#1037 元従業員、クラウド → メール → 退職後DL の三段階で情報持ち出し

今回は退職を控えた従業員による巧妙な内部不正の事例を取り上げます。ある企業において退職前にクラウドの外部連携機能を使って業務データをアップロードしそのリンクを自分の個人メール宛に送信し退職後に自宅のPCなどでデータをダウンロードするという三段階の手法で情報が持ち出されました。このニュースを通じて社内の情報持ち出しを防ぐための技術的な対策や退職予定者に対する監視の重要性さらにはインシデント発生後の迅速な初動対応と関係各所との連携のあり方について学んでいただけます。企業のシステム管理者や人事担当者の方にとって内部脅威から会社を守るための具体的なヒントとなる内容です。

今回のあるアパレル企業で起きた事案について解説いたします。2025年12月31日に退社した元従業員が在職中にクラウドサーバの外部連携機能を利用して約1万人分の取引先の個人情報を含む資料をアップロードしました。そして個人のメールアドレスにダウンロード用のリンクを送り退職後の2026年1月4日に外部のPCでその情報をダウンロードして持ち出したという概要です。原因としては従業員の情報管理に対する認識不足と会社の持ち出し防止措置が不十分であったことが挙げられています。初動対応として会社は1月6日に事態を把握し翌日には本人から事情聴取を行い事実を確認しました。また転職先の企業にも協力を仰いでPCの調査を行い情報が不正に利用されていないことを確認したうえで警察へも相談を行っています。今後はアクセス制限や監視体制の見直し社員教育を徹底し再発防止に努めるとのことです。

現代の業務環境では外部の取引先や別部門の人と大容量のファイルを共有するためにクラウドストレージの共有機能やファイル転送サービスを利用することがよくあります。今回の事案ではそうした業務で利用を許可されているクラウドサービスが持つ機能が本来の業務目的ではなく個人的な情報の持ち出しに悪用されてしまったと考えられます。システム上は通常の業務操作と区別がつきにくいため退職を控えた従業員がこっそりとデータを外部の領域へ移すための抜け道として利用されやすいという背景があります。

企業側が利用しているクラウドサービスには誰がいつどのファイルにアクセスしダウンロードしたかという操作ログが記録されています。通常退職者が発生した場合は退職日前後の不審な操作がないかログを重点的に確認する手順が設けられていることが多いです。今回のケースでも退職者のアカウントに関連する通信履歴やクラウド上の共有リンクの作成履歴そしてそのリンクに対する外部からのアクセス記録をシステム管理者が監査ログで突き合わせた結果退職後のダウンロードという不正な持ち出しの事実を速やかに検知できたのだと推測されます。

根本的な対策としてはゼロトラストという考え方に基づき社内の人間であってもシステムへのアクセスを常に検証し最小限の権限しか与えない仕組みが必要です。たとえば個人情報を含む機密データへのアクセス権限を業務に不可欠な一部の従業員に限定することや社外の個人メールアドレスへのファイル送信をシステム側で自動的に遮断する設定などが挙げられます。さらに退職予定者に対しては退職の数週間前から機密情報へのアクセス権を段階的に制限したり大量のデータダウンロードが行われた際に即座に管理者にアラートが飛ぶ仕組みを導入することが効果的です。

インシデント発生時の対応として転職先まで巻き込んで徹底的に調査を行うのは非常にしっかりとした優れた初動対応だと言えます。情報漏えいの事案では持ち出されたデータが第三者に渡ったり競合他社である転職先の業務で不正に利用されたりすることが最も大きなリスクとなります。今回のように速やかに転職先に面談を申し入れデータが使用されていないことを外部機関を含めて客観的に証明できたことは二次被害を防ぐうえで極めて重要です。企業側の危機管理能力の高さと被害拡大を何としても食い止めようとする姿勢が表れています。

社内の人間による不正行為は外部からのサイバー攻撃に比べて防御が難しいという深刻な問題があります。システムによるアクセス制限やログ監視といった技術的な対策はもちろん不可欠ですがそれだけで完全に防ぐことはできません。従業員一人ひとりに対する継続的なセキュリティ教育を実施し情報漏えいがもたらす社会的な影響や法的な責任の重さを深く理解させることが重要です。技術的な制御と従業員の倫理観の向上という両面からアプローチし会社全体で情報を守る企業文化を育てていくことが私たちが学ぶべき最大の教訓と言えます。