IPA「情報セキュリティ10大脅威 2026(組織編)」で「内部不正による情報漏えい等」が 5位 にランクインした。外部からのサイバー攻撃に目が向きがちだが、実は内部の人間による情報漏えいは件数・損害額ともに深刻だ。特に2025年以降、「手土産転職」(転職先に自社の機密情報を持ち出す行為)や「リベンジ退職」(不満を持つ退職者が意図的にデータを削除・持ち出す行為)が社会問題化している。営業秘密の漏えいルートの 約36.3%が中途退職者 経由であることがIPA「企業における営業秘密管理に関する実態調査 2020」で明らかになっている。本記事では、管理部門でセキュリティを兼任する担当者に向けて、退職者による情報持ち出しを防ぐ5つの具体策を解説する。
目次
内部脅威の実態:なぜ「身内」が最大のリスクなのか
数字で見る内部脅威
| 指標 | 数値 | 出典 |
|---|---|---|
| 営業秘密漏えいの中途退職者経由 | 36.3% | IPA「営業秘密管理実態調査 2020」 |
| 内部不正による平均損害額 | 約1億2,000万円 | JNSA「インシデント損害額調査レポート」 |
| 情報漏えいの発覚までの平均日数 | 約250日 | 各種セキュリティレポート集計 |
| 不正競争防止法に基づく検挙数(2024年) | 前年比約20%増 | 警察庁統計 |
IPA 10大脅威 2026における位置づけ
IPA「情報セキュリティ10大脅威 2026(組織編)」では「内部不正による情報漏えい等」が5位にランクインしている。この脅威は過去10年間、一度もランキングから外れたことがない。技術的に高度な攻撃ではないにもかかわらず継続的にランクインしているのは、多くの企業が 「うちの社員は大丈夫」という根拠のない信頼 に依存しているからだ。
中小企業が特に脆弱な理由
- アクセス権限が整理されていない:「全員が全フォルダにアクセスできる」状態が放置されている
- 退職プロセスが属人的:退職日当日もアカウントが有効なまま
- ログ監視の仕組みがない:いつ・誰が・何のファイルにアクセスしたか追跡できない
- 就業規則に秘密保持条項がない、または形骸化:法的な抑止力が機能していない
手土産転職・リベンジ退職の手口
手土産転職の典型パターン
「手土産転職」とは、転職先に有利な情報を持参することで自身の評価を上げようとする行為だ。転職活動中から計画的に実行されることが多い。
| フェーズ | 手口 | 特徴的な行動 |
|---|---|---|
| 転職活動期 | 顧客リスト、価格表、技術資料のダウンロード | 普段アクセスしないフォルダへのアクセスが増加 |
| 退職告知前 | 個人メールへの転送、USBメモリへのコピー | 大容量ファイルの送信、業務時間外のアクセス |
| 退職告知後 | 残存アカウントを利用した追加ダウンロード | 引継ぎ名目でのアクセス範囲拡大 |
| 退職後 | 未削除アカウントでのリモートアクセス | VPNやクラウドサービスへの不正ログイン |
リベンジ退職の典型パターン
「リベンジ退職」とは、会社への不満や恨みから、退職時に意図的にデータを削除・破壊・持ち出す行為だ。
- データ削除型:退職直前に共有フォルダやクラウドストレージのデータを大量削除
- 情報暴露型:社内の不正や機密情報をSNSや競合他社に提供
- システム妨害型:管理者パスワードの変更、設定の改ざん
実際に起きた事例
事例1:製造業A社(従業員80名) 開発部門のリーダーが競合他社へ転職する際、CADデータと顧客別の価格表をクラウドストレージ経由で持ち出した。発覚は転職先が酷似した製品を発売した半年後。損害額は試算で約8,000万円だが、退職時の秘密保持誓約書がなく、法的措置は難航した。
事例2:IT企業B社(従業員40名) 解雇された元システム管理者が、退職後も有効だったVPNアカウントを使用してサーバーに侵入。顧客データベースを削除した。アカウント停止までの空白期間は退職後3日間。バックアップからの復旧に2週間を要し、その間の業務停止による逸失利益は約3,000万円に達した。
事例3:商社C社(従業員150名) 営業担当者が退職前の2週間で、取引先リスト(約5,000件)と過去3年分の見積データを個人メールアドレスに送信。退職後、同業種の企業を設立し、元の取引先に営業をかけた。メール送信ログの確認は退職後1か月経ってから実施され、初動が遅れた。
5つの対策
対策1:アクセス権限の最小化(最小権限の原則)
概要:業務に必要な最小限のデータのみアクセスできるよう、権限を細分化する。
具体的な施策:
- ロールベースアクセス制御(RBAC)の導入:部署・役職・業務内容に応じてアクセス権限を設定。「全員が全フォルダにアクセスできる」状態を解消する
