直近の情報漏洩事件は、不正アクセスや人為的ミスによるものだけではなく、悪意を持った内部不正による情報の持ち出しによるものも発生しています。多くの企業が情報管理に関する体制やルールを構築していますが、人材の流動化や、様々な契約形態に基づく人事やグローバル人材の登用、テレワークの導入・実施状況など、この数年で変化した環境をふまえて、改めて情報管理のガバナンスを見直すことが重要ではないでしょうか。
この記事では内部不正による意図的な秘密情報漏洩を防止するしくみの欠如も補う観点から、複合的に情報漏洩防止を強化する情報管理のポイントをご紹介します。
目次
ガバナンスの欠陥を突いた情報漏洩事件
東京商工リサーチの調査によると、2023年の個人情報漏洩・紛失の事故件数は175件(前年比6.0%増)で、3年連続で最多件数を更新し社数は過去2番目の多さになっています。(2023年の「個人情報漏洩・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人 – 東京商工リサーチ)
出典:東京商工リサーチ,2024年1月19日記事より当社作成(社数は年毎にカウント)
注目するポイントは従業員が意図的に情報を持ち出した犯罪行為や、本来は共有すべきではない顧客情報をグループ内で閲覧していたケースなど、企業の情報管理のガバナンスの隙を突いた内部不正による大型の情報漏洩事件が相次いだ点です。
東京商工リサーチの報告によると、情報の不正利用や持ち出しにより情報漏洩した「不正持ち出し・盗難」事件は2023年には24件(同13.7%)発生し、前年の5件から約5倍に増加しました。報告された以外にも被害が発生していると考えられることから、実際には相当数の被害が発生していると想定されます。
また独立行政法人情報処理推進機構(IPA)の調査では中途退職者による情報漏洩が増えており、同社が毎年発表している「情報セキュリティ10大脅威2023」では組織の部門で「内部不正による情報漏洩」が4位になっていることから、企業にとっての大きな脅威になっていることが窺えます。
2023年に起きた情報漏洩事故では、従業員が個人情報を不正に流出させて刑事事件に発展したケースや、グループ会社を通じて顧客情報を不正閲覧していた事例など、個人情報の不正持ち出しや不適切な取り扱いに起因するものが目立ちました。人為的な理由による漏洩事故は、被害も広範囲に及んでいます。技術的な防御策以前に、ポリシーや手順の不足、そして内部管理の欠如など、情報管理に関するガバナンスの問題を示唆しているのではないでしょうか。
▼2023年の主な不正持ち出しによる情報漏洩事件
- 大手電力の全社で、社員が送配電小会社が持つ顧客情報を不正に閲覧
- 大手総合商社の社員が、同業他社から転職する際に営業秘密を不正に持ち出し
- コールセンターシステム運用保守担当の元派遣社員が約900万件の顧客情報を不正持ち出し
- 電子部品大手の元社員が、転職直前に営業秘密にあたる設計データを不正持ち出し
- 人材派遣大手パソナの元派遣社員が、約11万人分の個人情報を不正持ち出し
本サイトでは以前、情報漏洩の原因を踏まえた取るべき具体的な対策をご紹介しました。
情報漏洩とは?原因やリスクと企業が取るべき対策をわかりやすく解説
メールによる情報漏洩の原因は誤送信とマルウェア感染だった!必要な対策を解説
ビジネスパーソンの6割が経験するメール誤送信:効果的な対策とサービスの選び方ポイント!
上記記事では、人的ミスや外部攻撃を前提とした対策の考え方を中心に述べています。しかし退職した役員や正社員による営業秘密の不正な持ち出しといった直近の情報漏洩事件の動向を踏まえると、内部の意図的な秘密情報漏洩へのガバナンスの欠如を補う観点から、社内の情報漏洩をさせないための管理体制やルールの見直しを行い、日常の啓発活動やシステムと組み合わせて、複合的に対策することが重要だと言えるでしょう。
2024年4月に不正競争防止法の改正が行われ、企業の営業秘密の保護が強化されましたが、企業自身の対策が不可欠なことには変わりありません。これらの観点から、内部不正による意図的な情報漏洩の防止も踏まえた情報管理のしくみづくりのポイントをご紹介します。
情報漏洩させないしくみの基本とは
企業が保有する情報資産が漏洩すると企業への信頼が失われ、それを回復することは非常に困難です。漏洩リスクに対処することは、企業の社会的信用や競争力を維持する上でも重要です。それでは情報漏洩の防止策として、企業はどのように取り組めばよいのでしょうか?
