あなたの会社にも忍び寄る産業スパイの影!? 企業が日頃から意識しておくべき対策を弁護士に聞いてみた
2014年7月に発覚した、通信教育最大手企業のベネッセコーポレーションの個人情報漏えい事件。
ベネッセにしか登録していないはずの個人情報を使って他社からダイレクトメールが届くようになったと顧客から問い合わせが急増したことで発覚しました。
最大3504万件の顧客情報が流出し、ベネッセ側は顧客に200億円分の補償を実施、責任部署にいた2名の取締役は引責辞任するなど、企業としての信用を陥落させる大打撃を受けました。主犯はベネッセのグループ企業に勤務していた派遣社員。1人の産業スパイによって膨大な損害を被ったのです。
今、まさか自分の会社はそんな目に遭うわけがない、と思ったあなたは要注意。産業スパイの手に落ちるのは時間の問題かもしれません。
今回は、産業スパイの手口と、情報漏えいに備え企業が日頃から意識しておくべき対策を企業の機密管理に詳しい、弁護士の梅村陽一郎氏に伺いました。
東京都板橋区出身。早稲田大学法学部卒業。千葉県市川市にある弁護士法人リバーシティ法律事務所に所属。千葉商科大学大学院客員教授も務める。企業の機密情報管理のほかに、知的財産や相続などの案件も専門。
詳しいプロフィールはこちら。
産業スパイには「囲い込み型」と「流出型」の2パターンがある
— どうして「産業スパイ」という行為が起こるのでしょうか?
産業スパイは、企業が持つ技術や情報で秘密にされているものを不正に入手する行為、またそのようなスパイ行為をはたらく人物のことです。日本では技術が著しく発展し、ひとつの企業が価値のある情報を保持するようになった頃から頻繁に出現するようになったのではないでしょうか。
製品をみただけではどうやって作ったのかわからない。かといって、分析し模倣するにしても莫大な費用がかかる。それならば盗んだほうが合理的だという理由で、ライバル社の機密情報を得るために、スパイ行為を行うようになったのだと思います。
ちなみに、国内外で起きた代表的な産業スパイの事例はこちらです。
▼代表的な事例
| 名称 | 内容 |
| IBM産業スパイ事件 (1982年) |
日立製作所、三菱電機の社員らがIBMのコンピューターと周辺の機密情報に対する産業スパイ行為をおこなった。 |
| 新日鉄住金VSポスコ (民事訴訟2012年) |
新日鉄住金が26年かけて開発した高機能鋼板製造技術を、日本人従業員が業務提携をしている韓国の業者「ポスコ」と共謀の上、不正に流出。300億円の賠償金で和解。 |
| 東芝VSハイニックス (民事訴訟2014年) |
フラッシュメモリの製造技術を、2008年元技術者が無断で複製し、韓国の半導体メーカーハイニックスへ開示。330億円で和解。2014年、日本人従業員を逮捕。 |
— 実際、どのような手口が多いんでしょうか。
産業スパイには、情報を自分で使いたいと考える「囲い込み型」と情報を売りたい「流出型」の2パターンがあります。ポスコの事件やハイニックスの事件は、盗んだ情報をもとに自分達でビジネスを行おうとする「囲い込み型」でした。ベネッセの事件は、情報を売り利益を得ようとしたので「流出型」に分けられます。
昔は、企業の情報を盗むには盗聴器を仕掛けたり、鍵がかかった棚を開けるために深夜忍び込んだりと、スパイが物理的に相手の企業に潜入する必要がありましたが、インターネットの発達した現代は、ウィルスが入ったファイルをメールで送るのが主流になっています。ウィルス経由で情報を吸い取るしくみですね。
メールは手軽な上に、騙されてしまう人は確実にいます。人間をスパイとして送り込む必要がないので、スパイ側としては以前に比べてリスクは減ったんじゃないでしょうか。
— スパイというと、プロのハッカーなどのイメージがありましたが、事例を見ると一般従業員の方が多いと印象を受けました。一般人でこういった人が産業スパイになりやすい、といった傾向はありますか?
経済産業省のデータによると、「情報漏えい者に多いのは、中途退職者」とあります。
あくまで推測ですが、定年までいるつもりだったのにリストラに遭ってしまった、意図せず早期退職になったり、なかなか役職が上がらなかったりといった会社への不満があるような人が、産業スパイに転じてしまうのではないでしょうか。あとは、今いる会社には自分のスキルを認められなかったけれど、外国や他の企業から求められることで承認欲求から心が揺らぎ、協力してしまう。そんな心苦しい背景が想定できますね。
変わりゆく「産業スパイ」を処罰する法律
— 産業スパイを取り締まる法律にはどのようなものがありますか。
機密情報の侵害や原産地の偽装、コピー販売行為を禁止している「不正競争防止法」で産業スパイを取り締まることは可能です。しかし、不正競争防止法で保護される、つまり大切な情報が「営業秘密」と認定されるには、次の3つの条件が満たされている必要があります。
1.秘密として管理された情報であること
2.役に立つ情報であること
3.一般に知られていない情報であること
参考:総務省法令データ提供システム
なかでも、認定を受けるためのハードルが最も高いのが1の「秘密管理性」です。
機密情報を金庫に入れる会社もあれば、引き出しに入れている会社もあり、管理方法は企業によってさまざま。サーバーに入れていても、実はログインパスワードが全社員共通のものだった、なんてことも珍しくないでしょう。
「パスワードがいい加減・鍵をかけていない・マル秘情報として扱っていない」
どれかひとつでも当てはまれば、営業機密として見なされません。その結果、被害に遭っても、産業スパイ側の罪を立証できなかった事件は少なくないんです。
— 他にも産業スパイに関する、改正や特徴的な法律はありますか?
