はじめに副業の一般化が進む現代において、従業員一人ひとりが持つ情報への幅広いアクセス権限が企業全体のセキュリティリスクを増大させています。この記事のタイトル「副業による情報漏洩が発生する6つの理由と対策必須のセキュリティ教育」が示す通り、副業という新しい形態の労働が生むリスクにどう対処するかは、副業制度の策定以上の重要な課題です。ここでは、情報漏洩が発生する可能性がある6つの具体的なシナリオと、それに対応するための対策を提案します。人事担当者、セキュリティ担当者、監査担当者は特に注意が必要です。皆さんがこの新しいリスクにどう対応するか、今一度考える機会としていただければと思います。1.1. 副業の多様性:法人向けから消費者向けまで副業が日常化する中で、そのリスク管理が後回しにされていませんか?特に、従業員のセキュリティリテラシーが低い、あるいは会社のセキュリティガバナンスが不十分だと、本業先の貴重な情報資産が危険に晒されます。副業先からの情報混入も考慮に入れると、そのリスクは倍増します。よくある副業と取り扱う具体情報副業形態副業で取り扱う機密情報本業先の情報資産への危険性法人向けコンサルタント企業秘密、営業戦略競合への機密情報漏洩、営業戦略の混入技術者の法人向け受託開発ソースコード、製品設計得意先のコード漏洩、本業先のコードの不正利用、技術情報の漏洩・混入オンライン販売顧客情報、販売データ本業先の顧客、得意先から管理委託されたデータの不正利用・漏洩(個人情報漏洩)ブログ運営、広告運用アクセス解析、広告収益本業先の内部統計の不正公開、業績データの混入、内部契約のサービスの不正利用この表を見て、自社が無関係だと安堵してはいけません。どんな企業でも、従業員一人ひとりが持つセキュリティ意識が全体のセキュリティを左右する可能性があるのです。具体的な対策として、人事部門は副業許可の際に従業員のセキュリティリテラシーを評価すること、セキュリティ担当者は副業と本業先の情報資産の接点を明確にしてガイドラインを作ることが求められます。まずは、その潜在リスクを考え、副業に関する従業員教育に反映させることが第一歩です。1.2. 副業経由での本業情報漏洩の危険性とその発生可能性副業をする従業員の中には、業務範囲やデータ管理について十分な認識がない場合があり、その結果として本業先での機密情報が不正に流出するリスクが高まります。1. 不適切な情報共有: 副業での業務内容と本業内容が混同されやすく、本業で扱うべき情報が誤って副業先に漏れる可能性があります。2. データ管理のミス: 副業での作業環境は、しばしば本業のそれとは異なり、情報の保存やウイルス感染への警戒や防止のための管理に問題が生じやすいです。自宅での作業や個人端末の使用がそれを顕著にします。3. 盗難や紛失: 移動中や出張先での不注意や盗難により、本業関連のデバイスや資料が紛失するリスクも無視できません。これらのリスクは、従業員のセキュリティリテラシーと企業の情報管理体制に大きく依存します。この状況は特に、セキュリティに関する専門的な知識が乏しい人事部門や、企業の情報管理体制をこれから強化する必要があるセキュリティ部門にとって、重要な課題となっています。次の章では、これらの問題を引き起こす具体的な理由と、それに対する対策を詳細に検討します。特に、セキュリティ対策の不備という観点から具体的な解決策を提案していきます。1.3. ケーススタディ:情報誤用、規定の不備、および混入問題副業による情報漏洩のリスクとして、情報資産の誤用や規定の不備、情報の混入が顕著です。たとえば、社員Aが本業での利用していたエクセルデータのフォーマットを流用したところ、本業先の売上データや機密情報が別シートに残っていたなど、副業に誤って使用する可能性があります。これは、特に本業先の情報管理規定が不十分な場合や、副業先に明確な規定がないときに生じ易い状況です。実際に、副業先が自社と同レベルの情報管理を徹底している事を期待するのは現実的ではありません。そのため、本業で扱う重要情報に対しては、本業先自体が厳格な管理を行い、従業員が情報リテラシーを高めるべきです。これが不十分な場合、次章で検討するようなさまざまな情報漏洩の原因が積み重なる可能性があります。