叡智の三猿

~情報セキュリティで森羅万象を捉える~

「転職」を目的とした不正行為

先日「ソフトバンク」の5Gに関する営業秘密情報を不正に持ち出したとされ「不正競争防止法」違反で、楽天モバイルに「転職」した男性を逮捕するニュースがありました。

容疑者はソフトバンクの無線基地局の情報ファイルを社内のサーバーから、私用メールに転送していたということです。
www.sankei.com
不正競争防止法は、不正行為による競争を排除し、市場の適正な競争原理を維持するための法律です。会社の「営業秘密」を不正に取得するのは良くありません。

営業秘密であることが認められるには、次の不正競争防止法における営業秘密の3要件を満たす必要があります。

要 件 説 明
秘密管理性 秘密として管理がされていること
有用性 事業活動に有用な技術上または営業上の情報であること
非公知性 公然と知られていないもの

中でも「秘密管理性」は、情報セキュリティのキーポイントです。いくらその情報を外部に漏らしたくないと会社は考えていても、それを秘密情報として管理していなければ、「不正競争防止法における営業秘密の3要件」に該当しません。

  1. その情報を営業秘密として管理していることを会社は明らかにしている。
  2. その情報にアクセスした人がそれを秘密情報と認識出来るようになっている。

が秘密管理性を充すために必要な管理策です。

紙媒体で印刷された秘密文書であれば、文書に「秘密」であることが分るような表示を行い、施錠可能なキャビネットに文書を補完し、キャビネットの解錠は、限られた人だけができるようにする必要があります。電子媒体であれば、文書フォルダへのアクセス制御は必須です。さらにファイル名に「秘密」の表示を行い、文書を閲覧するのにパスワードを設定することがより望ましいです。

わたしは、転職による情報の不正持ち出しの記事を読んだときー

この情報漏洩を防ぐのはとっても難しいだろうな。

と、思いました。

転職の場合、転職元の職場では、秘密情報へのアクセス権が認められているのが、普通です。元々、アクセス権のない人が、秘密情報にアクセスしようとしたら、それを拒否する機能はシステムで設定ができます。しかし、アクセス権の保有者であれば、システムで防ぎようがありません。

アクセスした秘密情報の不正な持ち出しを防止することは出来るのでしょうか!?

たとえば、秘密情報を扱うパソコンは、物理的にセキュリティの強い区域に配置し、そこからはインターネットの接続や、電子メールの使用を出来ないようにすれば、情報ファイルを私用メールに転送することを防げるでしょう。或いは、秘密情報はコンテナ方式のサーバーに配置し、コンテナの専用ソフトから閲覧・編集が出来るようにします。但し、コンテナ専用のソフトを起動した際は、他のフォルダや外部記憶媒体への格納を出来なくすることで不正な持ち出しをある程度は防止できるかもしれません。

ただ、このような物理的・技術的対策の効果は限界があると思います。

「転職」を目的として、不正を働く者は、秘密情報を持ち出すことで、転職を有利に進められると考えているでしょう。たとえ、電子メールが使えないパソコンでも、画面に表示された秘密情報を個人が所有しているスマホで写真にとることは可能です。機密文書を印刷して、紙媒体として持ち出すこともできます。地道にノートに書き写すこともできます。さらには、秘密情報をしっかり記憶して、それを転職先に伝えてしまえば、もう防ぎようがありません。

会社が技術的対策を行うことで、不正行為の機会を低減させようとしても、社員が情報を持ち出そうとする動機がそれに勝ると、不正行為を突き動かすと思います。

日本政府は2017年から「働き方改革」の一環でテレワークを推進しています。それが昨年からの新型コロナ禍で、テレワークはより強い要請となっています。

社員が自宅からでも社内にいるのと同様に仕事ができるよう、モバイルPCを社員に貸与し、インターネット経由で社内システムやクラウド環境にWebインターフェースを介したアクセスできる環境を構築することが社会の求める要請です。特にIT業界はテレワークが進んでいます。 テレワークの推進は、情報漏洩の機会を確実に増加させます。

ですので、会社は技術的なセキュリティ対策だけに頼らず、内部不正の防止を進めるべきでしょう。

いうなれば、社員の心に訴えるような施策です。心に訴えることで、不正を行おうとする気持ちにさせなくすることがベストです。

社員が「転職」を決意するのは、それなりの理由があるはずです。社員に対して公正な人事評価を行っていたのでしょうか!?「転職」を決意するまで、上司や同僚と円滑なコミニュケーションが出来ていたのでしょうか!?・・・IT業界での人材の移動はよくある話ですが、特に社員の定着率が低い会社は、取り組むべき課題は山積みのはずです。

ただ、そうは言っても「公正な人事考課」や「円滑なコミニュケーション」を通じて、不正を防止するのは、性善説にたった施策に思えます。人間の本質が性善説性悪説かは、中国古代の「春秋戦国時代」から議論されています。不正行為を防止する観点からは、性善説だけでなく、性悪説にたった施策も必要です。いや、むしろ性善説であれば、不正行為そのものが起きないかもしれませんので、性悪説にたって、社員の不正行為に対する正当性を与えず、抑止効果を狙うことが必要です。

たとえば、社員を雇用する際には、情報セキュリティを遵守する「誓約書」に署名させるなどです。

また、システムのログイン・ログオフや、パソコン上でのキーボード操作は、すべてログをとり、更にはパソコンに表示された画面情報は、一定の間隔で画像データとして記録されるようにします。それを社員に周知することも、抑止効果が期待できます。

社員が「転職」する場合は、転職する一か月まえくらいから、不正に情報に持ち出そうとする傾向があることが知られています。そのような兆候は、テキストや画像のログを見ることで発見できるかもしれません。