不正）」リスクが企業の大きな脅威となっています。実際の現場において、退職時のアカウント管理や私用端末（BYOD）のデータ消去といった「出口」の対策は、どの程度徹底されているのでしょうか。そこで今回、各種ISOの新規取得・運用サポートサイト『ISOプロ』を運営する株式会社ISOプロは、企業の経営者・経営層・情報システム部門に所属している方を対象に、「退職者による機密情報持ち出し・不正アクセスのリスクと組織のセキュリティ体制」に関する実態調査を行いました。（中略：調査概要および詳細な統計データは原文参照）退職時の「機密情報持ち出し」リスク、約8割の企業が警戒。実際のヒヤリハット事例も。はじめに「従業員の退職に伴う機密情報の持ち出しや不正アクセスについて、自社の事業に影響を与える脅威としてどの程度警戒しているか」と尋ねたところ、約8割が『とても警戒している（35.4％）』『ある程度警戒している（47.1％）』と回答しました。多くの方が、退職者経由の情報漏えいリスクを深刻な脅威として認識している状況がうかがえます。社会のデジタル化が進み、顧客情報や社内データにアクセスしやすい環境が整ったことが、危機感を押し上げている要因と考えられます。また、内部不正による情報漏えいなどのニュースを目にする機会が増えたことも、経営層やシステム部門の警戒を強める一因になっている可能性があります。では、具体的にどのような情報の流出やリスクを危惧しているのでしょうか。前の質問で『とても警戒している』『ある程度警戒している』と回答した方に、「従業員の退職に伴う機密情報の持ち出しや不正アクセスについて、具体的に懸念している点」を尋ねたところ、『顧客情報や営業リストの持ち出し（58.4％）』と回答した方が最も多く、『設計データや自社ノウハウの流出（54.3％）』『退職者アカウントの削除漏れによる不正アクセス（45.8％）』となりました。「顧客情報や営業リスト」「設計データや自社ノウハウ」など、企業の競争力や信用に直結するデータの流出が上位を占めました。また、「アカウントの削除漏れ」も挙げられ、権限管理の隙が不正アクセスの入り口になることへも危機感が向けられています。実際に、こうした被害やトラブルが発生したことがある企業はどの程度なのでしょうか。「過去に、退職者による機密情報の持ち出しや、アカウント削除漏れによる不正アクセス等が発生したことはあるか」と尋ねたところ、以下のような回答結果になりました。『実際に被害が発生したことがある（15.4％）』『被害はないが、未遂や疑わしい事象（ヒヤリハット）が発生したことがある（39.5％）』『発生したことはない（36.1％）』『把握していない・わからない（9.0％）』「実際に被害が発生した」と「被害はないが、未遂や疑わしい事象（ヒヤリハット）が発生した」を合わせると半数を超えており、退職に伴うセキュリティトラブルが身近な問題であることが判明しました。退職時は普段と比べて管理の隙が生まれやすくなるなど、リスクが高まるタイミングといえそうです。実際に発生した被害やヒヤリハットのエピソードを詳しく聞いたところ、以下のような回答が寄せられました。■実際に発生した被害やヒヤリハットとは？・会社経費で購入したスマートフォンをデータ削除せず売却された（20代／男性／宮城県）・従業員並びに協力会社の担当者の個人情報を複写して持ち出そうとしていた（直前で発見し厳重注意した）（40代／男性／大阪府）・不正アクセスとダウンロードの形跡があった（50代／男性／東京都）・重要な顧客情報を使って次の店で集客に使われた（60代／女性／福岡県）・退職予定者が私物のUSBメモリに機密データをコピーしようとしたが、セキュリティソフトの制御機能によって自動遮断され、持ち出しを未然に防げた（60代／男性／奈良県）「不正アクセス」や「ダウンロード」といった不審な動きだけでなく、実際に「次の職場で顧客情報が使われた」という被害に遭った企業もあるようです。一方で、セキュリティソフトによって「USBへのコピーを未然に防げた」という事例も挙がっており、意図的な持ち出しを水際で食い止めるには、個人のモラルや意識に依存せず、システム的な制御や監視ツールを導入しておくことが重要であることが示されました。退職当日のアカウント削除完了は約2割―アカウント削除の遅れや私用端末（BYOD）管理など退職時セキュリティの抜け穴と課題。こうしたリスクを低減するための第一歩となる「アカウントの権限変更」は、退職後どのくらいのスピードで対応できているのでしょうか。「従業員が退職した際、社内システムやクラウドサービスなどのアカウント削除・権限変更を行うタイミング」について尋ねたところ、以下のような回答結果になりました。『退職日当日に行われている（22.1％）』『退職後、数日以内には行われている（29.7％）』『退職後、数週間～1ヶ月程度かかってしまうことがある（18.8％）』『定期的なタイミングで行うため、1ヶ月以上の長期間放置されることがある（7.6％）』『ルールがなく、担当者によって対応時期にばらつきがある（10.3％）』『把握していない・わからない（11.5％）』「退職日当日」にアカウント削除・権限変更が完了している企業は、約2割にとどまる結果となりました。「数日以内」を含めると約半数が比較的早期に対応しているものの、約2割の企業では「数週間～1ヶ月程度」の時間がかかっています。退職後もシステムにログインできてしまうこの期間が、退職後の不正アクセスや情報の持ち出しといったリスクを生む要因になっていると考えられます。アカウント管理に遅れが見られる中、より管理の目が届きにくい「私用端末（BYOD）」については、退職時にどのような対策が講じられているのでしょうか。