退職者による情報漏洩は、他の情報漏洩とは質の異なる深刻なダメージを企業に与えます。それは転職先で自分の価値を高めたいという動機があるため、金銭換算できないレベルの情報が狙われるからです。特にご理解いただきたいのは、機密情報が競合企業に渡るという1点において、退職者による情報漏洩は会社の存続を揺るがす恐れがある、ということです。
そして人材の流動化に伴って、退職者の情報漏洩は増え続けています。本稿では「かっぱ寿司」の元社長が「はま寿司」の食材原価データを不正に持ち出した事件を参考に、実際にどれほどの被害を被るのか、そしてどのような対策を講じるべきか、説明していきます。
目次
- 「はま寿司」食材原価データ流出事件の概要
- 退職者の情報漏洩がもたらす深刻な問題
- 急増する退職者による情報漏洩
- 対策1: アクセス権限の制限
- 対策2: 持出しの管理
- 対策3: 視認性の確保
- 対策4: 秘密情報の再確認
- 対策5: 信頼関係の維持・向上
- まとめ
「はま寿司」食材原価データ流出事件の概要
ここでは「かっぱ寿司」の元社長が、「はま寿司」の食材原価データを不正に持出した事件について、裁判報道を参考にまとめています。全体像を分かりやすくお伝えするため、表現を丸めている箇所があることを、あらかじめご了承ください(各部に出典を明記)。
2020年9月「はま寿司」の親会社ゼンショーホールディングスの事業推進本部長だった被告Aは、「かっぱ寿司」を手がけるカッパ・クリエイト(以下カッパ社)に副社長として採用されることが決まり、部下の協力を得て「はま寿司」の食材原価や仕入れ先データをUSBメモリーにて不正に持出した。
カッパ社に移籍後の同年11月、業績向上を図る目的でデータをカッパ社商品部長にメール送信し、「かっぱ寿司」と「はま寿司」のネタ原価の比較資料を作成させた。
「かっぱ寿司」前社長、起訴内容認める 営業秘密持ち出しで初公判(朝日新聞デジタル2022年12月22日)より要約
被告Aとカッパ社には、不正競争防止法違反として既に以下の判決が出ています。
●被告A
不正競争防止法違反、懲役3年執行猶予4年、罰金200万円
転職先で地位や評価を得たいという利欲的な動機で、酌量すべき点はない
東京地裁2023年5月31日
かっぱ寿司前社長に有罪判決 ライバルはま寿司の営業秘密を不正入手(朝日新聞デジタル2023年5月31日)より要約
●カッパ・クリエイト株式会社
不正競争防止法違反、罰金3000万円
公正な競争を阻害し、はま寿司への賠償もしていない
東京地裁2024年2月26日
かっぱ寿司運営会社に罰金3000万円の判決 データ不正使用(NHK WEB 2024年2月26日)より要約
以上は不正競争防止法違反としての話ですが、ゼンショー社(はま寿司)は、損害は63億円以上であるとして、カッパ社と被告Aに5億円の損害賠償と持出した営業秘密の廃棄を求める訴えを起こしています。この裁判は2024年3月12日から東京地裁で始まり、カッパ社は全面的に争う姿勢を見せています。
はま寿司の親会社 損害賠償求める裁判 かっぱ寿司側は争う姿勢(NHK WEB 2024年3月12日)より要約
カッパ社が全面的に争う姿勢を見せたのは、以下のような過去の記者会見からも、十分に想定されたものでした。
「かっぱ寿司」を手がけるカッパ・クリエイト社は、社長の容疑者Aが同業他社の営業秘密を持ち出したとして逮捕された事件を受け、2022年10月3日に記者会見を開きました。容疑者Aが同日付けで辞任したことを発表するとともに、後任の山角取締役は「会社側から容疑者Aに他社のデータを取得するよう依頼した事実はない」「彼のマネジメント力に期待して採用した」などと強調しました。
かっぱ寿司社長が辞任 新社長「他社データ取得、会社の依頼でない」(朝日新聞デジタル2022年10月3日)より要約
以上がこの事件の概要となりますが、ポイントを整理すると次の3点が重要になります。
- 熾烈な価格競争をする外食産業において、仕入れデータという収益に直結する機密情報が狙われたこと
- その損害額は、金銭換算できないほど甚大なものになること
- 流出先企業が意図的に行ったことを立証するのは難しく、補償は事実上不可能に近いこと
退職者の情報漏洩がもたらす深刻な問題
はま寿司の件でもお分かりの通り、退職者による情報漏洩は競合企業が情報の漏洩先となり、経営に深刻なダメージを与えます。情報漏洩にはマルウェアのように外部からの攻撃もあれば、メール誤送信のように単なる不注意による場合もありますが、退職者による情報漏洩はこれらとは質の異なる、深刻なダメージを企業経営に与えるのです。改めて整理すれば、次の4点が問題になります。
1.確実に損害が起きる