- 共有アカウントの廃止:「admin」「共有PC」などの共有アカウントは個人の操作を追跡できない。一人一アカウントを徹底する
- 特権アカウントの分離:システム管理者権限は、日常業務用アカウントと分離する。管理作業には専用アカウントでのみログインする
- 定期的なアクセス権限棚卸し:四半期に1回、各従業員のアクセス権限が現在の業務に合致しているかを確認する
コスト目安:Microsoft 365 Business Premium(月額2,750円/ユーザー)のAzure AD機能、またはGoogle Workspace Business Plus(月額2,040円/ユーザー)で実現可能。既存のファイルサーバーでもフォルダごとのアクセス権限設定は無料で実施できる。
対策2:ログ監視と異常検知
概要:ファイルアクセス、メール送信、USB接続、印刷などの操作ログを記録し、異常パターンを検知する。
具体的な施策:
- ファイルサーバーの監査ログ有効化:Windows Serverの監査ポリシーで、ファイルのアクセス・コピー・削除を記録する
- メール送信ログの監視:大容量添付ファイル、外部ドメインへの大量送信をアラート対象にする
- USBデバイスの接続ログ取得:デバイス制御ツールでUSBメモリの接続を記録、または接続自体をブロックする
- クラウドストレージの操作ログ確認:Microsoft 365やGoogle Workspaceの管理コンソールでダウンロード・共有操作を確認する
- 異常パターンの定義とアラート設定:「退職予定者が通常の3倍以上のファイルダウンロードを実行」など、閾値ベースのアラートを設定する
コスト目安:Microsoft 365 E5(月額7,130円/ユーザー)のMicrosoft Defender for Cloud Apps、またはSKYSEA Client View(月額500〜1,000円/端末)等の資産管理ツール。Windows Serverの監査ログ設定自体は追加費用なし。
対策3:退職プロセスの標準化
概要:退職から情報漏えいに至る「空白期間」をゼロにするための手順を整備する。
退職時チェックリスト(必須項目):
| タイミング | 実施事項 | 担当 |
|---|---|---|
| 退職告知時 | アクセス権限の確認・記録 | 情報システム担当 |
| 退職告知時 | 秘密保持に関する面談の実施 | 人事・上長 |
| 退職2週間前 | 引継ぎデータの棚卸し | 上長 |
| 退職1週間前 | 不要なアクセス権限の順次削除 | 情報システム担当 |
| 最終出社日 | 全アカウントの無効化(メール、VPN、クラウド、社内システム) | 情報システム担当 |
| 最終出社日 | 貸与端末・USBメモリ・IDカードの回収 | 総務 |
| 最終出社日 | 秘密保持誓約書への署名 | 人事 |
| 退職翌営業日 | 全アカウントの削除確認 | 情報システム担当 |
| 退職後1週間 | 退職前1か月のアクセスログ確認 | 情報システム担当 |
対策4:DLP(Data Loss Prevention)の導入
概要:機密データの社外への送信・コピーを技術的にブロックする仕組みを導入する。
DLPで制御できる経路:
| 経路 | 制御内容 |
|---|---|
| メール送信 | 機密ファイルの外部送信をブロックまたは警告 |
| USBデバイス | USBメモリへの書き込みをブロック |
| クラウドストレージ | 個人アカウントへのアップロードを禁止 |
| 印刷 | 機密文書の印刷をログ記録または制限 |
| スクリーンショット | 特定アプリケーションでの画面キャプチャを制御 |
- Phase 1(即時):USBデバイスの使用制限。Windows Serverのグループポリシーで無料実施可能
- Phase 2(1か月以内):メールDLPの有効化。Microsoft 365のコンプライアンス機能で追加コストなし(E3以上)
- Phase 3(3か月以内):エンドポイントDLPの導入。端末単位でのファイル操作を制御
コスト目安:Microsoft Purview Information Protection(Microsoft 365 E3に含まれる、月額4,500円/ユーザー)。中小企業向けDLPツールは月額500〜2,000円/端末程度。
対策5:就業規則・秘密保持契約の整備
概要:技術的対策だけでは防げない。法的な抑止力と、万一の際の法的措置の基盤を整備する。
整備すべき文書と条項:
1. 就業規則の情報セキュリティ条項
- 会社情報の社外持ち出し禁止の明記
- 個人デバイスでの業務データ取り扱い制限
- 違反時の懲戒処分の基準
