去る人、来る人が増える3月から4月、人事異動や入社、組織変更など1年で最も人的環境が変化する時期だ。そこで今回からこれらにまつわる情報セキュリティやコンプライアンスを中心に解説していこう。まずは「去る人」、つまり人事異動での転勤者や退職者でのお話である。
●転勤する人
当然だが、会社を辞めるわけではない。金融機関のように2年ほどですぐに他の支店や海外赴任する企業もあれば、5、6年以上、時に20年ぶりという転勤者がいる企業もある。
まず、こうした転勤者における注意点はPCだ。現在の業務で使用しているPCはそのまま置いて、次の赴任地では別に用意されたPCを利用するケースが多い。つまり、前任地でのPCは全く別の誰かがそのまま利用してしまうことになる。ここで最も危険なのは、今までの利用履歴やその他の情報がその第三者に容易に知られてしまいかねない。就業規則などに抵触する情報が残っているかどうかを注意しないといけない。
特にインターネットがポイントになるだろう。一部の企業を除いてオフィスの端末でインターネットが使えるところが多い。なお、使用不可の端末で無理やりWebブラウザやソフトを組み込みで利用している猛者を見かけるが、これは極めて危険な行為だ。削除しても、後任者がその痕跡を知る場合が多い。
今では広く知られているが、Webブラウザの基本的なセキュリティ対策としてはキャッシュや業務システムにおける一時ファイルなどの削除がある。企業の中には社員の閲覧履歴を人事などがチェックしているケースがあり、お昼休みなどに株の売買やネットの通販を行ったり、もしアダルトサイトなどを訪問しているなら、早目に対応すべきだろう。一部の企業ではお昼休みの私的利用を認めているケースもあるが、できる環境であっても私的には利用せず、万一利用したなら速やかにキャッシュや一時ファイルを削除したい。
また、タブレット端末やスマートフォン、その他の通信機器でプライベートなファイルやデータを扱っている場合も、その移動や消去を忘れずに実行する。特に市販の「完全消去ソフト」を使って消去している場合は注意したい。一度全てのファイルをバックアップしてから完全消去し、再びバックアップから戻すのが好ましい(「空き領域を削除」という選択肢が選べるツールもあるが、極力使わないこと)。なお、OSの起動中にバックアップできないファイルもあるので、稼働中でもバックアップできるソフトや他のOS環境からのバックアップをお勧めする。なお、会社から貸与された端末では、それができない場合もあるので確認してほしい。
ノートPCで人気のSSDを利用している場合は、論理的に完全消去できない場合があることを念頭に、SSD用の消去ソフトを利用する。こうしたソフトを調達できない場合は、次善の策としてHDD用の完全消去ソフトを利用する。ここまで普段から注意している人ならあまり心配ないが、次善の策で不安だとしても、データが復元される可能性はそれほど高くないので、しないよりは絶対に実施すべきである。
これら以外のデジタル機器やサービスが他にないかも必ずチェックする。私的に使っているクラウドツールなどは問題ないと思われるが、意外な盲点もあり、必ず確認したい。
●退職者は?
