企業からの情報流出をどのように防ぐか。守り方について参考になる資料は米国にたくさんある。米国は守ることにかけてとても熱心である。少なくとも第二次世界大戦後はいつも情報を狙われる国であったため、軍事技術や防衛産業を守り、同時に産業界全体も守る。そのための手段として産業スパイ防止法などの法律の整備とともに組織についてもONCIX(国家対情報局)など政府が得た産業スパイに関する情報をすぐに産業界と共有できるようにしている。
米国の産業スパイ事件関連の資料を読んでゆくと日本企業の防衛にも参考になることが非常に多い。
マークすべき社員とは
現在米国で最も懸念されているのは外国政府や外国企業が関与して秘密情報を盗むことであるが、そのような事例を集めて手口を分析しその対策を書いている資料がある。それによると最初からスパイを送り込むわけではない。まず企業の公開情報をとにかく分析する。そのとき特許情報は非常に有力な情報源である。その範囲内にとどまれば通常の企業活動であり、それぐらいは普通どこの企業でもやる。
違うのは公開されていない情報を得るために人を使うことである。外部からのサイバー攻撃による情報入手というのはターゲットを絞り込めないせいか案外少なく、やはり人が媒体になる。できるだけ発覚しにくい方法をとるわけだが、いきなり夜に侵入することなどまずない。
会社に不満をもつ社員が、情報を漏えいさせることがある(提供・アフロ)
まず情報を出してくれる社員をマークする。外部の会合で自分は評価されていないと不満をもらす社員、意に反して異動させられた社員、借金などなんらかのストレスを抱えた社員をマークする。同じ外国の出身者で新入社員として入社し長く勤め信頼されて企業の重要情報にアクセスできる立場になった人もマークされる。
マークされて誘われて犯行におよぶ動機は外国企業に職を求めるか、報酬を求めるか、または愛国的なものである。誘われた社員が電子データまたはソフトウエアを盗むのは、ほとんどが通常の時間内に、職場で、自らのアクセス権限にしたがい、VPNを利用して、企業の内部サーバーにアクセスする。
このような分析を読むと、秘密情報を守る最も有効な対策はごく平凡なことだとわかる。それは人事管理そのものである。
