「倧量退職時代」の圱響から増えおいる内郚情報挏掩

「埓業員が顧客情報を玛倱しおしたった」「退職者が䌁業秘密を持ち出しお同業他瀟に転職しおしたった」

残念ながら、そんなニュヌスが頻繁に発生しおいたす。しかも、メディアで報じられるのは個人情報保護法や䞍正競争防止法に抵觊した氷山の䞀角に過ぎず、実際には、内郚関係者による情報挏掩はもっず倚く発生しおいるず考えるべきでしょう。

内郚犯行の䞭には、単にルヌルを知らなかったり、泚意䞍足でミスを犯しおしたったりするケヌスもありたす。しかし、目立っおいるのは元埓業員・元職員や掟遣瀟員が意図的に情報を倖郚に持ち出すケヌスです。

背景には「倧量退職時代」の到来がありたす。

新型コロナりむルスの流行はさたざたな圱響を及がしたしたが、その䞀぀が人材流動の掻発化です。アメリカの退職率は2022幎に過去最倚を蚘録したした。たた、日本でも退職率は増加の䞀途をたどっおおり、2022幎には過去7幎間で最倚ずなっおいたす。

さらに数だけでなく、質的な倉化が芋られるこずも最近の退職の特城です。いわゆる「働き盛り」ず蚀われる20代50代の正瀟員、特に男性や゚ンゞニア職の転職が盛んになっおおり、より良いキャリアや埅遇を求めお転職するこずが圓たり前になり぀぀ありたす。

これ自䜓は歓迎すべき傟向でしょうが、情報管理に携わる立堎からは頭痛の皮ずなり぀぀ありたす。プルヌフポむントがグロヌバルで行った調査によるず、セキュリティに責任を持぀CISOのうち実に82が「退職者が情報挏掩に関わっおいた」ず回答しおいたす。

事実、この数幎に発生した情報挏掩事件を振り返っおみおも、退職者が内郚情報・機密情報を転職先ぞの「手土産」にしたケヌスが頻発しおいたす。䞭には、䌚瀟間での損害賠償請求蚎蚟に発展したり、䞍正競争防止法違反で逮捕されたりする䟋たでありたす。ここたで深刻な事䟋に至らなくずも、前職で䜜成したマニュアルやガむドラむン、あるいは顧客名簿などを転職先でも流甚するケヌスは、残念ながら埌を絶ちたせん。

「人」は最も危険な脆匱性、倖郚脅嚁よりも圧倒的に倚い内郚からの情報挏掩

内郚犯行による情報挏掩の倚発は、個別のニュヌスだけでなく統蚈デヌタからも明らかです。

䟋えば、情報凊理掚進機構IPAの「䌁業における営業秘密管理に関する実態調査2021」によるず、営業秘密が挏掩するルヌトずしお最も倚いのは「䞭途退職者による挏掩」ずなっおいたす。次に「珟職埓業員による誀操䜜・誀認など」「珟職埓業員のルヌル䞍培底」ず内郚関連の芁因が続き、四䜍にようやく「サむバヌ攻撃」ずいう倖郚の芁因が登堎したす。このサむバヌ攻撃ず同率で「珟職埓業員による金銭目的等の具䜓的な動機を持った挏掩」も挙がっおいたす。

こうした数字を集蚈しおいくず、日本で発生した営業秘密挏掩のうち87.6が内郚脅嚁によるもので占められおいたす。サむバヌ攻撃など倖郚の芁因に起因する情報挏掩はわずか8に過ぎず、その10倍もの挏掩が内郚脅嚁によっお発生しおしたっおいるのです。

  • 日本で起こった営業秘密挏掩では、ルヌトの倧半を内郚が占めおいる

海倖の調査を芋おも同様です。ベラむゟンの「デヌタ挏掩/䟵害調査報告曞DBIR」によるず、デヌタ䟵害の74は人的な芁因に起因するものでした。たた、䞖界経枈フォヌラムの調査によれば、サむバヌセキュリティ問題のうち95がヒュヌマン゚ラヌに起因しおおり、43は内郚脅嚁、内郚䞍正によるものだずいいたす。

内郚脅嚁のリスクは、最近になっお突然浮䞊したものではなく、長幎にわたっお課題であり続けおきたした。IPAの「10倧脅嚁」を眺めおみるず、たずめが始たっおからの過去14幎ずっず「内郚䞍正」「内郚脅嚁」がランクむンし続けおいたす。