退職者の情報漏洩には、転職先での地位や評価を高めたいという、明確な目的があります。それは人間関係の恨みを晴らしたい、のような漠然とした動機ではありません。また単なる不注意による情報漏洩のように、偶発的なものでもありません。明確な目的のある行動で、目的に向けて確実に動きます。
2.被害に気づかない危険性
はま寿司の件は事態が表面化しましたが、被害に気づかないケースもあり得ます。対策が何ら取られていなければ、情報が流出したことに気づかず、原因の分からない中でボディーブローのように業績が下がることになるでしょう。
3.損害は金銭換算できないほど甚大
転職先で自分の価値を高めたいという目的ですから、退職者は最も価値ある情報を狙います。はま寿司は、損害が63億円以上になると計算しましたが、これは金銭換算できないレベルといえるでしょう。
4.損害の賠償は現実問題として非常に難しい
情報を持出した犯人(個人)には、経済的な支払い能力がありません。そして情報を取得した企業に責任を問うのは、極めて難しい現実があります。カッパ社のように、「会社が他社のデータを取得するよう依頼した事実はない」「採用した理由は彼のマネジメント力に期待したからである」と主張されれば、それを覆す事実を提示することは事実上困難です。
食材の原価データは「はま寿司」にとって、努力に努力を積み上げた収益に直結する最高機密です。それが何の苦労もなく競合のかっぱ寿司で利用されているわけです。そしてこの現状を変更することは、法的に極めて難しい。これが現実です。
またかっぱ寿司側に何か問題があったのか、何の問題もなかったのか、これも現時点で断定できる話ではありません。以上ここまでの話を整理すれば、なんと表現して良いか分からない、言葉にならずうめき声しか出ない、と言うしかありません。
急増する退職者による情報漏洩
このように深刻な被害をもたらす退職者の情報漏洩ですが、その発生件数は急激に増えていることにも注意してください。
上記グラフは行政法人・情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査2020」からの抜粋です。営業秘密の漏洩ルートとして、中途退職者による情報漏洩は全体の36%を占め、漏洩原因の第1位となっています。4年前の2016年調査時は28%だったことを考えると、急激な増加と言って良いでしょう。
それでは退職者による情報漏洩を防ぐためには、どのような対策を取れば良いのでしょうか。大きく5つありますので、説明していきます。
対策1: アクセス権限の制限
退職者による情報漏洩を防ぐには、機密情報へのアクセスを適切なタイミングで制限することが重要です。具体的には次のようになります。
1. アクセス権限の削除
退職時には退職者が機密情報にアクセスできないようにするため、速やかに情報システムの利用者IDやアクセス権限を削除します。これは定年退職の場合も、中途退職の場合も同様です。
2. IDカードや入館証の回収
退職者のIDカードや会社への入館証を確実に回収し、これらのカードで施錠された区域への立ち入りができなくなっていることを確認します。カードの回収と同時に、セキュリティシステムの更新も行い、退職者のアクセス権限が完全に無効化されていることを確認します。
3. 退職予定者のアクセス権制限
退職が決定した時点で、退職予定者の機密情報へのアクセス権限を適切に制限します。業務内容によって必要とされるアクセス権限を見直し、必要最小限の権限のみを残すようにします。
対策2: 持出しの管理
退職者による情報漏洩を防ぐためには、機密情報の物理的および技術的な持出しを困難にすることが重要です。具体的には次のようになります。
1. 書類、USBメモリ、PC等の物理的な管理
重要な書類は施錠されたキャビネットに保管し、自由に閲覧できないようにします。私物のUSBメモリや情報機器については、業務利用や持込みを禁止するとともに、業務用機器を社外に持出す際は許可をとるようにします。また退職時には、社内で貸与されていた記録媒体や情報機器は全てを返却するようにします。
2. 電子データの外部送信
社外に情報を送信できないように、退職者のメール送信やWebアクセスを制限します。特に、個人のメールアドレスや外部のクラウドサービスへのアクセスを制限することで、情報の持ち出しを防ぎます。
3. データの複製を困難にする措置
機密情報はサーバの特定のディレクトリに保管し、安易に閲覧できないようアクセスを制限します。またファイルコピーや画面キャプチャができないよう、機能を制限するようにします。弊社コプリガードはファイルをサーバから持ち出すあらゆる行為を制御します。
企業の情報漏洩対策は、「コプリガード」
▼ コピー禁止、メール添付禁止など、あらゆる機能を網羅