下記が情報漏洩防止のためのしくみづくりのフローになります。
以下にそれぞれについて説明します。
自社で保有する情報を把握する
情報漏洩の防止策を講じる前提として、自社にどのような情報があるかを把握することが最初のステップになります。自社が保有する情報にはどのようなものがあり、そのうち自社の競争力の源泉になっている情報は何かを洗い出しましょう。自社の強みとなっている情報を漏れなく把握するためには、競合他社との製品・サービス等の差異を踏まえることがポイントになります。
自社の秘密情報を定義する
洗い出した情報について、以下の観点を参考にして、情報を整理します。
- 情報の経済的価値
- 情報管理の必要性・程度
- 情報漏洩行為等によって被る損失の程度
- 取引先など他社に与える損失の程度
- 競合他社にとっての有用性
- 情報漏洩時の社会的信用低下(顧客減少等)による損失の程度
- 情報漏洩時の契約違反や法令違反に基づく制裁の程度等
次にそれぞれの情報について、想定される管理コスト、訴訟コスト、漏洩によって被るおそれのある損失、保護により得られる利益という観点で、重要な情報を分類します。またそれらについて、自社独自の営業情報と技術情報の観点から、自社の競争優位になる情報を洗い出します。これが情報漏洩対策の対象となる秘密情報になります。
対策の選択
次に、秘密情報の利用方法等にあわせて適切な対策を選択します。企業規模、業種、機密情報の内容・性質・存在形態、対策にかけることができるコスト等の様々な状況に応じて、合理的で効果的と考えられる対策を適切に選びましょう。
目的に沿った具体策の選択
秘密情報の分類ごとに、具体的にどのような情報漏洩対策が必要か検討します。転職者の増加や、様々な契約形態に基づく人事やグローバル人材の登用、テレワークの導入・実施状況など、昨今の環境変化もふまえた具体策を選択しましょう。
5つの「対策の目的」
経済産業省では、下記のような漏洩要因を考慮した5つの「対策の目的」での取り組みを推奨しています。自社の状況に応じ、目的ごとにムリ・ムダ・ムラのない形で対策を検討しましょう。
(1)秘密情報に近寄りにくくする【接近の制御】
アクセス権限を持たない人が秘密情報に接触できにくいようにするための対策です。社内規程等によってルールを定め、周知します。
(2)持ち出しを困難にする【持ち出し困難化】
秘密情報を無断で複製したり持ち出すことを物理的、技術的に阻止する対策です。PCに保存できるファイルを制限したり、テレワークできる場所を制限したり、PC画面の覗き込み防止フィルムの使用や、オンライン会議時の声のボリュームへの注意喚起などの対策をします。
(3)漏洩を見つかりやすくする【視認性の確保】
オフィスのレイアウトを工夫したり、資料やファイルを通し番号で管理したり、入退室の記録、PCログ確認等により、漏洩した際にそれが見つかりやすい環境づくりを行います。この対策は、従業員等の身の潔白を証明する手段としても有効です。
(4)「知らなかった」を防ぐ【秘密情報に対する認識向上】
「秘密情報だと知らなかった」「持ち出してはいけない資料だと知らなかった」といった事態を招かないようにするために、教育や社内広報でルールを継続的に周知したり、秘密情報に表示を付けたりして注意を促します。
(5)社内で不正が生まれることを防ぐ【信頼関係の維持・向上等】
従業員のモチベーションが著しく低かったり、相互の信頼関係が希薄な場合など良い社風が育まれていないことが、不正の温床につながることもあります。適切に従業員とのコミュニケーションを行い、働く環境を整えて良い社風づくりを推進することで、会社と従業員間、従業員間の信頼関係をつくり維持に努めましょう。
以上を考慮しながら、バランス良くそれぞれの目的に応じた対策を選択していくことが重要です。最後に、5つの「対策の目的」に応じた対象者別の情報漏洩対策を検討します。
具体的な情報漏洩対策の例[従業員等]
「従業員等」には、役員や従業員、パート雇用者、インターンシップ生、委託先の従業員など社内で勤務する人も含みます。
①アクセス制限
- ルールに基づく適切なアクセス権の付与・管理
- 情報システムにおけるアクセス権を持つ従業員のID登録
- 秘密情報へのアクセスの制限
- ペーパーレス化
- 復元が困難な廃棄・消去方法の選択
②物理的な制限、制御
書類、記録媒体、物品等の持ち出し
- 秘密情報が記された会議資料等の適切な回収
- 秘密情報の社外持ち出しを物理的に阻止する
- 電子データの暗号化による閲覧制限等
- 遠隔操作によるデータ消去が可能なPC・電子データの利用
電子データの外部送信による持ち出し
- 社外へのメール送信・Webアクセスの制限