- ログ監視を実施している旨の告知(プライバシーとの均衡)
2. 秘密保持誓約書(入社時・退職時の2回取得)
- 秘密情報の定義(顧客情報、技術情報、価格情報、経営情報)
- 在職中および退職後の秘密保持義務
- 退職後の競業避止義務(期間・地域・業種の合理的な範囲設定)
- 違反時の損害賠償に関する条項
3. 情報セキュリティポリシー
- データ分類基準(極秘・社外秘・一般)の定義
- 各分類に対するアクセス・持ち出し・破棄のルール
- モニタリングの実施について(従業員への事前通知が必要)
法的対策のポイント:
- 不正競争防止法に基づく営業秘密保護を受けるためには、情報を「秘密として管理している」ことが要件。アクセス制限もなく、マル秘表示もない情報は法的保護を受けられない
- 秘密保持誓約書は入社時だけでなく、退職時にも改めて署名を求めること。退職時の署名がある方が抑止力として機能する
- 競業避止条項は、期間2年以内・地域と業種の限定・代償措置(退職金の上乗せ等)がなければ無効と判断されるリスクがある
コスト目安:社会保険労務士への就業規則改定依頼は10万〜30万円程度。弁護士への秘密保持契約書作成は5万〜15万円程度。
対策ツール比較
ログ監視・資産管理ツール
| ツール名 | 月額費用(目安) | 主な機能 | 特徴 |
|---|---|---|---|
| SKYSEA Client View | 500〜1,000円/端末 | 操作ログ、USB制御、画面キャプチャ | 国産。中小企業での導入実績多数 |
| LanScope An | 300〜500円/端末 | 操作ログ、デバイス制御、Web閲覧制御 | エムオーテックス製。直感的なUI |
| QND Advance | 400〜800円/端末 | IT資産管理、操作ログ、セキュリティパッチ管理 | クオリティソフト製。クラウド対応 |
| Microsoft Defender for Endpoint | Microsoft 365 E5に含まれる | EDR、DLP、デバイス制御 | 既にMicrosoft 365を利用中なら追加導入が容易 |
DLPツール
| ツール名 | 月額費用(目安) | 対応経路 | 特徴 |
|---|---|---|---|
| Microsoft Purview DLP | E3/E5に含まれる | メール、エンドポイント、SharePoint | Microsoft 365環境との親和性が高い |
| Symantec DLP | 1,500〜3,000円/端末 | メール、エンドポイント、ネットワーク | 大規模向け。検知精度が高い |
| Digital Guardian | 1,000〜2,500円/端末 | エンドポイント、ネットワーク、クラウド | データ分類の自動化に強み |
| Netskope | 1,500〜3,000円/ユーザー | クラウド、Web、メール | CASB機能との統合。クラウド利用が多い企業向け |
選定のポイント
- 従業員50名以下:SKYSEA Client ViewまたはLanScope Anのログ監視+Microsoft 365のDLP機能で十分な場合が多い
- 従業員50〜300名:専用DLPツールの導入を検討。ログ監視とDLPの統合管理ができる製品が運用負荷を下げる
- 既にMicrosoft 365 E3/E5を利用中:Microsoft Purview DLP+Defender for Endpointの組み合わせが追加コストなしで実現可能
補助金・助成金の活用
デジタル化・AI導入補助金 2026(セキュリティ対策推進枠)
| 項目 | 内容 |
|---|---|
| 補助率 | 1/2 |
| 補助額 | 5万〜100万円 |
| 対象 | サイバーセキュリティお助け隊サービスリスト掲載製品 |
| 対象経費 | DLPツール、ログ監視ツール、EDRの導入費用 |
その他の活用可能な制度
- IT導入補助金(通常枠):資産管理ツール、統合セキュリティ基盤の導入。補助率1/2、最大450万円
- 中小企業経営強化税制:セキュリティ関連設備投資の即時償却または税額控除
- 各自治体のセキュリティ関連補助金:東京都「DX推進総合支援事業」など。管轄の商工会議所に確認
- サイバーセキュリティ保険:内部不正による損害も補償対象になる商品あり。保険料は年間売上高や業種に応じて年間10万〜50万円程度
申請のコツは「内部不正対策」単体ではなく、「情報セキュリティ体制の強化」としてEDRやバックアップと合わせてパッケージで申請することだ。採択率が上がる傾向にある。
FAQ
Q1. 内部不正はどのくらいの割合で発生しているのですか?