「業務で私用端末（BYOD）を利用している場合、退職時のデータ削除やアクセス権限の解除は主にどのように担保しているか」と尋ねたところ、『退職時にアカウント停止・権限削除を実施している（20.2％）』と回答した方が最も多く、『把握していない・わからない（14.6％）』『私用端末の業務利用は禁止している（14.2％）』となりました。これらの結果から、私用端末に対する「出口」の対策は企業によって大きく分かれている実態がうかがえます。情報漏えいリスクを重く見て「業務利用を禁止する」企業や、MDM・VDIなどを用いて「システムで制御する」企業が一定数いる一方で、「アカウント停止のみ」で対応しているケースが2割と最も多い結果となりました。そのような中、会社全体として情報漏えいを防ぐためにどのような対策を行っているのでしょうか。「退職者による機密情報の持ち出しや不正アクセスを防ぐために行っている対策」について尋ねたところ、『入退社時のアカウント管理・権限変更マニュアルの整備（28.2％）』と回答した方が最も多く、『アクセスログの取得や、退職前後の大量データダウンロードの監視（23.6％）』『退職予定者に対する、退職日前のアクセス権限の縮小（22.4％）』となりました。「マニュアルの整備」というルール作りに次いで、「監視」や「権限の縮小」といったシステム面での対策が上位に挙がりました。管理漏れを防ぐ仕組みと、意図的な持ち出しを防ぐ監視体制の両面から対策を進めようとする姿勢がうかがえますが、いずれの施策も実施率が3割未満と低い傾向が見られます。では、対策の実施率が低い中、現在のセキュリティ運用には具体的にどのような課題を感じているのでしょうか。「現在の退職者向けセキュリティ対策において課題を感じている点」について尋ねたところ、『個人のモラルや意識に依存している（24.8％）』と回答した方が最も多く、『手作業でのアカウント管理が多く、抜け漏れが発生しやすい（24.5％）』『退職時の情報の取扱いやアカウント停止に関する明確なルール・プロセスが定まっていない（18.8％）』となりました。上位の回答から、組織的な「仕組み化」が不足している現状がうかがえます。「個人のモラルへの依存」や「手作業での管理」が僅差で並んでいることから、人為的なミスや不正を防ぐシステム的な制御が乏しく、従業員の倫理観や管理担当者のアナログな労力に頼らざるを得ない実態が読み取れます。さらに、「明確なルール・プロセスが定まっていない」が続くことからも、誰が対応しても抜け漏れが起きない標準化されたプロセスを構築することが、多くの企業にとって急務となっているといえるでしょう。個人のモラル依存から脱却へ。約8割が退職時の情報持ち出し対策に「第三者認証」が有効と回答。社内リソースだけで強固なプロセスを構築することの難しさが浮き彫りになりました。では、仕組みを標準化するために、ISO27001などの第三者認証を取得することは有効な手立てになり得るのでしょうか。「今後、退職時の機密情報の持ち出しや不正アクセスを低減するために、ISO27001などの第三者認証の取得は有効だと思うか」と尋ねたところ、約8割が『非常に有効だと思う（23.0％）』『ある程度有効だと思う（56.9％）』と回答しました。多くの方が、セキュリティ体制の構築において、国際規格という客観的な基準を取り入れることを有効な解決策として支持していることが判明しました。確立された基準に沿って管理体制を根本から見直したいという現場のニーズがうかがえます。最後に、前の質問で『非常に有効だと思う』『ある程度有効だと思う』と回答した方に、「ISO27001などの第三者認証の取得が有効だと思う理由」を尋ねたところ、『ルールや手順が明確になり、管理の属人化を防げるから（41.8％）』と回答した方が最も多く、『守るべき情報資産の洗い出しやリスク評価の体制が整うから（37.7％）』『退職時のアカウント管理・権限削除ルールを標準化できるから（36.2％）』となりました。上位の回答から、ISO27001に対して「脱・属人化」と「管理体制の根本的な見直し」を期待していることがうかがえます。「属人化の防止」や「ルールの標準化」が支持を集めている点からは、手作業や個人の意識に頼ったアナログな管理に限界を感じている現場のリアルな声が読み取れます。さらに、「情報資産の洗い出しやリスク評価の体制が整う」が第2位に挙がっている点も重要です。これは、表面的なルールを作るだけでなく、「そもそも自社の何を守るべきか」という土台からしっかりと見直したいというニーズの表れといえます。情報資産を正確に把握し、誰が担当しても抜け漏れのない「標準化されたプロセス」を構築できる点こそが、ISO27001が実務的な解決策として評価されている理由であることが示される結果となりました。【まとめ】退職時の情報漏えいリスクに対抗するには組織的なルールと体制の標準化が急務。今回の調査で、企業の経営者・経営層・情報システム部門に所属している方が、退職者による機密情報の持ち出しや不正アクセスに対して危機感を抱いている実態が明らかになりました。約半数の企業が「実際に被害が発生した」や「未遂や疑わしい事象（ヒヤリハット）が発生した」と回答しており、企業の重要資産が脅威にさらされています。しかし、強い警戒感とは裏腹に、現場の管理体制は追いついていないのが現状です。退職日当日に社内システムやクラウドサービスなどのアカウント削除・権限変更ができている企業は約2割にとどまっており、私用端末（BYOD）のデータ管理においても各社で対応が分かれるなど十分に管理しきれていない現状が浮き彫りになりました。こうした隙が生じる最大の要因として、手作業による抜け漏れや、個人のモラルや意識に依存した属人的な運用が挙げられました。利用するシステムやクラウドサービスが増加し、働き方が多様化する現代において、もはや手動の管理や個人の倫理観に頼るだけでは組織を守りきれなくなっています。