- 電子データの暗号化による閲覧制限等
- 遠隔操作によるデータ消去機能を有するPC・電子データの利用
秘密情報の複製
- コピー防止用紙やコピーガード付きの記録媒体・電子データ等による秘密情報の保管
- コピー機の使用制限
- USBメモリや私物の情報機器、カメラ等の記録媒体・撮影機器の業務利用・持込みの制限
アクセス権変更でアクセス権を持たなくなった従業員等に対して
- 秘密情報の消去・返還
③職場環境の整備
管理の行き届いた職場環境を整える
- オフィスの整理整頓(不要な書類等の廃棄、書棚の整理等)
- 情報の管理に関する責任の分担
- 「写真撮影禁止」、「関係者以外立入り禁止」などの表示
目につきやすい状況を作り出す
- オフィスの座席配置・レイアウトの工夫、業務体制づくり
- ネームプレート着用の徹底
- 防犯カメラの設置
- 秘密情報が記録された廃棄予定の書類等の保管・破棄のルールづくり
- 外部へ送信するメールのチェック
- 内部通報窓口の設置
秘密情報が記録された媒体の管理等
- コピー機やプリンター等の利用者ログ管理・枚数管理
- 印刷者の氏名等の「透かし」が印字される設定の導入
- 秘密情報の保管区域等への入退室ログ管理
- 不自然なデータアクセス状況の通知
- PCやネットワーク等の情報システムにおけるログ管理
- 秘密情報の管理の実施状況や情報漏洩行為に関する定期・不定期での監査
④ルール周知、表示
会社の秘密情報の定義やルールについて継続的に発信し、啓発を行います。
- ルールの周知(社内規定づくり、研修による教育、秘密保持契約の締結)
- 秘密情報であることの表示(秘密情報が記載された媒体への表示、掲示)
⑤事例周知、環境整備
具体的な情報漏洩の事例を周知することで、セキュリティリテラシーを高めることができます。また働きやすいオフィス環境の整備をしたり、適正な評価のしくみを整えましょう。これらの取り組みが、ひいては社内全体のモラルや会社と従業員間との信頼関係につながります。
従業員の人為的ミスによる情報漏洩の主な例
| 2020年 | 研究機関が個人情報を記録した外部記憶媒体を誤って廃棄 |
| 2021年 | 自動車メーカーが顧客から収集した個人情報を目的外使用し、同意を得ていないにも関わらず同社提供のウェブサイトに会員登録 |
| 2021年 | 金融機関が委託先にデータを提供する際にミスが発生し、誤って同社グループのサービス利用者ら約8,000名のメールアドレス等を提供 |
| 2022年 | 旅行会社の業務ミスで、同事業に関する申請情報1,698件および個人情報最大1万1,483件が流出 |
| 2023年 | 航空計量業者が事業者向け登録サイトにて本来公開を想定していない個人情報を含むデータを誤掲載 |
| 2023年 | 自治体の窓口業務の担当者が、業務上知り得た個人情報を付箋に書き写し不正に持ち出した疑いで逮捕 |
| 2024年 | 建設系保険団体にて、管理する被保険者の個人情報3,775件が記録されたUSBメモリを紛失 |
具体的な情報漏洩対策の例[退職者等]
①適切なタイミングでのアクセス権の制限
定年退職の場合はしかるべきタイミングで、中途退職の場合は申出を受けたあとに、速やかに秘密情報へのアクセス権を削除する等の対策を講じ、退職までの間に秘密情報に接触させないようにします。
②社内貸与の記録媒体、情報機器等の返却など対策の厳格化と周知
通常のルールに加えて、社内貸与の記録媒体や情報機器等の返却に関するルールをより厳格にして、秘密情報を社外へ持ち出す行為を物理的、技術的に防止します。
③継続的なコミュニケーションのしくみづくり
退職後も会社と退職者が良好にコミュニケーションを図れるしくみを用意することが、結果的に情報漏洩の阻止につながることもあります。転職先での活動状況や転職先企業の動向等を把握するような対策を検討しましょう。
④機密保持契約、競業避止義務契約
漏洩させてはいけない自社の秘密情報について再確認しましょう。また常に円満な形での退職となるわけではないことから、退職時に秘密保持義務契約等の締結を拒否されるような事態に備えて、日頃から技術的・物理的な対策を講じたり、通常時からの秘密保持契約書の締結等を行ったりして備えておくことが重要です。
⑤適切な退職金支払い、社内処分実施
適切な退職金の支払い等は退職者との信頼関係を向上させ、ひいては情報漏洩を防ぐことにもつながります。
- 適切な退職金支払い
- 退職金の減額などの社内処分の実施
退職者による営業秘密情報漏洩の主な例
| 2014年 | 半導体メモリーに関する研究データを海外企業に漏らしたとして、電機メーカーの提携先企業の元社員が逮捕 |
