2024年4月19日(金)

アイネットテクノロジーズ

2024年2月27日

PR
外部からのサイバー攻撃だけが情報リスクではない。内部からのデータ流出とそれが引き起こす機会損失、信用失墜の大損害にもすべての企業は目を向けるべきである。情報セキュリティ専門企業アイネットテクノロジーズと弁護士法人きわみ事務所が警鐘を鳴らす。
 

顕在化する内部不正リスク、退職する社員の動きに注意

—営業秘密や開発情報の漏洩事件が相次いでいます。企業の内部不正は増えているのでしょうか。

上口 確かに増加している印象はありますが、以前も水面下で潜行していたものが一挙に顕在化してきたのでしょう。その背景には、データ活用の進展とともに情報の資産価値が高まったこと、それに伴い秘匿すべき営業秘密が増大していることがあると思われます。

加藤 サイバーリスクというと、ハッキング行為など外部からの攻撃が真っ先に思い浮かびますが、実は内部からの情報流出も大きな問題で、そして存外に恐いのです。特に退職者が情報を不正コピーして辞めるケースは要注意です。ソフトバンクの元社員が、5G関連の営業秘密を転職先の楽天モバイルに持ち込んで逮捕された事件は記憶に新しいところでしょう。

増山 多くの企業で終身雇用制が終焉を迎え、人材の流動性が高まったことも関係しているのでしょう。情報処理推進機構(IPA)が行った「企業における営業秘密に関する実態調査」の結果を見ると、中途退職者による情報漏洩が現職社員にも増して多い現実がわかります(図参照)。

出典:企業における営業秘密管理に関する実態調査2020(独立行政法人情報処理推進機構/2021年3月)より抜粋加工 写真を拡大

竹内 データを売買して私腹を肥やすだけでなく、俗に「手みやげ転職」などといわれますが、転職先で自分の価値を高めるのに利用するケースが目立ちます。我々のところに相談に来られる企業も増えている印象がありますね。

上口 昇格する社員が不正を働くケースも見られます。職位が上がり、重要情報へのアクセス権限が広がることが一因でしょう。本来は、多くの企業が従業員との間で秘密保持契約を結んでいるので、例えば飲み屋でうっかり得意先の情報を口にしたり、営業先の名刺を持って辞めたりすることも不正行為に問われるはず。ただ、被害を証明しづらいこともあって表面化しないだけなのだと思います。

 

情報漏洩による被害増大、デジタル資産の保護徹底を

上口稚洋(うえぐち・ちひろ) システムエンジニアを経て日本マイクロソフトのソリューションパートナーに。マイクロソフトテクノロジーセンターのテクニカルアーキテクトを担当後、2020年に独立起業。

—営業秘密の漏洩により、企業はどんな損害を被りますか。

竹内 外部に流出した情報が競合相手などに使われることで、本来は自社で得られたであろう利益が失われてしまう「機会損失」がまず一つ。加えて、漏洩の事実関係の調査などに費やされる時間と労力、金銭などの負担もあります。損害賠償請求や訴訟対策にかかる費用も発生するでしょう。

増山 最近の調査で、サイバー攻撃などでデータ侵害を受けた企業の対応費が国内平均で5億6000万円、世界全体でもほぼ同額という結果が出ています(日本IBM調べ)。記録解析など侵害検知のための費用、補償など侵害後の対応費、顧客離れなどの機会損失などがその内訳です。事前に対策を講じていた企業とそうでない企業とで、これらの金額に有意に差が見られるのは注目に値します。

加藤 にも拘わらず、大半の企業で、特に内部不正に関してはこれまで根本的な対策が取られてこなかったのが実情ではないでしょうか。中小企業も含めてすべての組織が、重要書類は金庫にしまうといった感覚から脱し、デジタル資産の保護に関する認識を一刻も早く高めなければなりません。

 これもIPAの調査結果ですが、内部不正リスクを重要な経営課題と捉えている企業は全体の4割に満たないのが現実です(企業の内部不正防止体制に関する実態調査)。不正会計やサーバー攻撃などと比べ、情報漏洩は経営課題として優先度が低いとされているのでしょう。

上口 しかし、ひとたび漏洩の事実が公になれば、その企業の信用は失墜します。重要情報が簡単に盗み出されるような相手と、好んで取引を続けたい企業があるでしょうか。そうした無形の損失が、金銭的損害以上に大きなダメージをもたらしかねないことを知っておく必要があります。

 

「営業秘密」とは何か、理解の差が損害の差を生む

加藤寛二(かとう・かんじ) 日本マイクロソフトのテクノロジーセンターなどで活躍し、アイネットテクノロジーズに参画、企業に対してセキュリティ・コンプライアンスソリューションを訴求。CISSP。

—では、流出させてはならない営業秘密とはそもそも何かということになりますね。

竹内 不正競争防止法では、次の3つの要件を満たす情報が営業秘密であると定められています。

  1. 秘密管理性:秘密として管理されていること
  2. 有用性:事業活動に有用な技術上および営業上の情報であること
  3. 非公知性:公然と知られていないものであること

 営業秘密は個人情報の保護とは異なり、事業者間の公正な競争を確保するために法律で保護されています。ですが、逆にいえば、これらの要件を満たさない情報が外に出ても競争を妨げるとは認められず、不正とされない可能性があるということです。特に秘密管理性は、「秘密とは知らずに持ち出した」と言い逃れされないためにも重要で、情報漏洩対策の一番の要諦といっていいでしょう。

増山 持ち出された情報が営業秘密に当たるかどうか、またそれ以前に情報漏洩の事実があったかどうかの判断は難しく、内部不正が表面化しづらい原因の一つともなっています。漏洩が明らかだとして、それによる損害の証明がまた困難で、情報が漏れなければ得られた利益をどう算定するのか、なかなか明確にはできません。

 事実、先ほど触れたソフトバンク事件の裁判でも、弁護側は営業秘密の3要件を満たしていないと主張。被告の元社員に有罪判決が出ましたが、控訴して現在も係争中です(2024年1月現在)。ソフトバンクでは損害賠償額を1000億円としていますが、うち10億円の一部請求から訴訟を始めました。それだけ立証の見通しは険しいのでしょう。

竹内 訴訟を起こして事件が表沙汰になるのを嫌う企業もあることから、実際には裁判まで持ち込めるケースは多くありません。大多数が社内調査で事実関係を確認するか、警察や弁護士などに相談して終わっているものとみられます。それだけに、内部不正は起こさないこと、未然に防ぐことがいかに重要かがわかります。