2025年12月31日に退職した元従業員が、退職後に私用のメールアドレス宛に個人情報を送信していたことが判明したとのこと。
持ち出したデータは取引先など約1万人分の個人情報で、クラウドシステムの外部連携機能を利用して送ったようです。URLを送るだけでファイルを送れるのは、容量制限やキーワード検閲が可能なメールの添付ファイルよりも容易で、USBメモリでの物理的な持ち出しよりも見えにくいです。
判明したのは2026年1月6日で、この元従業員に聞き取りをしたところ事実を認め、貸与PCと元従業員の私物PCを調査し、結果は個人情報を使用した痕跡はなかったとのことです。
退職したらアカウントやアクセス権の停止を
送信を行ったのは2026年1月4日。つまり、退職後にシステムにアクセスできる状態が続いていたことになります。
SaaSはインターネットがあればどこからでもアクセスができるので、退職した社員のアカウント停止や証明書の失効、共有アカウントのパスワード変更を即日行うことが不可欠です。。
これは情報資産を守るためだけでなく、退職者を守ることにも繋がります。アクセスできない状態にしておけば、退職者は魔が差してアクセスしていまう機会を失い、加害者にならずに済みます。万が一の流出時にも、疑われる心配がありません。
手動での削除は漏れが生じやすいため、IdP(共通認証基盤)によるシングルサインオン(SSO)の一括停止や、人事システムと連動した自動無効化ワークフローの導入が、現代の情シスには強く推奨されます。
また、クラウドストレージは外部共有機能を許可されたドメインのみに制限したり、個人アドレスへの共有をログで検知する設定があるとこうしたインシデントの対策になります。
クラウドサービスの注意点
クラウドサービスは私物デバイスでの使用が許可されている場合もあるかと思いますが、クラウドサービスからデバイスにダウンロードしたファイルが残っていないかについても注意が必要です。不正に使用されたり、マルウェア感染やリサイクルショップへの売却から漏えいする危険があります。
あと名刺管理アプリについても注意が必要です。会社の業務で手に入れた名刺の所有権は会社に帰属しますので、退職時は持ち帰るべきではありません。ただ、個人でもインストール可能な名刺管理アプリをシャドーITで使用していた場合、名刺の持ち出しが容易に可能ですし、アカウントが不正アクセスされた場合は個人情報漏えいのインシデントになってしまいます。
3月は1年の中でも退職者が多い月です。多くのSaaSを利用している現代では、一つひとつの削除漏れが命取りになります。退職前に情報の持ち出しをしないよう徹底させ、退職後はアクセスできないようにアカウントの停止漏れがないようにしましょう。
コメント