機密情報の漏洩対策として、企業は何をすべきでしょうか? 図面流出に代表される機密情報の漏洩は、損害が大きく企業に与えるダメージは計り知れません。それは一企業に留まらず業界全体、さらには国家にまで影響を及ぼす場合もあります。海外との取引が当たり前になった現在、機密情報の漏洩対策は、避けて通れない課題となりました。
目次
全体像: 機密情報が漏洩する構図とは?
最初に機密情報が漏洩する、構図(全体像)を押さえましょう。上図のように、ポイントは3つです。
1. 機密情報とはなにか?
最初のポイントは、機密情報とは何か、ということです。多くの企業に共通する課題は、何が機密情報なのか、認識が不十分な点にあります。自分たちにとって当たり前の情報でも、他社にとっては重要情報となる場合が少なくありません。それゆえ何が機密情報に当たるのか、最初に機密情報を明確に定義することが必要です。まずは保護対象となる機密情報を明確にします。
2. 漏洩ルート(人)
次のポイントは、漏洩ルートです。漏洩ルートは人と媒体に分けて考えます。人にフォーカスするのは、関係者を整理し情報をコントロールするためです。どのような人に、どこまでの情報(機密ランク)を出し、どのように管理するのか、契約方法やマネジメント形態を考えます。
3. 漏洩ルート(媒体)
3番目のポイントは、漏洩ルート(媒体)です。媒体にフォーカスするのは、媒体特性に応じた防止策をうつためです。
・ウィルス・マルウェアから、情報システムを守る対策
・USBメモリで情報を持ち出す、不正への対策
・さらにはPDF禁止やスクリーンショット禁止のように、ブラウザーからの漏洩対策など
媒体に応じた対策を検討します。
(ご案内)
・スマホ、USBメモリなど外部デバイスの漏洩対策なら、コプリガードが最適です
・ブラウザー上のPDFのダウンロード禁止なら、パイレーツバスターAWPが最適です
Point1:機密情報とは何か?
1.機密情報の3類型
機密情報とは、企業が業務を行う上で重要な位置を占め、第三者への公開で損害を受ける可能性がある情報を指します。機密情報は、次の3つのカテゴリーに、分類することができます。
- 個人情報: 顧客や社員の氏名・住所・年齢など個人に属する情報です。個人情報を適切に保護することは、プライバシーの観点からも重要であり、法的義務でもあります。個人情報の漏洩は、企業の信頼を大きく損なうので慎重に管理することが必要です。
- 営業情報: 営業戦略や財務情報、未公開の製品開発情報などです。これらは競争力を維持する上で重要な情報です。これらの情報が漏洩すると、競合他社に利用され自社の事業戦略に重大な影響を与える可能性があります。
- 技術情報: 製品やサービスの設計図、製造方法、ソフトウェアのソースコードなどです。これら技術情報は、企業の競争力の源泉となります。技術情報の漏洩は企業の存続基盤を揺るがし、市場における地位を失墜させる危険性があります。
なぜ今、技術情報の漏洩対策なのか?
経済のグローバル化とアジア地域の急成長に伴い、今やあらゆる製造業が海外展開を増やしています。これにより技術移転が進む一方で、意図しない技術流出が問題となっています。模倣品の拡大、競争力の喪失、さらには収益の低下等、知的財産権が不十分な地域で、深刻な技術流出が起きているのです。これらは一企業だけでなく、業界全体や国際関係にも影響する問題です。
このような状況を踏まえ、本稿では技術情報を中心に漏洩対策を説明していきますが、決して個人情報や営業情報を軽視するものではないことを、あらかじめお断りしておきます。
(参考)個人情報の漏洩対策
・中小企業が最初にすべき、個人情報漏洩を防ぐ5つの対策
・個人情報漏洩を防ぐ対策(メール送信・端末管理)
2.どのような情報を保護するのか?
