故意か否かにかかわらず頻繁に発生している内部からの情報漏えい。メカニズムを学びながら、企業での具体的な対策を解説する。
益子 るみ子(Rumiko Masuko):情報処理推進機構 情報セキュリティ分析ラボラトリー 研究員
企業や個人を対象とした情報セキュリティ対策に関する分析及び調査研究に従事。
<分析ラボラトリーについて>
情報セキュリティに関する情報収集や調査研究(政策提言)、政策動向の国際比較、情報セキュリティ対策に関する標準や規格などの情報収集、分析、その他情報セキュリティレベル向上に関する調査研究を行う。
多くの被害をもたらす内部からの情報漏えいは、故意か否かにかかわらず頻繁に発生している。その理由にはさまざまな要因が関係してくるが、企業としてはその発生原因を特定しながら適切な対策をとっていく必要があるだろう。そこで今回は、内部からの情報漏えいにおけるトレンドを振り返りながら、企業として検討すべき有効な対策について考えていきたい。
2014年に入り、退職者による海外への技術流出や従業員による不正な情報の窃取など、内部の不正行為による事件が相次いで報道されている(表1参照)。
2014年3月、東芝は、業務提携先である半導体メーカーサンディスクの元社員が、東芝のフラッシュメモリに関する技術の機密情報を韓国のSKハイニックスに不正に流出させ、SKハイニックスがこれを使用したとして、不正競争防止法に基づき、損害賠償等を求める訴訟を提起した。報道によると、その損害額は1000億円を超えるといわれている。機密情報の漏えいが企業にとっていかに大きな損失であるかが分かる。
一方、報道されている事件以外にも、企業では「企業内のルール違反」や「うっかりミス」を含めた従業員による情報漏えいが後を絶たない。たとえ悪意がなくとも、従業員による情報漏えいなどが発生すると管理体制の不備を疑われ、企業の信用を落としてしまう恐れがある。
今や内部不正の発生は、対岸の火事ではない。内部不正が起こり得ることを前提に、企業は機密情報を保護するための対策に取り組む必要がある。
前述した東芝の情報漏えい事件で逮捕されたサンディスクの元社員は、処遇の不満などにより退職する際、転職を有利にするために技術情報を持ち出したとされている。
このように、近年、企業競争がグローバル化する中、企業の業績不振による解雇や給与面などの処遇に対する不満などから、技術者がより好条件を提示する海外企業に引き抜かれたり、国内外の競合企業に転職したりするケースが見られる。そうした中、転職先で役立ちそうな技術情報や顧客情報などの重要情報が持ち出されている。
経済産業省委託調査の「人材を通じた技術流出に関する調査研究報告書」(三菱UFJリサーチ&コンサルティング)によると、過去5年間で「明らかな漏えい事例」が1回以上あったと回答した企業に対して流出先を尋ねたところ、「国内の競業他社」が最も多く46.5%、「外国の競業他社」は10.8%となっている(図1 参照)。業種別、規模別では、「外国の競業他社」への漏えいの多くが製造業で起こっている。
厚生労働省の「労働力調査」によると、2013年度はパートやアルバイトなど非正規雇用の人の割合が調査を開始した2005年以降、最高となり、外国人労働者数も届出が義務化されて以来、最多となった。
派遣人材や外国人を活用する場面が増えており、多様な人材が内部の重要な情報に接する機会も増えている。また、システム運用を外部に委託する企業が年々増加している中、委託先での管理体制や管理実態を把握できないケースもあり、システムを担当する委託先社員による事件も発生している。
社内ルールの徹底や人の管理強化、委託先も含めた体制整備に加え、内部から情報を漏えいさせない仕組みが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。