| 2019年 | 靴の性能データを不正に持ち出したとして、シューズメーカーの元社員が逮捕。元社員は同業他社へ転職 |
| 2020年 | 自社技術の機密情報を海外企業に漏らしたとして、化学メーカーの元社員が書類送検 |
| 2021年 | 5Gに関する技術情報を不正に持ち出したとして、通信会社の元社員が逮捕 |
| 2022年 | ライバル会社に営業秘密を不正に持ち出し使用したとして、飲食チェーン運営企業の元社長が逮捕 |
| 2023年 | 同業他社への転職時に営業秘密を不正に持ち出したとして、総合商社の元社員が逮捕 |
| 2023年 | 名刺データを不正に転職先へ提供したとして、建築関連の人材派遣会社の社員が逮捕 |
| 2023年 | 約900万件の個人情報をUSBなどで持ち出したとして、大手移動通信事業者の子会社の元派遣社員が逮捕 |
具体的な情報漏洩対策の例[取引先]
秘密情報を取り扱う業務を不用意に外部委託しない
秘密情報を取り扱う業務について外部委託する場合は、それによって発生するリスクが無いかを検討しましょう。例えばコストを安く抑えられるからという理由で不用意に海外の企業へ秘密情報を取り扱う業務を外部委託すると、物理的に管理が行き届かないばかりでなく、法律や商慣行の違い等により漏洩リスクが高まることもあります。
取引先の管理能力の事前確認
取引先の決定に当たっては、秘密情報を適切に管理しているか、自社からの情報管理についての要請に適切に対応できる組織かどうか等を、事前の調査やISMS(情報セキュリティマネジメントシステム)などの認証取得状況を参考にして確認しましょう。
以上を踏まえて取引先に秘密情報を共有することを決定した場合、取引先向けの対策として以下を検討します。
①提示する情報の厳選、情報取扱者の限定
情報取扱のルールを決めて、取引先内で秘密情報に触れる人を極力減らします。
②情報の消去・返却の徹底と複製できない媒体での提供
取引先に秘密情報を共有・開示する場合には、不正な持ち出しを完全に防ぐことが難しくなります。したがって下記の対策を確実に実施することが重要です。
- 秘密情報の消去・返還と複製できない媒体での提供
- 遠隔操作でデータ消去ができるPC・電子データの利用
③情報管理に関する報告、監査の実施など
自社の秘密情報の管理体制についての理解を促します。これにより情報漏洩の疑いが生じた場合等にも、無用なトラブルを避けることができます。
- 情報管理に係る報告の確認、定期・不定期での監査の実施
- 取引先に自社サーバーを使用させてログの保全・確認を実施
④具体的な情報取扱についての確認、記録
漏洩してはいけない秘密情報を明示し「秘密情報であることを知らなかった」といった事態が起きないようにします。
- 取引先に対する秘密保持義務条項
- 秘密情報であることの表示
- 具体的な秘密情報取扱い等についての確認
- 取引先に対する秘密情報の管理方法に関する研修等
- 取引先とのやりとりの議事録等の保存
⑤適正な対価の支払い、契約書への記載
適切に対応することで取引先との信頼関係を向上させることは、取引先による秘密情報の漏洩を防ぐことにもつながります。
- 適正な対価の支払い等
- 契約書等における損害賠償や法的措置の記載
- 委託先に下請代金支払遅延等防止法が適用される場合の助言・支援
具体的な情報漏洩対策の例[外部者]
外部者には、不法侵入者やサーバーへの不正アクセス行為者のような悪意を持った存在だけでなく、自社への来訪者、各種メンテナンス業者など、執務エリアへ立入る外部関係者も含まれます。
①アクセス制御、ネットワーク分離など
外部者に対しては、秘密情報に近づけない対策が最も重要です。
- 秘密情報を保管する建物や部屋の入場制限、書棚や媒体等のアクセス制限
- 外部者の構内ルートの制限
- ペーパーレス化
- 秘密情報の復元が困難な廃棄・消去方法の選択
- 外部ネットワークにつながない機器に秘密情報を保存する
- ファイアーウォール、アンチウイルスソフトの導入、ソフトウェアのアップデート
- ネットワークの分離(複数のLANを構築)
②情報端末・記録媒体の制限、シンクライアント化
外部者が仮に秘密情報にアクセスしたとしても、それを持ち出す行為を物理的、技術的に阻止します。
- 外部者の保有する情報端末、記録媒体の持込み・使用等の制限
- PCのシンクライアント化
- 秘密情報が記載された電子データの暗号化
- 遠隔操作によるデータ消去機能を有するPC・電子データの利用
③立入や撮影禁止の掲示、監視など
- 「関係者以外立入り禁止」や「写真撮影禁止」の張り紙等
- 秘密情報を保管する建物・区域の監視
- 来訪者カードの記入、来訪者バッジ等の着用