それにより、組織全体のリスクが高まるでしょう。2. 副業経由で情報漏洩が発生する6つの理由情報は今や企業の生命線。しかし、従業員が企業のリソースを個人的な用途や副業に使うエミュレーションが発生することで、多くの企業は情報漏洩のリスクにさらされています。この章では、情報がどうして漏れてしまうのか、その背後にある6つの主要な要因を詳細に説明します。人事担当者や情報セキュリティ担当者にとって、これらは避けて通れない課題です。実際、これらの問題はしばしば見過ごされがちな点にあり、企業全体に大きなリスクをもたらす可能性があります。この章は各6つのバッドシナリオと発生するリスク事例を紹介します。2.1 本業先全社での情報セキュリティ対策の未整備代表的なバッドケース会社が副業を一律に禁止しているとはいえ、潜在的に副業を行っている従業員がいる可能性は常に考慮しなければなりません。特に、セキュリティ対策が定期的に見直されていない場合や、他の部門(例:人事部)との連携が不足している場合、このリスクはさらに高まります。この状況は、情報セキュリティ担当部門が副業に関するリスクまで十分に考慮していない、あるいはモニタリングができていない状態で最も危険です。発生する事故このようなケースでは、本業先のセキュリティ環境が副業先に持ち込まれる可能性があります。もし副業先でセキュリティインシデントが発生した場合、その影響は本業先にも飛び火する可能性がある事を考えておく必要があります。最悪の場合、企業全体のセキュリティが崩壊し、重要なデータ漏洩が発生する可能性もあるのです。この危機的状況を避けるためには、情報セキュリティ担当者と人事担当者が緊密に連携を取り、副業によるリスクをも含めた総合的なセキュリティ対策を見直し、実施することが急務です。副業が一律禁止の会社でも、そのポリシーが従業員に理解され、遵守されているかどうかを定期的にチェックすべきです。2.2 本業先が想定していない情報資産の悪用とその重大な結果代表的なバッドケース本業先で利用しているSaaS、クラウドサービス、有料リサーチサービスなどの情報資産(アクセス権)を、従業員が無許可で副業に使用するケースが確認されています。また、本業先社内の従業員同士のネットワークや顧客・取引先ネットワークを副業で不正使用する事例も増加しています。これらが特に問題になるのは、企業が従業員に対して適切な方針や教育を提供していない場合です。発生する事故本業先で利用している有料のSaaSやリサーチサービスを副業で使用すると、それに伴うコストが本業先に負担されるだけでなく、契約違反にもつながる可能性があります。内部ネットワークや顧客・取引先ネットワークを副業で利用する行為は、業務上の競合や利益相反を招き、企業の信頼と評価を損ねる可能性があります。さらに、従業員が本業先のリソースを副業で使用することでセキュリティリスクが高まり、例えば、同僚に対して副業の仕事を斡旋することにより、本業先の人的資源に対する不適切な影響が及ぶ可能性があります。最も重大なのは、これらの行為がリベートやキックバック、空発注などの悪質な内部不正に発展してしまうことです。このような不正行為は企業の名誉に重大なダメージを与え、逮捕者が出るほどの法的リスクを招く可能性があります。さらに重要なのは、これらの悪質なケースが発生し、未防止のまま問題が拡大した場合、管理部門だけでなく、経営者自身の責任も問われる可能性があります。特に、重大な内部不正が発覚した場合、株主やステークホルダーから訴えられたり、役員賠償を求められる事態に発展することも十分考えられます。そのため、単に管理部門がリスクを監視・管理するだけでなく、経営者は、自らのリーダーシップのもとでリスク監視・管理対策を進め、組織全体でのコンプライアンス体制を強化することが不可欠です。参考:サイバーセキュリティ経営ガイドライン Ver3.0https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf2.3 従業員へのコンプライアンス教育不足による組織的モラルハザード代表的なバッドケースコンプライアンス教育が不足していると、従業員が副業先で企業倫理に反する行動を取るリスクが高まります。