第11回 退職する悪質な従業員から会社を守る方法：会社を強くする経営者のためのセキュリティ講座（2/2 ページ）

[萩原栄幸，ITmedia]

従業員の退職に備えたセキュリティ対策

　既に退職金を支給してしまった後に不正が発覚する場合もあります。規程集には前述の一文に加えて、「既に支給した退職金の一部もしくは全部を返還させることができる」という文言も入れておくことが望ましいとされています。実際には支払ってしまった後なので、被疑者が既に使い切り、会社に返済するお金がないという状況もあり得ます。

　そのような事態に陥らないために、企業はどうすべきでしょうか。当然ながら、日常からの啓蒙・教育や職場環境の改善、メンタルケアなど不正行為を起こさせないシステムを作り、セキュリティカードの導入など物理的な仕組みを必要に応じて実装していくことが重要です。それでも人間は過ちを起こしてしまうものであり、これらの仕組みは万全ではありません。最終手段として、不正行為の確実な証拠を把握し、被疑者に自身の行為を認めさせる仕組みを用意しておかなければなりません。

　日本では一般的になっていませんが、その仕組みの1つに「退職者のフォレンジック調査」というものがあります。ここで言うフォレンジックとは、退職する従業員が日常業務で使用していたPCを専門の調査員が細部まで検査して、不正行為の有無を徹底的に調べることです。

仮にPCに詳しい人間が不正の痕跡を隠滅したとしても、調査員は隠滅した内容の前後関係などからシステム上の矛盾点をトレースし、逆に「痕跡を隠滅した」という事実を明らかにしていきます。徹底的に証拠隠滅を図ったとしても、被疑者には思いも寄らない操作が証拠になります。不正の痕跡をシステムから完全に消し去ることは、どんなにPCに詳しい人間でもまず不可能です。

　通常のフォレンジック調査は内容に応じて費用が異なりますが、退職者に限定したフォレンジック調査は内容がある程度決まっていますので、費用を抑えることができます。

退職者の正当性を証明する

　このほかにも従業員が退職する際に留意しておくべき点があります。自社ではどうなのか、ぜひ確認してみましょう。

1. 一定期間、従業員がライバル会社に入社することを禁止する。（例えば「退職後半年以内に同業他社――会社が同意した場合を除く――に就職した場合、退職金は自己都合退職の場合の2分の1とする」という文言を規定集に盛り込む）
2. 正式に退職を受理した後は、IDをすぐに無効にする。（受理から1週間が経過しても、退職者のIDとパスワードが使用できてしまう会社が幾つかありました。中には機密情報が漏れたケースもあります）
3. 社員証やIDカードは当日中に回収する。（紛失と偽って高値で売却した従業員が実際にいました）
4. 退職時の手続きフローを厳密に作成し、毎年確実に見直しをする。（例外のないフローとして確実に行ったかが分かるようにチェックリストなどを利用しましょう。セキュリティ対策全体の網羅性や整合性、完全性を担保する上でも必要です）
5. 取引先の名刺も忘れずに回収する。（退職する従業員本人の名刺は当然のこと、取引先の名刺も回収します。これは会社が所有する「個人情報」であり、退職者が名刺自体を持ち出せば窃盗罪にもなり得ます）

　退職するほとんどの従業員は、その時点まで会社のために働いてきたのであり、会社側は敬う姿勢を忘れてはいけません。ただし、次の日からは「外部者」になります。その切り分けを適切にすることが重要です。退職者の調査は最初から疑念を持って行うものではなく、従業員のこれまでの正当性を証明する作業だという意識を持って行うことを忘れないでください。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック