退職者の情報持ち出しを防ぐ5つの予防策｜中小企業向け

「来月で退職します」——その一言を受けてからアクセス権を消し始める、という会社も多いのではないでしょうか。ただ、USBにコピーされた顧客リストや自宅に送られた図面は、辞めた後では取り戻せません。退職者の情報持ち出しは、特別なツールがなくても「辞める前」の準備でかなり防げます。この記事では、USB・メール転送・クラウドという3つの手口ごとに、予算ゼロから打てる予防策を、技術とルールの両面で解説します。

結論：退職者対策は「辞める前」の3手口潰しで決まる
そもそも、なぜ退職者の持ち出しが問題なのか
1. 「管理していない情報」は法律でも守られない
現場でよくあるケース：辞める“直前”に動きが出る
退職が決まったら：時系列でやることチェックリスト
よくある失敗｜“やったつもり”で抜ける3パターン
まとめ｜辞める前にやるべきこと3点

結論：退職者対策は「辞める前」の3手口潰しで決まる

退職者の持ち出し経路は、突き詰めると次の3つに集約されます。

①USB：USBメモリや外付けドライブにコピーして持ち出す

②メール転送：会社メールから個人アドレスへ添付・自動転送する

③クラウド：個人のGoogleドライブやDropboxにアップロードする

この3つを「辞める前」に塞ぎ、あわせてアカウント停止と契約書を整えれば、リスクは大きく下げられます。

＜やるべきこと一覧＞

No.	予防策	費用感
1	アカウントの即時停止と棚卸し	予算ゼロ
2	USBの書き込み制御	予算ゼロ〜
3	メール自動転送の検知・禁止	予算ゼロ
4	クラウドへのアップロード制御	要投資
5	秘密保持誓約書・就業規則の整備	予算ゼロ

そもそも、なぜ退職者の持ち出しが問題なのか

IPA「企業における営業秘密管理に関する実態調査2024」によると、営業秘密の漏えいを経験した企業のうち、中途退職者（役員・正規社員）を漏えい経路に挙げた割合は17.8%でした。さらに契約満了・中途退職した契約/派遣社員（14.6%）、定年退職者（12.0%）を合わせると、退職者由来の経路が複数並びます。漏えい先は「国内の競合他社」が54.2%と最も多く、持ち出された情報はそのまま競合の手に渡りやすいのが実態です。

実は、この3点は中小企業で見落とされがちなポイントではないでしょうか。

退職アカウントの放置：退職後もメールやクラウドにログインできる状態
ログ未取得：誰がいつ何を持ち出したか、後から追えない
USBが自由：私物USBの抜き差しが誰でもできる

「うちは少人数だから大丈夫」と感じがちですが、人数が少ないほど一人が触れる情報の範囲は広く、被害が一極集中しやすいのが実態です。

「管理していない情報」は法律でも守られない

見落とされがちなのが法律面です。不正競争防止法で「営業秘密」として保護されるには、秘密管理性・有用性・非公知性の3要件を満たす必要があります。なかでも秘密管理性が要で、誰でも見られる状態に置いていた情報は、後から「営業秘密だった」と主張しても認められにくくなります。技術的な対策と同時に、「これは秘密情報だ」と分かる管理が前提になるわけです。

詳しく知りたい方はこちら

現場でよくあるケース：辞める“直前”に動きが出る

持ち出しは、退職が決まってから最終出社日までの短い期間に集中しがちです。例えば、担当顧客のリストをUSBにコピーする、進行中の提案書を私用クラウドに上げる、過去のやり取りを個人アドレスへ一括転送する——いずれも「自分が作った資料だから」という心理的なハードルの低さが背景にあります。

悪意というより“グレーな持ち出し”が多いのが実態です。だからこそ、本人の良心に任せるのではなく、ルールと技術の両方で「そもそもできない状態」にしておくことが有効です。逆に、退職の意思が固まってから慌てて権限を絞ると、本人に勘づかれて駆け込みコピーを誘発することもあります。平時から仕組みとして整えておきましょう。

予防策1：退職日にアカウントを「停止」する（予算ゼロ）

最優先はアカウント管理です。退職日を迎えたら、Microsoft 365やGoogle Workspaceの管理画面から、対象アカウントへのサインインを無効化（Google Workspaceなら「ユーザーを一時停止」）します。ポイントは、いきなり削除しないこと。削除するとメール履歴やアクセスログも消え、後で持ち出しを調べられなくなります。まず「停止」、調査と引き継ぎが済んでから削除、という順番が安全です。

停止漏れが起きやすいのは、メール以外のアカウントです。下記の項目は退職日に一気に止めましょう。

メール・クラウド：Microsoft 365 / Google Workspace のサインインをブロック
VPN・社内NAS：個別アカウントを無効化。共有IDを使っている場合はパスワードを即変更
各種SaaS：会計・CRM・名刺管理・チャットなど、招待や権限を削除
物理回収：貸与PC・スマホ・USBメモリ・入退室カードを返却させる

予防策2：USBの書き込みを止める（予算ゼロ〜）

USBコピーは、Windowsのグループポリシーだけでも抑えられます。

設定場所は「コンピューターの構成 → 管理用テンプレート → システム → リムーバブル記憶域へのアクセス」です。ここで「リムーバブルディスク : 書き込みアクセスの拒否」を有効にすると、USBメモリや外付けドライブが読み取り専用になり、社内ファイルのコピー（＝持ち出し）だけを止められます。（※使用機種により異なる）

読み取りは許可されるので、取引先から受け取ったデータを開く業務はそのまま続けられます。Active Directory環境なら部署単位での一括適用も可能で、退職予定者が出た部署から先に当てる運用も現実的です（グループポリシーエディタはWindows Pro以上が前提。Home版はレジストリでの対応になります）。

予防策3：メール転送の抜け道を塞ぐ（予算ゼロ）

意外と多いのが、会社メールに「個人アドレスへの自動転送ルール」をこっそり仕込むケースです。これは管理者側で、転送機能そのものを止められます。

Google Workspaceの場合、管理コンソールの「アプリ → Google Workspace → Gmail → エンドユーザーのアクセス」を開き、「自動転送」の項目で『受信メールを別のメールアドレスに自動転送することをユーザーに許可する』のチェックを外せば、利用者は転送設定を作れなくなります。この設定は既定でオン（＝転送できる状態）になっている点に注意してください。Microsoft 365では既定で外部への自動転送がブロックされますが、例外ルールで許可されている場合もあるため、退職者対応のたびに転送ルールと受信フィルタの棚卸しをしておくと安心です。

予防策4：クラウドへのアップロードを制御する（要投資）

USBとメールを塞ぐと、次に出口になるのが個人クラウドです。GoogleドライブやDropboxなどへのアップロードは、Windows設定だけでは止めにくく、ネットワーク側での制御が現実的な選択肢になります。UTM（統合脅威管理）を導入すると、業務外のクラウドストレージへの通信をフィルタリングしたり、通信ログを残したりできます。担当者が把握していない「シャドーIT」の可視化にもつながります。

通信ログが残っていれば、万一持ち出しが疑われたときに「いつ・どこへ・どれくらいの量が送られたか」を後から追え、不正競争防止法に基づく対応の証拠にもなります。費用は発生しますが、出口対策とログ取得をまとめて一台で担える点が、専任の情シスがいない中小企業に向いています。

予防策5：「持ち出したら違法」を契約で明文化する（予算ゼロ）

技術対策と並行して、秘密保持誓約書を整えます。入社時だけでなく、退職時にもう一度署名してもらうのが効果的です。あわせて就業規則に秘密情報の取り扱いと違反時の対応を明記し、対象情報には「社外秘」と分かる管理を施します。これが予防策5であると同時に、予防策1〜4を法的に下支えする土台になります。