かつて、未遂犯は処罰の対象ではなかったということですかね。秘密を盗もうと計画を立て、その実行に着手しても、実際に情報は盗めなかった場合は刑事罰にならなかったんです。それはおかしいとのことで、2016年1月1日に改正法が施行された不正競争防止法では処罰の対象になりました。これは、狙われる企業側にとっては喜ばしいことでしょう。
もう1つ挙げると、冒頭でご紹介したベネッセ事件の反省から、個人情報保護法が改正されたことです。
この法は名前の通り、個人情報を守るため定められたものですが、ベネッセの顧客情報を流出させた犯人は不正競争防止法では刑事罰にかけられたものの、当時、産業スパイがおこなうような盗用行為は個人情報保護法では対象外だったので、データ流出そのものに関しては罪に問われなかったんです。
この一件から、個人情報保護法のなかに新しく「データベース提供罪」という罰則ができました。個人情報を扱う業務の従業員や元従業員が、不正な目的で提供、盗用行為を図った場合、1年以下の懲役または50万円以下の罰金が科されるようになったんです。先ほどの不正競争防止法が定める3条件を満たしていなくても刑事事件として立件できるようになりました。
産業スパイから会社を守るために
— 産業スパイから自社を守るためにはどのような点に注意すべきでしょうか?
それには以下のことを徹底しましょう。
1. 従業員をしっかり管理する!
2.管理職管理者は必ず複数人設置する!
3.ID、パスワード設定。セキュリティのアップデートは最新版にする!
4.ライバル会社から疑惑をかけられないこと
1.従業員をしっかり管理する!
従業員から流出する可能性があるので、入社時に秘密保持の契約はもちろん、就業規則、退職時の契約を徹底させましょう。
万が一情報を漏らしたら損害賠償、業務中のアクセス記録を取る、メールのやりとりには監査が入る、といった規則を整理して、ときおり監査を実施してください。
職業選択の自由があるので過度な強制はできませんが、「競業避止業務契約」という3ヶ月から半年の間は同業種の企業には再就職できない契約もありますね。
2.管理者は必ず複数人設置する!
管理者自身が流出させてしまったら食い止めようがないので、複数の管理者を用意することも大事です。相互間チェックはもちろん、経営者側も積極的に関与することで、管理者が事件をおこさないように抑止力となることも大事ですね。
3.ID、パスワードをしっかり設定する
IDパスワードの管理は必須ですね。虹彩や網膜など自分の身体でしか認証ができない生体認証も効果的でしょう。データ自体を分割して保存するのも効果的です。
個人でも、単にIDとパスワードの認証だけではなく、二段階認証サービスやワンタイムパスワードなど、セキュリティレベルを強化するサービスを活用するといいですね。
4.セキュリティのアップデートは最新版にする!
セキュリティのアップデートとサイバー攻撃への対応を最新にする必要があります。スパイ側の攻撃も技術的にどんどん進化しているので、少し気を抜くと簡単に追いつかれてしまいます。
ただ、できる限りの対策をしておけば、結果的に情報が漏れたとしても被害も最小限におさえられるかもしれませんし、会社自体の責任も少なくできるかもしれません。
5.ライバル会社から疑惑をかけられないようにする!
ライバル会社から疑われないためにの施策を打つことも大事です。
ライバル会社から転職者を受け入れた時に、「うちにいたAさんが御社に入社してから急にうちの会社と同じようなものを作りはじめましたね」なんて言われたとしたら!?
転職者のなかには、悪気なく、前社で得た機密情報をノウハウとしてそのまま使ってしまう人もいるかもしれません。
そうならないよう、受け入れ側は「前社の秘密情報は使わないでください」と、転職者に誓約書を書いてもらうなどしたほうがよいですね。
実際にライバル会社の営業秘密を使っていたら、補償賠償金などを請求されるどころか、信用も失われ、企業の将来もなくなってしまうので、ライバル会社から疑われないための施策も重要です。
さいごに
“自分で守らない会社”は誰も守ってくれません。自分たちの大切なデータを営業秘密として扱ってほしいのであれば、それなりの対策をしましょう。
「うちの会社は大丈夫だ」という安易な考えを持ち、秘密情報や従業員の管理をおろそかにしていると、産業スパイに遭ったとき不正競争防止法などで取り締まることができない可能性があります。
一度、自社の機密情報の扱いはどうなっているか、ライバル会社から疑惑をかけられるようなことはしていないかなどを確認してみてください。
それが、産業スパイからあなたの会社を守るための第一歩です。