IPAの調査によると、営業秘密の漏えいルートのうち中途退職者経由が36.3%で最多だ。次いで現職従業員の誤操作が21.1%、現職従業員の故意が8.0%と続く。つまり、外部攻撃よりも内部者に起因する漏えいの方が割合として大きい。
Q2. 監視を強化すると従業員のモチベーションが下がりませんか?
適切に運用すれば問題ない。重要なのは「監視している事実を隠さないこと」だ。就業規則に業務端末のモニタリングを実施する旨を明記し、入社時に説明する。目的は「個人の行動を監視すること」ではなく「会社と従業員の双方を守ること」であると周知する。実際、モニタリングの存在が周知されていれば、抑止効果が働き不正行為自体が減少する。
Q3. 退職者全員を「疑う」のは企業文化的に難しいのですが?
個人を疑うのではなく「仕組みとして漏えいを防ぐ」と位置づけることがポイントだ。退職時のアカウント停止やログ確認は、特定の個人を対象としたものではなく、全退職者に対する標準手順として実施する。例外を設けると「あの人は信頼されていたから」という判断が入り、リスクが残る。
Q4. 秘密保持誓約書を退職時に拒否された場合はどうすればよいですか?
署名を強制することはできないが、拒否された事実自体を記録として残しておく。入社時に署名済みの誓約書があれば、退職時の署名がなくても法的効力は維持される。また、就業規則に秘密保持義務が明記されていれば、誓約書がなくても就業規則が根拠となる。退職時の署名はあくまで「再確認・抑止」の意味合いだ。
Q5. 予算が限られています。最低限何から始めるべきですか?
優先順位は以下の通りだ。(1)退職プロセスの標準化(コスト:ゼロ)、(2)ファイルサーバーの監査ログ有効化(コスト:ゼロ)、(3)秘密保持誓約書の整備(社労士に依頼して10万〜30万円)。この3つだけでも、漏えいリスクを大幅に低減できる。ツール導入はその次のステップとして検討する。
まとめ
内部脅威対策は、外部攻撃対策とは異なる考え方が必要だ。正規のアクセス権限を持つ人間が相手であるため、技術的対策だけでは防げない。アクセス権限の最小化、ログ監視、退職プロセスの標準化、DLP、就業規則の整備という5つの対策を組み合わせてはじめて、実効性のある防御体制が構築できる。
最もコストをかけずに効果が高いのは、退職プロセスの標準化と秘密保持契約の整備だ。「信頼」だけに依存するのではなく、仕組みとして情報を守る体制を今日から構築すべきだ。
GXOのセキュリティ診断サービス(無料) では、貴社の内部脅威リスクを「アクセス権限管理」「ログ監視体制」「退職プロセス」「データ保護」「規程整備」の5つの観点で可視化し、優先対策と概算費用をレポートとしてご提供します。「まずは自社の現状を把握したい」という段階から、お気軽にご相談ください。