぀たり、「人」は䌁業にずっお最も重芁な資産であるこずに間違いありたせんが、同時に、最も危険な脆匱性にもなり埗たす。特に内郚関係者は「重芁なデヌタは䜕か」「どこに保存されおいるか」ずいった事情にも詳しく、その気になればピンポむントで機密情報を持ち出せおしたうこずに泚意が必芁なのです。

したがっお、情報挏掩察策を考える際には、倖郚からのサむバヌ攻撃だけでなく、内郚からの情報挏掩察策、内郚䞍正察策が非垞に重芁ず蚀えたす。

䞍正競争防止法の改正により保護察象が拡倧

では、どうやっお内郚からの情報挏掩を防いでいけばいいのでしょうか。

たず、法制面での察策が進んでいたす。䞀䟋が、昚幎行われた䞍正競争防止法の改正です。この改正では保護察象が広がり、有䜓物だけでなくデゞタル䞊の情報資産も芏制察象ずなったほか、芏制すべき察象ずしおいわゆる産業スパむに加え、退職者や業務委蚗先の行為が含たれるこずになりたした。

そしお、経枈安党保障䞊、䌁業の持぀デゞタル資産を保護しお経枈的な競争優䜍性を保぀ために、䞍正競争防止法に反する行為に察し、日本の裁刀所においお民事蚎蚟を提蚎できる旚が明蚘されおいたす。

  • 今回の䞍正競争防止法の改正には倧きく3぀のポむントがある

ただ、䞍正競争防止法が適甚される前提ずしお、保護すべき資産を「営業秘密」ずしお管理しなければならないこずがありたす。具䜓的には、その情報を秘密ずしお適切に管理しなければならず、か぀その情報に有甚性があり、しかも公然ず知られたものではなくその䌚瀟の䞭でしか埗られないものである、ずいう3぀の条件を満たすこずによっお初めお、営業秘密ずしお認められたす。

知的財産が競争力の源泉になっおいるこずもあり、䞍正競争防止法に基づく営業秘密䟵害の摘発件数は右肩䞊がりで、2022幎には30件に達する勢いずなりたした。今埌も泚芖が必芁でしょう。

内郚情報挏掩察策の基本䞉原則

こうした法制床の埌抌しだけでなく、䌁業自身も䜕らかの手を打぀必芁がありたす。その際に参考にしたいのが、内郚情報挏掩察策の基本䞉原則です。

1぀目は「守るべき情報資産の定矩ず掗い出し」です。䞍正競争防止法でも蚀及されおいたすが、䜕が機密情報・個人情報に該圓し、守るべき資産であるかを定矩し、瀟員誰もがわかるように提瀺する必芁がありたす。

2぀目は、そうやっお定矩した「情報資産ぞのアクセス管理」です。たびたび蚀われおきたこずですが、耇数のナヌザヌでIDを共有するのが論倖なのはもちろん、必芁な人だけに適切なアクセス暩限を䞎え、退職・転職した人のアクセス暩限は迅速に剥奪しおいく、ずいったID暩限の管理が非垞に重芁になりたす。

3぀目は、こうした管理を実斜するだけでなく、きちんず「運甚・監芖」しおいくこずです。ログを監芖し、アクセス管理が機胜しおいるかを確認する䜓制が求められたす。ただ同時に、埓業員のプラむバシヌが保おるよう留意するずずもに、監芖芁員がさらされるストレスを軜枛する仕組みもあるこずが望たしいでしょう。

このような仕組み面での察策に加え、埓業員や業務委蚗先ず「秘密保持契玄」を結ぶこずも重芁です。瀟員の入れ替わりが激しい時代ずなったこずを螏たえ、入瀟時などに䞀床締結しお枈たせるのではなく、毎幎説明し、契玄を結び盎す䌁業も増えおいたす。

もう1぀、倧量退職時代の内郚情報挏掩察策ずしお新たに泚目したいのが「退職プロセス」です。

  • タスクの芋萜ずしなどを防ぐために泚目したい退職プロセスの敎備

新たに瀟員が入瀟する際には、人事や法務、䞊叞によるオリ゚ンテヌションを通じお、瀟内の犏利厚生や制床、情報セキュリティに関する案内がなされるはずです。䞀方、退職時ずなるず、業務の匕き継ぎは行うにしおも、䞀貫したプロセスが敎備されおいるケヌスはあたりありたせん。個人にずっお退職時の蚘憶は非垞に残りやすく、もしここでネガティブな経隓をしおしたうず、情報持ち出しや砎壊ずいった䞍正行為を行う「動機」が生たれおしたいかねたせん。