退職する場合は、前述の転勤者の注意事項に加えて次のことに注意する。
1:名刺の取扱い
以前は、退職者が自分の名刺を返還することは、あまり積極的には行われていなかった。ただし、最近は様変わりしていている。記念に1枚程度というなら許容範囲かもしれないが、ヘタをすると訴えられかねない事態も起こり得る。できれば自ら返却した方がいい。
2:競合他社への就職
これは情報セキュリティというより、転職者が注意すべき事柄だろう。単なる従業員ならあまり問題にはならないかもしれないが、会社の新製品に関わる中心人物だったり、昇格して役員になったりした立場なら、「競合避止義務」が生じる場合がある。一般の従業員なら個人の「職業選択の自由」が憲法で保障されており、競合への転職を禁止する会社の誓約書(雇用契約書に「1年間は競合他社への転職はできない」「次の会社への転職は会社が認めない限りはできない」と書かれていることもある)に署名していても、会社がその権利を主張するのは難しい。だが役員なら、辞任する場合にその誓約書の中に具体的な企業名を書かれて、トラブルになったケースもあった。必ず前職の会社から合意を取り付けて行動するのが望ましい。
3:転職先への手土産(情報提供)
その昔、例えばA自動車の営業マンがB自動車に転職する際に、手土産でA自動車の顧客名簿をコピーし、根こそぎB自動車の顧客にしてしまうこともあったようだ。しかし現在は、そういう行為が発覚すると、A自動車からは多額の損害賠償を請求され、B自動車からは解雇される。絶対にしてはいけない。顧客情報以外でも、A自動車で得た情報は活用しない方が賢明である。ただし、“職人さんの技”などについてはその範疇には入らない。厳密には、どこまでが不正競争防止法の対象や会社の「営業秘密」になるかはケースバイケースだ。それらに該当する要件を満たしているかなど、細かな確認が必要になる場合もある。
4:「労働債権不存在確認書」がある場合
時々見かけるのが「労働債権不存在確認書」だ。これは企業側が提示して退職者が署名するもので、退職時には、既に決まった「対価」以外には何も存在しないという確認である。残業代の未払いなど、後で問題になるケースなどについて企業側が事前にそのリスクをなくすものである。退職時に求められたら、自分で良く考え、特に何もないのであれば署名すればいい。問題なのは、残業代というより残業時間そのものが申告と実績で大きく異なる場合などだ。もし署名したくない場合は、労働基準監督署や専門家に相談する方がいい。
5:「誓約書」について(企業側からみた退職者に対する注意事項)
近年は大半の企業が退職時の誓約書を作成し、退職者に署名させるようになっている。最も多いのは「秘密保持に関する誓約書」であり、退職後もその企業内で知り得た情報を外部に漏らさないとか、営業秘密事項について他社に渡さないなどの規定だ。また、退職後に不正や過誤が発見された場合はたとえ部外者の身であっても損害賠償に退職金を充当できるケースや、企業年金についてその責任の範囲で減額できるとしたものもある。これらについて企業は、弁護士と協議しておく。厳密に記載しなかったばかりに、退職者の不正が発覚しても退職金を支給せざるを得ず、悔しい思いをした社長を筆者は知っている。
●最後に
退職者は、会社を辞めるからといって「旅の恥はかき捨て」とばかりに周辺の人たちへ不満や悪口などを口にすべきではない。特に上司や役員に対する言動は、社会人としてきちんと注意すべきである。ここでの「恥」はともすれば「天に唾する」行為と同義だ。いずれ自分の身に降りかかってくるだろう。決して軽んじてはいけない。
企業も、退職者のほとんどがその時点まで会社のために働いてきたことを理解し、敬う姿勢を忘れてはいけない。ただし、次の日からは「外部者」になる。その切り分けを適切に行うことが重要だ。もし退職者に不審な点があって調査をするなら、最初から疑念を持って行うのではなく、従業員の正当性を証明する作業だという意識を持って行うべきだ。
基本中の基本となるが、退職時におけるセキュリティ上の注意点は次の通りだ。
・退職者のIDはできる限り早期に無効にする(半日以内)。ある企業で筆者が調査すると、2週間が経っても退職者のIDが有効で、そこから情報を漏えいされたというケースがあった
・社員証やIDカード、その他の機器は必ず退職日当日までに回収する。紛失時のペナルティが始末書という場合も多く、紛失を偽る人も多い。万一を考えてペナルティを大きくし、退職後でも有効となることを記載した書面に署名させるなど、悪用される可能性を最小限にしておくこと
・本人の名刺はもちろん、本人が受け取った取引先などの名刺も確実に回収する
企業としては退職者を敬う姿勢を示しつつ、万一の場合は確実に対処できるようにすることが望まれてくるだろう。
参照:ITmedia エンタープライズ
