「大量退職時代」の影響から増えている内部情報漏洩
「従業員が顧客情報を紛失してしまった」「退職者が企業秘密を持ち出して同業他社に転職してしまった」
残念ながら、そんなニュースが頻繁に発生しています。しかも、メディアで報じられるのは個人情報保護法や不正競争防止法に抵触した氷山の一角に過ぎず、実際には、内部関係者による情報漏洩はもっと多く発生していると考えるべきでしょう。
内部犯行の中には、単にルールを知らなかったり、注意不足でミスを犯してしまったりするケースもあります。しかし、目立っているのは元従業員・元職員や派遣社員が意図的に情報を外部に持ち出すケースです。
背景には「大量退職時代」の到来があります。
新型コロナウイルスの流行はさまざまな影響を及ぼしましたが、その一つが人材流動の活発化です。アメリカの退職率は2022年に過去最多を記録しました。また、日本でも退職率は増加の一途をたどっており、2022年には過去7年間で最多となっています。
さらに数だけでなく、質的な変化が見られることも最近の退職の特徴です。いわゆる「働き盛り」と言われる20代~50代の正社員、特に男性やエンジニア職の転職が盛んになっており、より良いキャリアや待遇を求めて転職することが当たり前になりつつあります。
これ自体は歓迎すべき傾向でしょうが、情報管理に携わる立場からは頭痛の種となりつつあります。プルーフポイントがグローバルで行った調査によると、セキュリティに責任を持つCISOのうち実に82%が「退職者が情報漏洩に関わっていた」と回答しています。
事実、この数年に発生した情報漏洩事件を振り返ってみても、退職者が内部情報・機密情報を転職先への「手土産」にしたケースが頻発しています。中には、会社間での損害賠償請求訴訟に発展したり、不正競争防止法違反で逮捕されたりする例まであります。ここまで深刻な事例に至らなくとも、前職で作成したマニュアルやガイドライン、あるいは顧客名簿などを転職先でも流用するケースは、残念ながら後を絶ちません。
「人」は最も危険な脆弱性、外部脅威よりも圧倒的に多い内部からの情報漏洩
内部犯行による情報漏洩の多発は、個別のニュースだけでなく統計データからも明らかです。
例えば、情報処理推進機構(IPA)の「企業における営業秘密管理に関する実態調査2021」によると、営業秘密が漏洩するルートとして最も多いのは「中途退職者による漏洩」となっています。次に「現職従業員による誤操作・誤認など」「現職従業員のルール不徹底」と内部関連の要因が続き、四位にようやく「サイバー攻撃」という外部の要因が登場します。このサイバー攻撃と同率で「現職従業員による金銭目的等の具体的な動機を持った漏洩」も挙がっています。
こうした数字を集計していくと、日本で発生した営業秘密漏洩のうち87.6%が内部脅威によるもので占められています。サイバー攻撃など外部の要因に起因する情報漏洩はわずか8%に過ぎず、その10倍もの漏洩が内部脅威によって発生してしまっているのです。
海外の調査を見ても同様です。ベライゾンの「データ漏洩/侵害調査報告書(DBIR)」によると、データ侵害の74%は人的な要因に起因するものでした。また、世界経済フォーラムの調査によれば、サイバーセキュリティ問題のうち95%がヒューマンエラーに起因しており、43%は内部脅威、内部不正によるものだといいます。
内部脅威のリスクは、最近になって突然浮上したものではなく、長年にわたって課題であり続けてきました。IPAの「10大脅威」を眺めてみると、まとめが始まってからの過去14年ずっと「内部不正」「内部脅威」がランクインし続けています。
つまり、「人」は企業にとって最も重要な資産であることに間違いありませんが、同時に、最も危険な脆弱性にもなり得ます。特に内部関係者は「重要なデータは何か」「どこに保存されているか」といった事情にも詳しく、その気になればピンポイントで機密情報を持ち出せてしまうことに注意が必要なのです。
したがって、情報漏洩対策を考える際には、外部からのサイバー攻撃だけでなく、内部からの情報漏洩対策、内部不正対策が非常に重要と言えます。
不正競争防止法の改正により保護対象が拡大
では、どうやって内部からの情報漏洩を防いでいけばいいのでしょうか。
まず、法制面での対策が進んでいます。一例が、昨年行われた不正競争防止法の改正です。この改正では保護対象が広がり、有体物だけでなくデジタル上の情報資産も規制対象となったほか、規制すべき対象としていわゆる産業スパイに加え、退職者や業務委託先の行為が含まれることになりました。
そして、経済安全保障上、企業の持つデジタル資産を保護して経済的な競争優位性を保つために、不正競争防止法に反する行為に対し、日本の裁判所において民事訴訟を提訴できる旨が明記されています。
ただ、不正競争防止法が適用される前提として、保護すべき資産を「営業秘密」として管理しなければならないことがあります。具体的には、その情報を秘密として適切に管理しなければならず、かつその情報に有用性があり、しかも公然と知られたものではなくその会社の中でしか得られないものである、という3つの条件を満たすことによって初めて、営業秘密として認められます。
知的財産が競争力の源泉になっていることもあり、不正競争防止法に基づく営業秘密侵害の摘発件数は右肩上がりで、2022年には30件に達する勢いとなりました。今後も注視が必要でしょう。
内部情報漏洩対策の基本三原則
こうした法制度の後押しだけでなく、企業自身も何らかの手を打つ必要があります。その際に参考にしたいのが、内部情報漏洩対策の基本三原則です。
1つ目は「守るべき情報資産の定義と洗い出し」です。不正競争防止法でも言及されていますが、何が機密情報・個人情報に該当し、守るべき資産であるかを定義し、社員誰もがわかるように提示する必要があります。
2つ目は、そうやって定義した「情報資産へのアクセス管理」です。たびたび言われてきたことですが、複数のユーザーでIDを共有するのが論外なのはもちろん、必要な人だけに適切なアクセス権限を与え、退職・転職した人のアクセス権限は迅速に剥奪していく、といったID権限の管理が非常に重要になります。
3つ目は、こうした管理を実施するだけでなく、きちんと「運用・監視」していくことです。ログを監視し、アクセス管理が機能しているかを確認する体制が求められます。ただ同時に、従業員のプライバシーが保てるよう留意するとともに、監視要員がさらされるストレスを軽減する仕組みもあることが望ましいでしょう。
このような仕組み面での対策に加え、従業員や業務委託先と「秘密保持契約」を結ぶことも重要です。社員の入れ替わりが激しい時代となったことを踏まえ、入社時などに一度締結して済ませるのではなく、毎年説明し、契約を結び直す企業も増えています。
もう1つ、大量退職時代の内部情報漏洩対策として新たに注目したいのが「退職プロセス」です。
新たに社員が入社する際には、人事や法務、上司によるオリエンテーションを通じて、社内の福利厚生や制度、情報セキュリティに関する案内がなされるはずです。一方、退職時となると、業務の引き継ぎは行うにしても、一貫したプロセスが整備されているケースはあまりありません。個人にとって退職時の記憶は非常に残りやすく、もしここでネガティブな経験をしてしまうと、情報持ち出しや破壊といった不正行為を行う「動機」が生まれてしまいかねません。