「信頼していた社員が退職した途端、顧客リストや社外秘のノウハウデータが競合に流出していた……」そんな恐ろしい内部不正のリスクが、人材の流動化が進む現代の企業を脅かしています。株式会社ISOプロが経営者や情報システム部門を対象に実施した最新調査により、約8割の企業が退職時の情報持ち出しを警戒している一方で、退職日当日にアカウント削除などの防衛策を完了できている企業はわずか2割という驚きの実態が明らかになりました。現場が抱えるセキュリティの限界と、組織を守るための標準化戦略に迫ります。
半数超が被害・ヒヤリハットを経験、当日中のアカウント削除はわずか2割の盲点
株式会社ISOプロは2026年5月27日、企業の経営者・経営層および情報システム部門の担当者1,019名を対象に実施した「退職者による機密情報持ち出し・不正アクセスのリスクと組織のセキュリティ体制」に関する実態調査の結果を発表しました。調査によると、従業員の退職に伴う情報の持ち出しや不正アクセスについて、全体の約8割が『とても警戒している(35.4%)』『ある程度警戒している(47.1%)』と回答。多くの企業が「出口(退職時)」のセキュリティを重大な脅威として認識しています。具体的に懸念している内容としては、「顧客情報や営業リストの持ち出し(58.4%)」や「設計データや自社ノウハウの流出(54.3%)」が上位を占め、企業の競争力に直結するデータの防衛に神経を尖らせている現状が浮き彫りになりました。
しかし、この強い警戒感とは裏腹に、実際の現場での対策スピードには致命的な遅れが見られます。退職に伴う社内システムやクラウドサービスのアカウント削除・権限変更のタイミングを尋ねたところ、「退職日当日に行われている」と答えた企業はわずか22.1%(約2割)にとどまりました。
- 退職後、数日以内: 29.7%
- 退職後、数週間~1ヶ月程度: 18.8%
- 1ヶ月以上の長期間放置・ルールなしなど: 約18%
退職後も元従業員がシステムにログインできてしまう「管理の空白期間」が数週間から1ヶ月以上も放置されているケースが多々あり、これが不正アクセスの温床となっています。実際に、過去に退職者による情報の持ち出しやアカウント削除漏れによるトラブルが「発生したことがある」は15.4%、「未遂や疑わしい事象(ヒヤリハット)があった」は39.5%にのぼり、全体の半数以上の企業がすでにリスクに直面しているという極めてシビアな実態が判明しました。
私用端末(BYOD)の曖昧な管理と、「ISO27001」による仕組み化への期待
さらに、さらに、管理の目が届きにくい「私用端末の業務利用(BYOD)」が、退職時セキュリティの大きな抜け穴となっています。退職時における私用端末内のデータ削除やアクセス権限の解除方法について、最も多かった回答は「退職時にアカウント停止・権限削除を実施している(20.2%)」でしたが、端末内のローカルデータを完全に消去するMDM(端末管理システム)などの仕組みを入れていない企業も多く、実質的に「退職者の良心」に依存せざるを得ないグレーゾーンとなっています。現に、現在の運用の課題として「個人のモラルや意識に依存している(24.8%)」や「手作業での管理が多く、抜け漏れが発生しやすい(24.5%)」が上位に挙がっており、アナログで属体的な管理の限界を現場自身が痛感しています。
こうした「個人のモラル依存」や「手作業の限界」を打破する手段として、調査では約8割(79.9%)が「ISO27001(ISMS:情報セキュリティマネジメントシステム)」などの第三者認証の取得が有効であると支持しています。その理由の筆頭には「ルールや手順が明確になり、管理の属人化を防げるから(41.8%)」が挙がり、次いで「守るべき情報資産の洗い出しやリスク評価の体制が整うから(37.7%)」が続きました。場当たり的なセキュリティツールの導入にとどまらず、国際規格という客観的な基準を取り入れることで、そもそも自社にどんなリスクがあるのかを構造的に把握し、誰が担当しても抜け漏れが起きない「標準化されたプロセス」を構築したいという、企業のガバナンス改革への強いニーズがうかがえます。
詳しくは「株式会社ISOプロ」の公式ページまで。 レポート/DXマガジン編集部