特に、情報セキュリティや人事担当者が十分に意思疎通できていない場合、副業先から「本業先の機密情報に当たるサービスや情報を提供してほしい」というようなオーダーが来たときに、従業員がその要求に応じてしまうことを防げないリスクがあります。さらに、従業員が副業先に貢献したいという気持ち、または要求を断りきれない心理的な状態が影響するケースも少なくありません。参考:「かっぱ寿司」社長逮捕 営業秘密、漏洩リスク増https://www.nikkei.com/article/DGKKZO64798140R01C22A0EA2000/発生する事故従業員が副業先で不適切な行動をとり、会社の重要な情報が副業先や第三者に漏洩する可能性があります。例えば、企業の業績に関する未公開情報や技術情報が外部に渡ることで、企業全体の信用失墜や法的問題が生じる可能性があります。副業先から特定のサービスや情報の提供を求められた場合、従業員が本業先の守秘情報を故意か無意識かにかかわらず提供してしまうケースもあります。このような行為は、ただちに不正競争防止法違反や契約違反となり、重大な法的・財務的リスクを生じさせます。従業員が副業先に「貢献したい」という気持ちや、要求を断りきれない心理的プレッシャーによって、過度なサービスや機密情報を提供をしてしまうケースも考えられます。これが守秘義務に違反するような情報に関わっていれば、その責任は非常に重大です。2.4 会社貸与資産の副業利用:未対策のリスク代表的なバッドケース会社から貸与された資産(PC、スマートフォン、プリンター、外部ストレージデバイスなど)を、副業で不正利用するケースがしばしば見受けられます。会社が副業に関するポリシーや教育が不足している場面では、このような不適切な行為は特に起きやすく、多くの場合、会社はその実態に気づいていません。発生する事故会社から貸与された資産で副業を行なった結果、重要な企業データが外部に漏洩する可能性が高くなります。たとえば、会社のPCや外部ストレージに保存された営業資料や技術情報が、副業先で利用された場合や第三者に公開されるリスクがあります。また、貸与資産を使っていると本業時間中に副業活動を行いやすく、それ自体がモラル・ハザードとなり、社内の信頼や業績にも影響を与える可能性があります。貸与したPCや外部ストレージが、副業先でウィルス感染してしまい、会社に持ち込まれてしまう可能性もあるのです。前述のように従業員が副業先に貢献したいという心理的動機や、断りきれないプレッシャーから、故意か無意識かにかかわらず会社資産を不適切に利用してしまう場合があります。本業時間中に無断での副業作業は会社組織にとって悪質な組織文化が根付いてしまう原因になります。2.5 副業先の守秘情報のコンタミネーション:企業内での責任の錯綜と法的泥沼代表的なバッドケース本業先の従業員が、副業先の守秘情報を故意か無意識かにかかわらず、本業先に持ち込んでしまうケース。このような行為は、本業先にとっても、副業先にとっても極めてリスクが高い状況を生み出します。参考ソフトバンク元社員に有罪判決 5G営業秘密持ち出しhttps://www.nikkei.com/article/DGXZQOUE012VY0R01C22A2000000/発生する事故このような情報のコンタミネーションが発生すると、まずは本業先での業務が大きく影響を受ける可能性があります。法的には損害賠償請求、契約違反、場合によっては逮捕に至る事態も考えられます。さらに、本業先がこのような状況に対して適切な対応を取らなかった場合、従業員(副業者)と副業先の双方とも揉め事が生じ、結果的に「火に油を注ぐ」ような二次災害を引き起こす可能性もあります。例えば、適切な調査が行われずに従業員を無実のうちに懲戒解雇するなど、対応が過度であれば本業先と副業先、そして従業員の三者間での法的紛争がさらに激化することが想定されます。2.6本業先の復旧対応体制の未整備:危機を拡大させる潜在的リスク代表的なバッドケース情報漏洩、コンタミネーション、その他の具体的な事故が発生した際、本業先がインシデント対応計画(BCP)を策定していないケースと、危機管理広報体制(CSIRT)を確立していないケースがあります。