それでは具体的に、どのような情報を保護すべきでしょうか? 全体図の例を使ってご説明します。
例えば、「図面」「技術データ」は、製品の製造方法や設計に関する情報であり、これが漏洩すれば競合他社による模倣や競争上の優位性の喪失につながりかねません。同様に「金型」や「治具」も生産プロセスの要であり、これらが流出することは企業にとって深刻な損害をもたらす可能性があります。
また、「外注先」や「委託先」に関する情報も機密性が高いです。これらは企業の協力関係や、戦略的な取引の中で得られる情報であり、これが漏洩すると取引先との信頼関係が損なわれ、ビジネスに対する信頼性も低下する危険性があります。
製造においては、「原材料」「製造工程」「設備」「温度管理」「時間」などの情報も機密性が高いです。これらの情報が外部に漏れれば、競合他社が同様の製品を模倣する可能性があり、市場競争において不利な状況が生じるでしょう。
これらの例を参考に、まずはどの情報を保護すべきか概略をイメージしてください。そのうえで次の視点から保護すべき情報を精査します。
3.保護すべき情報を精査する視点
(独自性の有無)
自社の独自性はどこにあるのか、次の視点で検討してください。
・オンリーワン、ナンバーワンの製品はないか?
・材料の配合、製造プロセス、治具、温度管理等で、独自の工夫がないか?
・この社員がいなければ、作れない製品がないか?
・特許、実用新案の申請を、公開がネックとなって取りやめていないか?
・この委託先がないと、完成しない製品はないか?
(競争力への影響度)
保護すべき情報は競争力に直結する情報であるべきです。そのため情報が外部に流出した場合、どの程度競争力に影響するか評価することは、重要な評価基準となります。例えば技術データや製法などは、製品やサービスの品質・生産効率に直結するため、競争者に知られることで競争力の損失を招く危険性があります。
(露出リスク)
情報の露出がどの程度リスクを生むのか、評価することも重要な視点です。特に顧客や取引先に説明しなければならない情報は、露出リスクが高く注意深く保護策を検討すべきです。例えば製造プロセス、製造設備、外注先情報等は、限定的なグループで共有する場合が多いですが、情報を適切な管理下におき、無闇に公開されないよう、セキュリティ対策を講じなければなりません。
(法的規制)
情報には法的規制のあるものもあります。個人情報などは法律で保護が求められており、これらの情報は法的義務として厳重に管理する必要があります。また製造工程や製造設備等の情報も、特許法などにより保護が求められる場合があります。法的規制がある情報はその規制を遵守し、適切に管理することが必要です。
4.保護すべき情報をリスト化する
以上を踏まえ、保護すべき機密情報をリスト化していきます。次のような形で整理すると良いです。
| 保護対象 | 重要度 | 管理レベル | 具体的な漏洩対策 |
| 金型 | ◎ | 極秘文書 | |
| 製品Aの図面 | ○ | 秘文書 | |
| 製品Aの外注先情報 | △ | 社外秘 | |
| ・・・・・・・・・ | ・・・・・・・・・ | ・・・・・・・・・ | ・・・・・・・・・ |
最初に保護対象の列に、どのような情報を保護するのか記入します。そして重要度を判断し、管理レベルを次の3段階で区分します。
- 社外秘文書: 社外に漏らしてはいけない情報です。社内共有のみが認められる、顧客情報や企画書などが該当します。
- 秘文書: 社内でも一部の人間だけが確認できる情報です。役員やプロジェクトマネージャーのみに閲覧が許される、人事関連情報や契約書などが該当します。
- 極秘文書: 閲覧・確認は社内のごく一部の人間に限定される、最も厳格な管理が求められる情報です。公開を控えた研究開発結果や未公開経理情報など、漏洩が決して許されない情報が該当します。
このような形で保護対象、重要度、管理レベルをリスト化したら、それぞれ具体的な漏洩対策を考えます。以下 Point2 で人からの漏洩対策を、Point3 で媒体からの漏洩対策を説明します。
Point2:人からの漏洩を防ぐには?
