情報処理推進機構(IPA)は3月18日、「企業における営業秘密管理に関する実態調査2020」報告書を発表した。これによると、従業員のミスによる漏洩の割合は減少したが、漏洩ルートの多くが中途退職者であり、内部不正による漏洩割合は増加していることが分かった。

また、テレワーク環境における他社との情報共有ルールやクラウドサービスにおける秘密情報の扱いなどについては、他の項目に比べて対策が進んでいない状況が明らかになったとしている。

  • 営業秘密の漏洩ルート

同調査は同機構が2020年10月12日から11月27日にかけて企業への郵送アンケートにより実施したものであり、調査対象は1万6000件、回収数は2175件だった。情報漏洩インシデントが発生したとの回答は、2016年に実施した前回調査と比べて若干減少傾向にある。

その要因としては企業における対策の進展の他、前回調査と回答企業構成比が相違していることや、攻撃の巧妙化により事象そのものを認知できていない可能性も考えられ、複数の要因が作用した結果だと同機構は見ている。

情報漏洩ルートでは、「誤操作、誤認等」が21.2%と前回調査と比べ約半減した一方で、「中途退職者」による漏洩は前回から増加し36.3%と最多となった。

  • 情報漏洩認識時に実施したこと

情報漏洩を認識した場合に実施したことは、従業員301人以上の企業では「行為者(と疑われる者)に対するヒアリング」の割合や「ログ等の確認」が高く、従業員300人以下の企業では「何もしなかった」割合が高い。

【関連記事】
≪IPA、情報セキュリティ10大脅威 2021」公開 - テレワークの脅威初登場≫
≪2020年第2四半期はテレワークで使うVPNやWeb会議の脆弱性の悪用目立つ - IPA≫

  • 営業秘密情報への不正アクセス防止対策の実施状況

情報漏洩に気付くことのできる対策を実施したとの回答は57.8%と、前回調査の50.2%から向上した。しかし、「実施していることを従業員に周知していない」という回答が約2.5倍と大きく増加している。

営業秘密情報への不正なアクセスの防止対策は、特に何もしていないとの回答が大きく減少しており、アンチウイルスソフト導入やファイアウォールなどの導入といった基礎的な対策が伸びている。

  • テレワークで営業秘密を扱う場合に規定したルール

テレワーク実施にあたり既存のルールとは別に規定したルールとしては、「秘密情報を社外から取引先と共有する際のルール」や「クラウドサービスで扱う場合のルール」を取り決めている割合が低い。

今回の調査結果について同機構は、漏洩が判明した時のアクションとして当人確認とログの確認を重視する傾向がある中で、情報廃棄時の破棄の徹底やデジタルフォレンジック調査はまだ広く浸透していないこともわかったとしている。

役員・従業員と秘密保持契約を締結する企業が増加し、不正アクセス防止策などの情報漏洩対策については基本的な対策を中心に進んでいるが、対策を従業員に周知していない割合が増加しており、心理的な抑止効果の観点では注意が必要だという。

また、テレワークの急速な普及などにより、営業秘密を扱う新たな規程の整備が求められる中、テレワーク環境での他社との情報共有ルールやクラウドサービスでの秘密情報の扱いなどについては他の項目に比べて対策が進んでいないことが明らかになったと同機構は指摘している。