▼ サーバー不要で、すぐに導入できる
▼ しかもユーザーの利便性を妨げません
対策3: 視認性の確保
退職者が機密情報にアクセスする行為が、容易に見つかる状況を作り出すことも重要な漏洩対策です。具体的な対策は次のようになります。
1. 職場環境の整理
職場の整理整頓を徹底し、機密情報の所在を明確にすることで、情報漏洩を発見しやすくします。職場内に「写真撮影禁止」や「関係者以外立入り禁止」のプレートを表示し、機密情報へのアクセスが目立つようにします。
2. 見える化
機密情報を扱う部署をオープンスペースに配置し、他の従業員からの視認性を高めるなど、職場の座席配置やレイアウトを工夫し、機密情報にアクセスする行為が目につきやすい状況を作ります。また必要に応じて 防犯カメラも設置します。
3. ログの記録と保存
事後すぐに漏洩を発見できるよう、コピー機やプリンターには枚数管理や利用者記録を残します。また社内の情報システムはログを保存し、定期的にモニタリングを行います。定期、不定期に監査を行うことも、重要な漏洩対策です。
対策4: 秘密情報の再確認
退職予定者に何が秘密情報か、再確認させることも情報漏洩対策として重要です。これにより、「秘密情報であることを知らなかった」といった言い逃れを防ぐことができます。
1. 秘密保持契約の締結
退職時には秘密情報の重要性を再認識できるように、秘密保持契約を個別に締結します。特に就業規則に秘密保持義務が規定されている場合でも、退職者と個別契約を締結することで、より明確な注意喚起を行います。契約締結の際には、面談を通じて在職中にアクセスした秘密情報を確認し、それらが秘密保持義務の対象であることを明確にします。また面談内容を記録として残すことで、将来的なトラブルを防止するよう心がけます。
2. 競業避止義務契約の締結
重要なプロジェクトに関与していた退職者には、競業避止義務契約を締結します。これにより、退職者が競合他社に移籍した際の情報漏洩リスクを減少させます。ただこの契約は職業選択の自由を制限する可能性があるため、労使双方でその必要性と内容について十分に理解し、合理的な範囲で締結することが重要です。
3. 秘密情報の返還・消去義務の明確化
退職時に締結する秘密保持契約には、秘密情報が記録された資料や記録媒体の返還と電子データの消去を義務付ける条項を含めます。これにより退職者が返還・消去すべき情報を明確に認識し、違反した場合の言い逃れを防ぎます。具体的には、退職者が返還・消去すべき情報のリストを提供し、その確認を行います。
対策5: 信頼関係の維持・向上
退職者による情報漏洩を防ぐには、退職者との信頼関係を維持・向上させることも重要です。適切な退職金の支払いなど、退職時まで円満な関係を保つことが、退職後の良好な関係維持にもつながり、結果的に情報漏洩リスクを低減します。以下に具体的な対策を説明します。
1. 適切な退職金の支払い
退職金制度を設けている場合、法令に従い、就業規則などで退職金の適用範囲や計算方法、支払い方法、支払い時期を明確にし、それに基づいた退職金を支払います。
2. 非常勤顧問としての再雇用
特に重要な役割を果たしていたキーパーソンについては、退職後も秘密保持義務契約を締結した上で、アドバイスやコンサルティングを行う「非常勤顧問」として再雇用することを検討します。これにより、退職者の知識と経験を活用しつつ、信頼関係を維持することができます。
3. 退職者との関係維持
退職者との良好な関係を維持するため、定期的なOB会の開催や退職者名簿の更新を行います。退職者との関係を保つことで、情報漏洩のリスクを減少させます。
(参考)経済産業省「秘密情報の保護ハンドブック 〜企業価値向上に向けて〜」
まとめ
いかがでしょうか。退職者への情報漏洩対策は、それまで働いていた社員の方に疑いの目を向けることになる、そういう思いを持つ方がいるかも知れませんが、決してそうではありません。全ての退職者に同じ手続きを踏んでもらうことで、正しく退職された方を守るのが第1の目的です。そして会社が継続し退職者の人数が積み重なれば、自然と不正の芽は生まれます。それを適正に対処していくことが、永続的に発展する企業として不可欠なことなのです。
以上となります。
お読みいただき、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
退職者による情報漏洩は、この3つの製品で防げます!
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位になるのか? 漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで、一気に解説していきます。
