盛り上がる転職市場、高まる機密漏洩リスク

はじめに

　「ジョーシス式ITガバナンス」の第1回は、転職者によるデジタル情報の漏洩リスクについて取り上げます。

　最近では、2024年4月22日付日本経済新聞電子版がこの問題を取り上げ、転職者による営業秘密の漏洩が刑事事件まで発展した事例に触れて警鐘を鳴らしました。刑事事件以外でも、個人情報保護法に抵触したり、プライバシー権の侵害として民法上の不法行為となる恐れもあります。　

　転職希望者が1000万人を越えるなか、離職者が機密情報を持ち出したり、中途採用者が持ち込むリスクに対して、一段と留意する必要があります。現職の社員に対しては、情報の取り扱いについては研修を含めて日常的な啓発が行われています。

　しかし、離職する社員や中途入社の社員に対しては、いくつか、見落としがちなポイントが存在します。

1. 転職者による情報漏洩の増加、デジタル化が抱えるリスク

1.1　過去最悪の水準で増加している営業情報漏洩

　転職に伴う情報漏洩のリスクは、2023年4月に警察庁が発表した「令和５年における生活経済事犯の検挙状況等について」が参考になります。

　この資料によれば、営業秘密侵害事犯の検挙数は長期トレンドで増加傾向をたどり、2022年は過去最大、2023年は過去2番目の件数となりました。その背景として警察庁は、「転職・独立時に営業秘密に関する情報を持ち出す事犯がみられる」と分析しています。

　また、2023年の相談受理件数は過去最高の78件となり、潜在的なリスクがうかがえます。

1.2　退職者が利用していたIDの管理問題

　デジタル化も影響しており、警察庁の資料にはデジタル情報の漏洩事例が挙げられてます。電子情報は複製が簡単にでき、社外からのアクセスも可能な場合があります。さらに、コロナ禍によるリモートワークでSaaS等のクラウドサービスの利用が増え、ID管理が行き届かず、退職者が離職後でもアクセスできてしまうリスクが存在します。

　しかし、近年は転職は当たり前になりつつあり、デジタル化も止めることはできません。したがって、漏洩リスクを認識した上で、抑え込む手段が重要な点となります。

2．経営層が意識すべき、情報持ち出しによる重大な影響

2.1　企業収益に打撃が及ぶリスク

　個人情報や機密情報の漏洩は、その後の事態収拾や関係先への謝罪で多大な時間と費用を浪費することになります。それだけにとどまらず、長年育ててきたブランドが毀損してしまったり、クライアントから契約を打ち切られたりといった収益への直接的な影響も考えられます。

2.2　技術情報の漏洩は国家安全保障上の問題にも発展

　営業情報に限らず、技術情報の持ち出しも企業には深刻な打撃を与えます。開発中の製品技術が競合先に伝わってしまえば、開発競争において重大な影響が及びます。もし軍事転用が可能な技術であれば、国家レベルで経済安全保障上の問題となる可能性すらあります。

　警察庁も前述の「令和５年における生活経済事犯の検挙状況等について」において、大企業の漏洩情報が海外に流出した可能性があることを指摘しています。

　こうした視点から、転職者の退社に伴う情報の持ち出しや、転職者が入社する際に情報を持ち込んでくるリスクへの対応は、情報システム部門や人事部といった部門レベルの責任として捉えるだけでなく、企業トップや担当役員が自覚して対処すべき重大な経営課題と言えるでしょう。

3.盛り上がる転職市場、増える機密漏洩の局面

　特に、退職者は会社を離れてしまうため、管理漏れが生じやすくなっています。今後は転職が一段と当たり前となり、入退社に伴う管理を行う頻度が増え、同時にリスクも高まると言えるでしょう。

3.1　需給共に強い転職市場

　転職市場の供給側となる転職希望者・転職者は、増加傾向にあります。総務省による「労働力調査」の2023年（令和5年）版によれば、2023年の転職等希望者数は7年連続増加して1007万人に達し、1000万人を突破しました。

　需要側である企業側の求人動向も堅調です。2023年の有効求人倍率は1.28倍でした。過去最高だった2018年の1.66倍や、バブル期の1.4倍には届きませんが、比較的高い水準にあります。

4.　増えるSaaS利用、転職者増大により高まるリスク

　では、転職に伴う機密情報の漏洩防止のためには、どのような点に留意すべきでしょうか。

　様々なチェックポイントが存在しますが、今回は、特に盲点となりやすい点として、退職者が利用していたSaaS等クラウドサービスのID管理を挙げます。退職者が利用していたサービスのIDが解約されないまま放置されていれば、退職後も機密情報にアクセスできてしまいます。

4.1　手作業に伴う重大なリスク

　SaaS等クラウドサービスの管理は、情報システム部門がスプレッドシートなどの台帳で、一つ一つ手作業で管理している場合が多いのではないでしょうか。

　しかし、ID管理はベンダーごとに作業が異なるため煩雑な業務です。手作業で担当者で対応するため、管理台帳の記入漏れ、転記ミス、複数の台帳が存在するといった、ヒューマンエラーが起こりやすい環境にあります。また、企業によっては管理台帳が存在しないこともあります。

4.2　増えるSaaSに管理が行き届かず

　そして、管理すべきSaaS等クラウドサービスの利用も急増しています。
　米国のBetterCloud社の調査によると、2017年のSaaS契約数は16件でしたが、2020年は80、2022年に130個へ急増しました。背景にはコロナ禍によるリモートワークの普及があります。

　日本でもSaaSの利用は拡大しています。しかし、ジョーシスが調査したデータによれば、10個を越えると半数以上の企業で管理ができなくなることが判明しています。

　また、詳しくは別の回で扱いますが、「シャドーIT」の問題もあります。従来、企業が利用するソフトウエアの管理は、情報システム部門で一括管理されていましたが、低価格で利用できるSaaSや部門を特定したSaaSが増え、担当部門で独自管理をすることが増えてきました。シャドーITは、SaaS管理の課題の中でも難しく、情報セキュリティ上、重要な課題となりつつあります。

5. 一見、小さく見える問題が重大なリスクに

　今回は、転職市場の盛り上がりを背景とした機密漏洩のリスクについて解説しました。SaaSのID管理漏れという、一見、小さく見える問題が重大なリスクへと発展してしまう可能性があります。経営層レベルで重大な経営課題として認識すべき事と言えるでしょう。

　有効な対策の一つとして管理ツールの導入が挙げられます。ジョーシスは、本記事で取り扱った一括したSaaS管理やシャドーITの検知といった統合管理プロダクトを提供しています。少しでも気になることがあれば、気軽にお問い合わせください。

　本Noteで取り上げて欲しいテーマやご意見等も歓迎です。

お問い合わせ　note@josys.com
ジョーシスについて　https://jp.josys.com/

---

執筆者：川端隆史　ジョーシス株式会社 シニアエコノミスト