社員が産業スパイに?! 営業秘密の漏えいは半数が退職者から

企業の存続を脅かす情報漏えいへの取り組みは重要な経営課題のひとつです。このことを認識し、外部からの攻撃に備えてさまざまな対策を講じる企業は少なくありません。しかし、実は情報漏えいの大半が内部告発によるものであることをご存じでしょうか? 中でも、営業機密情報の漏えい事件は、現職の従業員より中途退職者の行動が引き金になることがほとんどです(図参照)。また、その漏えい先の半数は国内のライバル会社です。

内部不正は対策が難しい上に検知しにくく、調査に時間を要します。また、発覚した際には企業イメージの低下、社会的信用の失墜、風評被害など、そのダメージは計り知れません。被害額も、外部からの攻撃より高額になる傾向にあり、被害総額が億単位に上るケースも見られます。政府主導で働き方改革が進む昨今、働く場所を選ばないとなると、内部不正による情報漏えいの危険性はますます高まっていくと考えられます。

image_retire_employee_01_4.jpg

出典:経済産業省:平成24年度 経済産業省委託調査 人材を通じた技術流出に関する調査研究報告書(別冊)「営業秘密の管理実態に関するアンケート」調査結果(平成253月)
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/H2503chousa.pdf

P53P62の図表を加工して作成)

退職者による悪意ある情報漏えい事件

ここで、過去に発生した退職者による情報漏えい事件をいくつかご紹介しましょう。いずれの事例も、内部不正者は不正競争防止法違反で逮捕されています。

image_retire_employee_02.jpg

事件1:海外のライバル会社に技術情報が流出

東芝は、1987年に他社に先駆けて開発し、現在も米国サンディスクと共同開発・共同生産しているNAND型フラッシュメモリの技術に関する機密情報について、韓国SKハイニックス社がこれを不正に取得・使用しているとして訴えた。

韓国のSKハイニックス元従業員が、2008年当時、東芝の四日市工場内で、サンディスクの従業員として共同開発に従事していた際、東芝の機密情報を不正に持ち出し、この情報がSKハイニックスで使用されていたとして、不正競争防止法違反の容疑で逮捕された。今回のSKハイニックスに対する提訴は、これを受けたもの。

東芝とSKハイニックスは現在、提携・取引関係にある一方で、NAND型フラッシュメモリの分野では競争関係にある。東芝では、コア技術であるNAND型フラッシュメモリに関する機密情報が漏えいした疑いがあったため、調査を進めてきたが、その過程で見過ごせない不正の事実が発覚したことから、今回提訴したと、している。

出典:レスポンス「東芝、SKハイニックスを提訴、NAND型フラッシュメモリ機密情報の不正取得で」
https://response.jp/article/2014/03/14/219161.html
(2014年3月14日)

image_retire_employee_03.jpg

事件2:自社への損害目的で同業他社へ営業情報を投函

岐阜県警生活環境課は621日、岐阜市内のプロパンガス会社の営業秘密である顧客情報等を不正に取得し同業他社に開示したとして、当時勤務していた従業員を不正競争防止法違反(営業秘密の領得、開示)の容疑で逮捕した。

容疑者は今年1月、会社に不満を持っていたことから、顧客の氏名、住所、ガスの使用状況等の個人情報2件及び料金表2枚を会社のパソコンから不正に入手し、情報を封筒に入れて県内の同業他社の郵便受けに入れたという。

容疑者は同様に約100人分の顧客情報を同業他社に送っていたが、「この情報を使って会社をつぶせ」という不審な内容のメモが添付されていたことから、受け取った会社が全ての情報をこの会社に返却したという。

出典:特許商標Time「会社の顧客情報を同業他社に開示した不正競争防止法違反容疑の元従業員逮捕」
http://pt-times.com/news/detail/483
(2016年6月21日)

image_retire_employee_04.jpg

事件3:勤務時に営業情報を盗み出し悪用

セキ薬品は、元従業員が、勤務時に顧客のクレジットカード情報を盗み取り、通信販売で商品を購入するために使用していたことを明らかにした。

同社によれば、ドラッグストアセキ愛宕店で31日から521日にかけて、クレジットカード決済を利用した顧客のクレジットカード情報234件を同店でアルバイトをしていた元従業員が盗み取っていたという。クレジットカードの名義や番号、有効期限、セキュリティコードが含まれる。

元従業員は、顧客の氏名や盗んだクレジットカード情報を用いてインターネット通信販売で商品を購入していたが、クレジットカード会社より不正利用の疑いがあるとして同社に連絡があり、調査を行ったところ問題が発覚した。

出典:Security NEXT「元従業員が店舗でクレカ情報を窃取、通販に使用 - セキ薬品」
http://www.security-next.com/097271
(2018年8月27日)

退職予定者の動きに要注意!

ご紹介した事例からも想像できるように、退職者からの情報漏えいは退職する前後1ヶ月に集中していると言われます。退職者は、勤務する会社への不満を抱えている可能性が高いため注意が必要です。実際、IPA(独立行政法人情報処理推進機構)の調査によると、不正行為を働く動機を高める要因の上位には、「不当だと思う解雇通告を受けた」「給与や賞与に不満がある」「社内の人事評価に不満がある」といった処遇面の不満が挙げられています。

このように水面下でくすぶっている不満はいつ爆発するかわかりません。従業員が退職するということは、同時に、その従業員が扱っていた情報が外部に流れる可能性があると考えるべきでしょう。退職者に潜む情報漏えいリスクの要因は主に次の4つです。

<退職者による情報漏えいの要因>

・重要な情報にアクセスできる(権限がある)

・重要な情報の持ち出しを監視できていない

・在職中に取得した権限がそのまま使える

・退職後の秘密保持契約がなされていない

退職予定者および退職者については、退職予定のない従業員とは異なる情報漏えい対策が必要です。退職時の事務手続きおよび退職後の環境を見直すだけでは十分ではありません。退職前から退職予定者の動きを継続的に監視し、不正行為の前兆を見落とさないようにすること。これが情報漏えいを未然に防ぐための近道となります。IPAの「組織における内部不正防止ガイドライン」では、内部不正防止の基本原則を次のように規定しています。

<内部不正を防ぐポイント>

1)犯行を難しくする(やりにくくする)⇒ アクセスを制限する

 対策を強化することで犯罪行為を難しくする

2)捕まるリスクを高める(やると見つかる)⇒ 監視する

 管理や監視を強化することで捕まるリスクを高める

3)犯行の見返りを減らす(割に合わない)⇒ アクセスを制限する

 標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ

4)犯行の誘因を減らす(その気にさせない)⇒ 罰則を強化する

 犯罪を行う気持ちにさせないことで犯行を抑止する

5)犯罪の弁明をさせない(言い訳させない)⇒ ルールを徹底する

 犯行者による自らの行為の正当化理由を排除する

証拠隠滅?!見えないメールのゆくえ

退職予定者の動きを監視する上で重要なのがメールです。いまやメールはビジネス上のコミュニケーションに欠かせない重要なツールとなっています。宛先や添付ファイルを間違えるといった単純ミスも多く、メール経由での情報漏えいも後を絶ちません。また一方で、いったん削除してしまうと取り戻せないという弱点もあります。

たとえば、退職を決意した従業員が、都合の悪いメールをすべて削除していたらどうでしょうか?たとえメールを削除していなかったとしても、そもそもメールサーバだけでは、従業員がどのようにメールを利用しているかを確認することはできません。メールサーバはあくまで「メール送受信」をするためのツールであり 「メールデータを保管する」ツールではないからです。

操作ミスを含む情報漏えいを防ぐためには、すべてのメールを保管し監査する仕組み、すなわち「メールアーカイブ」が必要です。特に退職者からの情報漏えいは、退職を申し出る以前から始まっている可能性もあります。メールのログを保存することは、従業員に対して内部不正の抑止力にもなります。

昨今は、GDPRなどの法規制によりメールデータの保存が定められているケースや、商取引でのエビデンスとして保管が求められるケース、パワハラやセクハラなどに監視に用いるケースなども増えており、メールアーカイブを企業として管理していく動きはますます高まる傾向にあります。

退職者のメールアーカイブに「Zenlokアーカイブ」

内部不正による情報漏えいを防ぐためには、退職というタイミングに限らず、普段から対策を実行しておく必要があります。Zenlokでは、すべての保管データをひとつずつ暗号化。保管データの容量は無制限で、退職者のメールデータの保管について追加料金は発生しません。

また、簡単かつ便利な検索機能を搭載し、特別なコマンドを使わずに、条件を入力するだけで特定のメールの検索、エクスポートが行えます。メールの詳細もすばやく確認可能です。

image_retire_employee_05.png

クラウド型のアーカイブサービスだから、自社でのメンテナンスも不要。初期導入設定も3分で完了します。ご利用は1ユーザーにつき200円(税抜/月額換算)。Office 365G Suiteなど、既存のメールサービスに追加して利用できます。

Zenlokは、メールに関するさまざまな情報漏えい対策に、非常に有効なサービスです。

Zenlokについて詳しくはこちら ↓
https://zenlok.jp/about/summary.html

2018.11.16
Ebookダウンロード

Ebookダウンロード
企業資産としてのメール管理とは ~法規制対応、内部統制に「メールアーカイブ」を活用〜

本資料では、最新のメールアーカイブの潮流など、企業のメールセキュリティ対策に役立つさまざまな情報を解説します。ぜひご一読ください。
・サイバーセキュリティ、メールセキュリティの現状
・関税法やGDPR対策など、高まる企業統制の重要性
・膨大なメールの暗号化を可能にする技術 など

Ebookをダウンロードする

「ゼンロック」メールマガジン購読のご案内

「ゼンロック」メールマガジン購読のご案内

企業セキュリティに関するニュースやインシデント情報、製品情報などをお届けします。

メルマガ登録する