「情報漏えい、当社に関係なし」の嘘（第4回） 転職、退職時に重要情報を抜き取られる！？

　インターネットで「情報漏えい」を検索すると、「こんなに起こっているのか」と驚くくらい、連日のように情報漏えい事件・事故が報告されている。被害の大小は別にして、情報を守れなかった企業・組織には不名誉な記録が残る。かといって情報漏えいを隠蔽しようとしても、外部からの指摘があったり、内部告発があったりして、もはや情報漏えいを隠し切れない時代であることを経営者は認識しなければならない。

　情報漏えい対策の第一歩は、企業に内在するリスクの把握である。リスクは不正アクセスやウイルス感染といった外部攻撃だけではない。社内システムを不正に利用し、関係者が機密情報を持ち出す事件も後を絶たない。ベネッセコーポレーションの情報漏えい事件では、業務委託先の元社員がスマートフォンに大量の顧客情報をコピーして名簿業者に売却した。

　「当社は、そんな大量の顧客情報もないし、情報漏えいとは無関係」と考える経営者がいるかもしれない。果たして本当にそうだろうか。漏れて困るのは顧客情報だけではない。製造業なら、取引先から預かった設計データや、自社の強みを発揮する技術情報もあるはずだ。中小規模の企業であっても、生産現場ではパソコンを使って設計・生産データを管理しているところも多い。そうした重要情報が外部に流出すれば、取引停止で仕事を失い、事業継続すら危ぶまれる事態を招くことになる。

重要情報を持ち出して競合他社に転職

　企業は従業員との信頼関係で成り立っている――。こう考える経営者は多い。しかし、仕事や待遇に不満を持つ従業員はいないと言い切れるだろうか。不満を持つ従業員がすべて不正行為を働くわけではない。だが、たった1人でも不満と悪意を持つ人がいれば、会社の機密情報を持ち出すリスクがないとはいえない。

　例えば、会社とのトラブルが原因で退職した従業員が技術情報を持ち出し、競合他社に転職というケースがある。情報処理推進機構セキュリティセンター（IPA）ではケーススタディーを「中小企業における組織的な情報セキュリティ対策ガイドライン」で紹介している。

　実例にも事欠かない。2015年2月、家電量販のエディオンの元課長が、ライバルの上新電機に営業秘密を漏えいしたとして逮捕された。2016年に入って、エディオンは50億円の損害賠償などを求めて上新電機を提訴している。

　2015年9月に東京高裁から判決が下った東芝の情報漏えい事件も話題になった。東芝の提携先企業の元技術者が、研究データを韓国半導体メーカーのSKハイニックスに漏えいした。この情報漏えいにより、東芝は1000億円規模の損失を被ったとみられる。秘密情報を漏えいした元技術者には、懲役5年・罰金300万円の判決が下っている。

　これらは大企業の例だが、中堅・中小規模の企業が無関係なわけではない。内部犯行の対策が不十分だと、誰も気づかない、誰も気に留めないうちに、重要情報が漏えいする。転職者、退職者が持ち出した情報により、ライバル企業に出し抜かれてシェアを奪われる事態もあり得る。

人とシステムの両面で対策

　対策としては、機密保持義務に関する誓約書を社員と結ぶといったルールの整備と、社員が不必要に情報を持ち出せない仕組みづくりが必要だ。

　そこで、人とシステムの両面から対策を講じる必要がある。人の対策では、情報活用のルールを取り決め、常日ごろから社内研修などを通じて情報セキュリティーの徹底を図る。IPAには企業向けの情報漏えい対策の教材「情報漏えい対策のしおり」があるので、参考にしていただきたい。

　システム面では、権限外の社員が機密情報や顧客情報にアクセスできないように制限する。また「いつ」「誰が」「どのデータ」にアクセスしたのか、分かるようにしておくのも重要だ。そのためには普段からアクセスログ（履歴）を取って保存しておくなど、情報セキュリティー対策の徹底がカギとなるだろう。