もう一度、全体図(上記)をご確認ください。企業が関与する人は、従業員から退職者、さらには取引先や共同開発パートナーなど多岐に渡ります。本章では実際に問題となるケースを説明しながら、従業員や退職者等、関係者別に対策を説明していきます。説明の順序は、最初に対策の柱である「処遇と人間関係」「契約と教育」を説明し、その後に「関係者別の対策」を説明していきます。
1.処遇と人間関係
機密情報の漏洩対策として、最も重要なことは、適切な処遇と、良好な人間関係です。人を相手にする以上、どれだけ契約や規則を作っても、信頼関係がなければ何の意味もありません。もちろん良好な人間関係といっても、口で言うほど容易なものではありませんが、ここが欠落すると全てが水泡に帰してしまう根幹のポイントです。実際にほとんどの場合、技術情報の流出は会社に対する、何らかの不満が背景にあります。
2.契約と教育
前述のように「処遇と人間関係」が全ての基本となりますが、現実には機密情報を遵守する、契約や教育が対策の柱になります。入社時や新規取引の開始時に、次のような契約や規則へ同意をとるようにします。また弁護士などの専門家を招いて講習を行い、契約内容を従業員に周知していくことも大切です。以下に代表的な契約や規則を説明します。
(就業規則)
就業規則は従業員の労働条件や行動規範を定めた企業内ルールであり、業務上知りえた情報の取扱いや、業務終了後も情報の秘密保持義務を規定することで、機密情報の漏洩防止の役割を担います。
具体的には「業務上取得した機密情報を無断で外部に漏洩しない」「退職後も機密保持義務を維持する」等の項目を設けることになります。また違反した場合の罰則(注意、戒告、解雇等)も明記することで、従業員の情報管理に対する意識を高める効果もあります。
(営業秘密管理規則)
営業秘密管理規則はその企業の営業秘密を明確に定義し、それが適切に管理されるようにするための基本的なルールです。これにより従業員は何が営業秘密か、どのようにそれを取り扱うべきか理解し、それを遵守することが求められます。前述の就業規則は従業員の一般的な行動規範を定めるのに対し、営業秘密管理規則は具体的な営業秘密の管理方法や、保護措置に焦点を当てることになります。両者は異なった視点から情報管理を規定し、互いに補完する関係にあります。
(競業避止義務契約)
これは特に技術情報を扱う従業員や経営者に適用される契約で、退職後の一定期間、同一業種での就業や事業開始を禁止するものです。この契約は企業が所有する技術情報や営業秘密が、退職した従業員によって競合他社へ持ち込まれるのを防ぐことを目的にしています。
しかしながら競業避止義務契約は、従業員の基本的な人権を侵害する可能性もあるため、その範囲や期間は合理的な限度に留めることが求められます。また契約の適用は、その人が実際に機密情報を取り扱っていたか否か、その情報がどの程度の価値を有しているかなど、具体的な状況によって総合的に判断されます。
(秘密保持契約)
秘密保持契約(NDA:Non-Disclosure Agreement)は取引先や従業員、協力会社との間で、業務上知り得た情報の秘密性を保証する契約です。具体的には秘密情報の定義、秘密保持期間、違反時の罰則などが明記されます。ここでいう秘密情報は、製品開発の詳細、顧客リスト、販売戦略、特許出願情報などを指すことが一般的です。秘密保持の期間は契約により異なりますが、通常は数年間とされ、この期間中に契約相手が秘密情報を第三者に漏らした場合、違約金や損害賠償請求など罰則が科せられます。
