退職した職員が顧客データを持ち出す——士業事務所が知っておくべき「その後」の話

「退職した職員が顧客リストを持っていってしまったかもしれない」

この手の話は、士業事務所では珍しくありません。独立開業のために退職するケースが多い業界ですから、顧問先リスト・料金表・業務フォーマットが転職・開業時に「参考資料」として持ち出されるのは、残念ながらよくある話です。

問題は「持ち出しがあったかどうか」ではなく、「持ち出せる状態になっていたかどうか」です。

気づいたときには手遅れになる理由

退職者によるデータ持ち出しの多くは、退職直前の数日間に集中して発生します。USBメモリへのコピー、個人のGoogleドライブへのアップロード——いずれも、確認できる記録がない事務所では、起きたかどうかすら分かりません。

さらに深刻なのが、退職後もアカウントが有効なままになっているケースです。Microsoft 365のアカウントが削除されていない場合、退職後も外部から事務所のメール・ファイルにアクセスし続けることが可能な状態です。

USBメモリの接続制御——IntuneやWindowsのグループポリシーで、管理外のUSBへの書き込みを禁止できます。

個人クラウドへのアップロード制限——Microsoft PurviewのDLPで、個人のGoogleドライブへのアップロードをブロックできます。

操作ログの保存——誰がいつどのファイルにアクセスしたかを記録する設定にしておけば、万一の際の調査に使えます。

退職日当日にMicrosoft 365のアカウントを無効化する。無効化後30日以内に削除する。使用端末を回収し初期化する——この手順が文書化されていれば、担当者が変わっても確実に実行できます。

管理体制があることは、職員への不信感の表れではなく、事務所として責任を持って情報を預かる姿勢の表れです。

Microsoft 365などの、すでに事務所で導入済みの製品をうまく使うことで、体勢を整えることが可能です。

事務所のセキュリティ対策にご興味のある方は行政書士事務所みまもりまでご連絡ください。

▶ 士業向けIT・セキュリティ整備サービス

行政書士事務所みまもり / セキュリティ研究者・デジタルフォレンジックエンジニア成田浩志