これにより、企業は被害を速やかに抑制する機会を逸し、事態をさらに悪化させるリスクが高まります。発生する事故とリスク危機管理広報体制が不十分:事故発生後、72時間以内に適切な広報対応ができないと、外部への信頼損失が拡大します。ステークホルダー、顧客、または株主からの信頼を大きく失い、企業価値が毀損する可能性があります。損害保険や補償の未整備:事故が発生した際の損害を最小限にするための保険や補償体制が整っていないと、本業先の会社に非がある場合巨額の賠償金や修復費用を自ら負担しなければなりません。法的リスクと責任追及:適切な復旧対策が取れない場合、法的な訴訟を含む多くのリスクが伴います。これが最悪の場合、経営者や役員に対する責任追及や賠償請求が生じる可能性があります。社内モラルの低下:復旧が長期にわたる場合、従業員の士気も低下し、生産性や効率が損なわれる可能性が高まります。ビジネスパートナーとの関係悪化:速やかな対応が取れない場面で、取引先やビジネスパートナーからの信頼を失い、長期的なビジネスチャンスを逸する可能性もあります。二次災害の発生:初動対応が遅れることで、さらなる情報漏洩やセキュリティ侵害が発生する可能性もあり、その影響は指数関数的に拡大していくかもしれません。人事部門やセキュリティ担当者は、これらのリスクを十分に認識し、事前に復旧対応体制を整える重要性があります。それが不十分であれば、一度失った信頼を回復するのは非常に困難になるでしょう。3. 全社連動した対策の具体例副業が一般化する現代において、単純な副業制度の策定にとどまらず、永続的に事故を防止する体制構築が急務です。この章では、人事とセキュリティ担当者が密接に連携し、短期的な対応から長期的なリスク対策まで、全社が一体となって取り組むべき方策を提示します。このガイドが皆様の対策検討の第一歩となることを期待します。情報漏洩が発生する6つの理由の対策一覧課題対策方法連携する担当職種 本業先全社での情報セキュリティ対策の強化定期的なセキュリティ監査を行い、最新事故事例を参考にセキュリティ対策を見直します。情報セキュリティ担当、人事担当、内部監査担当本業先が想定していない情報資産の悪用とその重大な結果各種情報資産の利用履歴を監視し、無許可の副業利用を厳正に対処します。情報セキュリティ担当、人事担当、内部監査担当従業員へのコンプライアンス教育不足による組織的モラルハザードコンプライアンス教育プログラムを充実させ、定期研修を行います。人事担当、研修担当、上司、経営層会社貸与資産の副業利用:未対策のリスク貸与資産の利用状況を監査し、副業利用が禁止されていることを通知し、対処、是正する資産管理担当、情報セキュリティ担当、人事担当副業先の守秘情報のコンタミネーション副業ガイドライン、コンプライアンス教育、守秘義務についても教育します。法務担当、情報セキュリティ担当、人事担当本業先の復旧対応体制の未整備緊急対応チームを設置し、72時間以内のインシデント体制を整えます。損害保険などの復旧オプションの契約をします。情報セキュリティ担当、危機管理担当、広報担当、人事担当、経営層まとめ副業の一般化は、企業が従来のセキュリティと人事管理手法を再評価する契機となっています。長らく続いた終身雇用型の企業文化では、新しい種類のリスクが見過ごされがちです。人材の流動化が促進され、変化する環境で、人事担当、セキュリティ担当、そして監査担当者は、事故防止と情報保護のために一体となる必要があります。本記事で紹介した内容は、その協働をスムーズに進め、企業全体を安全に保つための第一歩にご活用いただければ幸いです。執筆者プロフィール小林大介 シニアリスクリサーチャー ISO30414リードコンサルタント 株式会社フクスケ代表株式会社VOYAGEGROUP(現CARTA HOLDINGS)新卒入社。株式会社サポーターズの立ち上げに関わる。同社で支社長経験後、副業経由でVTuber事業を手掛けるスタートアップにHRマネージャーとして転職。組織急拡大の中、ニューリスクを複数経験。2019年7月に株式会社フクスケを創業。