(技術供与契約)
これは自社の技術を他社に提供する際に結ぶ契約で、供与する技術を具体的に定義し、それがどのように使用できるかを明確にするものです。提供する技術の範囲、供与の条件、秘密保持義務、利用範囲や期間、違反時の罰則等が記載されます。
(誓約書)
就業規則や営業秘密管理規則で機密情報の保護が規定されている場合でも、特定の状況下では誓約書の提出を求めた方が良い場合があります。具体的には次のような場合です。
部署変更や昇進時: 部署の変更や昇進により、従業員が新たに機密情報に接触する場合や、情報の取り扱い範囲が拡大する場合も、誓約書を提出は有効な方法です。これにより機密情報を守る新たな責任について、明確に理解してもらうことができます。
プロジェクト参加時: 特定のプロジェクトに参加する際は、そのプロジェクト固有の機密情報に接触する可能性があります。そのような場合にも、プロジェクトに関連する機密情報を保護するため、誓約書を提出してもらうことが適切です。
退職時: 退職後も機密情報の保護義務が継続することを確認する意味で、退職者に誓約書を提出してもらうようにしましょう。
これらの状況では、就業規則に加えて誓約書を活用することで、機密情報の保護について従業員の理解と意識を強化することが可能となります。
3.関係者別の対策
(従業員(含む役員)・退職者)
・海外法人の副総経理が競合会社を設立し、競合品を販売した
・定年退職した技術部長が、顧客に顧問として雇用され、製品を内製化された
このように従業員や退職者が技術情報を流出させるケースは、後を絶ちません。
在職中は、就業規則・営業秘密管理規則の順守を徹底し、役職や担当プロジェクトに応じて誓約書の提出、退職時には競業避止義務契約・秘密保持契約を結ぶようにします。
また社内の情報ネットワークは、役職や職種に応じたアクセス権限に留めるようにします。この場合、業務の利便性を損なう可能性もありますが、それを回避する対応策は、次章のネットワーク環境に応じた漏洩対策で説明します。
(派遣社員・関連企業の従業員)
派遣社員が社内システムから製品図面データを持ち出し、競合企業に販売するように、派遣社員や関連企業の従業員から機密情報が漏洩することも非常に多いケースです。
派遣契約書・業務委託契約書に秘密保持義務を明記し、必要に応じて競業避止義務契約や誓約書などを併用するようにします。また社内の情報ネットワークへのアクセスは、業務に必要な最低限のものに留め、契約終了時にはアクセス権限を削除するようにします。
(顧客企業、共同開発、外注先、仕入先、設備メンテナンス企業)
・顧客の要望に応じ、試作品と図面を提出したが、顧客は別企業に発注し量産を始めてしまった
・契約に至らなかった共同開発だったが、検討用に提供した図面で、相手が特許を取得、製品化された
このように顧客やパートナー企業が、機密情報を盗む場合も少なくありません。
顧客といえども、秘密保持契約や技術供与契約を取り交わし、自社の技術流出を徹底的に守るという姿勢が重要です。また生産現場に立ち入る際には、必要最低限のエリアのみを許容するようにし、特に設備メンテナンス会社が立ち入る場合には、カメラやスマホなどの持物を制限することも、場合によっては必要となります。
Point3:媒体からの漏洩を防ぐには?
