IPA(情報処理推進機構)による「企業における営業秘密管理に関する実態調査2020」の報告によると、情報漏えいルートで最多となったものは「中途退職者(役人・正規社員)による漏えい」となっていました。
雇用の流動化によって転職者が増加するなか、中途退職者による情報漏えいのリスクが高まっていると言えます。
IPAの調査は営業秘密管理に関するものでしたが、個人情報保護を考える上でも、従業者の退職時の漏えいリスクが高まっていると言えます。
そこで、IPAによる「組織における内部不正防止ガイドライン」より、従量者の退職による情報漏えいを防ぐためのポイントを一部ご紹介いたします。
前提として、個人情報データベースへは限られた利用者のみがアクセスできるように運用しなければなりません。退職等により不要となった利用者IDとアクセス権は、ただちに削除する必要があります。
削除されていない場合、退職者によって不正にアクセスされ、重要な情報が盗み出されるリスクが発生します。また、上記管理がなされていない場合、組織の管理責任が問われる恐れもあります。
利用者IDとアクセス権の管理については、そもそも、情報の重要度を格付けし、重要な情報へアクセス可能な従業員の範囲を適切に定め、アクセス可能な利用者IDを最小限にすることが重要です。
対応のポイント
□情報の重要度を格付けしておき、その区分に応じてアクセス可能な従業者の範囲(職位、職種等)を定める。
□利用者IDの登録・変更・削除に関するルールを設定する。その際、重要な情報へのアクセス権の登録等の申請においては管理責任者の許諾を必須とする。
□先に定めておいたアクセス可能な従業者の範囲に基づき、アクセス権を利用者IDに設定する。
□重要な情報へのアクセス権限を付与する従業者は必要最小限とする。
□利用者ID及びアクセス権の登録・変更・削除の手続きに漏れがないように、人事異動に関連する人事手続き等と連携した運用を行う。
□重要な情報を保管している情報システムでは、時間及びアクセス数・量等のアクセス条件による制御を行うことが望まれる。
ログ、認証を記録し、定期的に確認することで、不正アクセスなど、不正な行為の前兆となる行為を発見し、漏えい等を未然に防ぐことができます。
また、ログ、認証が保存されていない場合、漏えい等が発生した場合の事後対応において、原因特定や攻撃者の特定、影響範囲等の調査が困難となります。
従業者が利用していたPCや記録媒体等の貸出機器、および入館証等の全てが返却されたことを確認する必要があります。
また、退職間近に情報の不正持ち出し等のリスクが高まるため、雇用終了前の一定期間から、PC等をシステム管理部門の管理下に置くことが望まれます。
雇用終了時に、秘密保持契約書を締結することで、退職者に重要な情報に関して認識を持たせ、リスクを低減することができます。
以上、ポイントを一部ご紹介いたしましたが、より詳しくは「組織における内部不正防止ガイドライン」のご確認をおすすめいたします。