媒体からの漏洩原因は、大きく以下の2つに分かれます。
1.ウィルスやマルウェア等の外部攻撃よる漏洩対策
ウィルス等の外部攻撃の対策については、中小企業が最初にすべき、個人情報漏洩を防ぐ5つの対策 にて詳しく説明していますのでそちらをご参照ください。
2.関係者の内部不正による漏洩対策
ここでは関係者の内部不正による漏洩を、どのように防ぐかご説明します。内部不正を防ぐには、不正行為の実行環境を作らないことが何よりも重要です。具体的には次の5つになります。
(アクセス制限)
機密情報へのアクセスはユーザー毎に権限設定し、必要以上の権限を与えないようにします。
(持ち出し制限)
・社内PCに外部デバイス(USBメモリー、個人用スマホなど)の接続を禁止する。
・業務に関係ないSNSやクラウドストレージへのアクセスを禁止する。
・PDFへの出力、画面キャプチャー、ファイルのコピー&ペーストなど、ファイル持ち出しに繋がる機能を無効化する。
(監視と検知)
ネットワークを監視し、異常なアクティビティを検知する仕組みを導入します。
(ログ管理)
アクセスや操作ログを記録し、誰が何を行ったかトレースできるようにしておきます。
(定期的な変更)
ログインパスワードは定期的に変更し、2段階認証の導入などで安全性を高めます。
3.ネットワーク環境に応じた漏洩対策
内部不正による情報漏洩を防ぐには、上記5つのような方法で実行環境を作らないようにするわけですが、これらは従業員の日常業務の利便性を犠牲にする場合があります。そこで自社のネットワーク環境に合わせ、次のようなソフトを利用することで、利便性を損なわずに情報漏洩を防ぐことができます。
(環境1:Webサーバーを運用し、Webステムで情報管理している場合)
各PCのブラウザを制御することで、機密情報の漏洩を防止します。
- ブラウザーを閲覧だけに限定し、PDF出力、ダウンロード、保存、編集、印刷、画面キャプチャーなど、ブラウザ―上のあらゆる持ち出し機能を制御する。
- ブラウザー操作が変わらないことで、利用者の利便性が下がらない。
- WebシステムのURL単位で制御できると、必要な箇所のみ適用することで、業務の利便性を損なわない。
このようなブラウザ―制御は、弊社製品のパイレーツバスター AWPで実現可能です。
(環境2:一般的なファイルサーバーで、情報管理している場合)
ファイルを制御することで、機密情報の漏洩を防止します。
- 保護したいフォルダーの指定で、フォルダー外へファイルのコピー、メール添付、アップロードや印刷、画面キャプチャーなど、あらゆる情報流出につながる操作を禁止する。
- 保護フォルダ―内のファイルは閲覧、編集、保存のみでき、ファイルの利便性を損なずに、強固な情報漏洩防止できる。
- USBメモリーやスマートフォンなど、外部デバイスへのコピーも禁止する。
- 部署、役職、PC単位で利用権限を変更でき、細やかな運用が可能。
このようなファイル制御は、弊社製品のコプリガードで実現可能です。
(環境3:メールやクラウドでファイル共有している場合)
ファイルに特殊な制御をすることで、機密情報の漏洩を防止します。
- 閲覧だけに制限したファイルで、配布・共有後も、編集、印刷、画面キャプチャーを禁止する。
- ファイルに有効期限を設定し、期限が過ぎれば開けない、自動削除ができる。
- 利用PCを固定することで、そのPC以外では開けず、安全性を強化できる。
- サーバー構築などなく、インストールするだけで、すぐ、誰でも使える使いやすさ。
このようなファイル制御は、弊社製品のトランセーファーで実現可能です。
まとめ:情報漏洩に向き合う姿勢
以上となりますが、最後に強調したいのは、機密情報の漏洩を防ぐには「自社の技術は徹底的に守る!」という強い姿勢が重要である、ということです。
そして法律や契約で保護することも重要ですが、何よりも良好な人間関係をつくることが第一と考えてください。良好な人間関係を前提として、契約で担保する。これが目指すべき姿です。
また本文では触れませんでしたが、経験豊富なパテントロイヤーを活用することも重要です。技術流出が判明し裁判で争う場合、弁護士の力によって判決は大きく左右されます。知的財産権に強い弁護士、弁理士を慎重に選ぶことが非常に重要なことになります。
以上となります。
お読みいただき、ありがとうございました。
※本記事の掲載事例は現時点での当社調べの内容です。
本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部
組織内部からの情報漏洩には、ウィルスや外部攻撃による情報漏洩とは異なる、独特の問題が発生します。本稿では内部情報漏洩の特徴を3つの事例から考え、効果的な対策をズバリ提示します。
情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位になるのか? 漏洩の原因は何か? 企業はどのような対策を講じるべきか? さらには万一漏洩した場合の対応手順まで、一気に解説していきます。
