不正な情報持ち出しを防ぐために必要な
情報セキュリティ対策とは
多くの企業が経験している中途退職者による営業秘密の漏えい
IPA(独立行政法人情報処理推進機構)が行った、企業における営業秘密管理に関する実態調査 によると、8.6%の企業が過去5年間に営業秘密の漏えいを経験しています。
企業における営業秘密管理に関する実態調査(独立行政法人情報処理推進機構)
https://www.ipa.go.jp/security/fy28/reports/ts_kanri/index.html
営業情報が漏えいしたルートとして、300人以下の企業でもっとも多かったのは、「中途退職者(正規社員)による漏えい」でした。
また、業種別に見ると、非製造業では約半数、製造業では4社に1社が、「中途退職者(正規社員)による漏えい」を経験しています。
2013年に経済産業省が行った調査(「人材を通じた技術流出に関する調査研究報告書)においても、中途退職者による営業秘密の漏えいが深刻なものであるとして報告されています。
社会環境の変化により情報流出のリスクが高まっている
近年の転職者数の増加や、有効求人倍率の変動、終身雇用の減少をみても、企業の規模を問わず、人材の流動化が進んでいることは議論の余地がないでしょう。
また、日本政府が進めている「働き方改革」の一つとして、副業や兼業の普及促進が図られているのも、注目すべき点です。すでに、厚生労働省は、2018年1月にモデル就業規則の見直しを行っており、これまで明文化されていた「許可なく他の会社等の業務に従事しないこと」という規定を削除するなど、副業や兼業の推進に向けた具体的な取り組みを進めています。
人材の流動化や、副業や兼業の普及促進は、優秀な人材を確保するという観点では、企業にとって大きなメリットがあります。
その反面、情報セキュリティの観点では、情報が流出するリスクが高まっていると捉えるべきでしょう。
企業における営業秘密管理に関する実態調査で、過去5年間に営業情報の漏えいを経験したと回答した企業が、漏えいリスクを感じる社会動向の変化として、「人材の流動化(59.3%)」 「他社との協業・連携機会の活発化(29.1%)」を挙げていることからも、情報セキュリティ管理の観点からの検討が必要であると言えます。
持ち出された営業秘密が法的に保護されるためには適切な情報管理が不可欠
社内の情報が持ち出されてしまった場合、持ち出した行為に対して、企業はどのような対応を取ることができるのでしょうか。
営業情報の代表的なものとしては、顧客名簿や事業計画、価格表やマニュアルなどがあげられます。
これらの営業情報を「窃取等の不正の手段によって営業秘密を取得し、自ら使用し、若しくは第三者に開示する行為等」は、営業秘密の侵害とされており、損害賠償請求などの対象となります。
しかし、不正に持ち出されたすべての情報が、営業秘密として保護されるというわけではありません。
営業秘密として不正競争防止法で保護されるには、3つの要件があり、すべてを満たす必要があるとされています。
1つめの要件は「秘密管理性」で、情報が秘密として管理されていること、2つめの要件は「有用性」で、有用な営業上の情報や技術上の情報であること、そして3つめは「非広知性」で公然と知られていないことです。
3要件の中で、最も意識する必要があるのは「秘密管理性」です。
情報に接することができる従業員が、秘密情報であるということがわかるような措置が取られていることが、「秘密管理性」を満たす要件となっています。
具体例としては、紙や電子媒体に秘密情報であることを表示することや、持ち出し禁止であることを明示する方法がありますが、あくまでも、「秘密情報として認識できるように管理されているかどうか」がポイントです。
裏返すと、自社にとって重要な情報が持ち出されてしまっても、秘密情報として適切に管理されていなかった場合には、法的に保護されない可能性があるということです。
重要な情報を持ち出しから守るために、日頃から情報管理を適切に行っておくことが重要なのです。
副業を認めない企業は情報セキュリティ対策が不要か
人材の流動化や働き方改革など、社会環境の変化は、情報が持ち出される可能性が高まるという、情報セキュリティ管理上のリスク要因であることは事実です。
しかし、自社の離職率は低いから、副業をみとめる予定はないからといって、セキュリティ対策が必要ないというわけではありません。副業を認める認めない以前に、情報セキュリティの管理は会社として取り組んでおくべき課題です。
営業秘密保護のために取り組むべき情報セキュリティ対策とは
経産省が発行している「秘密情報の保護ハンドブック」では、情報漏えい対策を効率良く行うための5つの対策を示しています。
【接近の制御】
秘密情報に「近寄りにくくする」ための対策
・アクセス権の適切な設定
・秘密情報を保存したPCはインターネットにつながない
【持ち出し困難化】
秘密情報の「持ち出しを困難にする」ための対策
・私物USBメモリ等の利用禁止
【視認性の確保】
漏えいが「見つかりやすい」環境作りのための対策
・レイアウトの工夫
・防犯カメラの設置
・アクセスログの記録
【秘密情報に対する意識向上】
「秘密情報と思わなかった」という事態を招かないための対策
・秘密情報の表示
・規定の策定と周知
・研修や教育の実施
【信頼関係の維持・向上等】
社員のやる気を高めるための対策
・ワークライフバランスへの取り組み
参考 :秘密情報の保護ハンドブック ~企業価値向上に向けて~
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/1706tradesec.pdf
ハンドブックでは、これらの対策の中から、各社の状況に応じて、防ぎたい情報漏えいルートや目的に合わせて取捨選択することを推奨しています。
また、営業秘密の管理を、経営上の課題として捉えている企業の方が、総じて様々な取り組みが進む傾向にあるため、経営層の関与と、各部門の役割分担を明確化して、実効性のある社内体制を構築する必要があります。
総合的な情報セキュリティ管理システムの導入が効果的
営業秘密の保護は重要な経営課題ですが、適切なセキュリティ管理を、運用だけで継続していくことは、極めて困難です。効率的に対策を行うための手段として、総合的な情報セキュリティ管理システムを導入することが効果的です。
情報セキュリティ管理システムでは、秘密情報の持ち出しを防ぐ対策として、電子データの持ち出しルートとなりうる、USBデバイスの遮断や、ファイル転送サイトへのアクセス遮断を行う方法があります。また、紙による秘密情報の持ち出しに対しては、透かし印刷を行うことで対策できます。
総合的な情報セキュリティ管理システムを導入することで、故意だけではなく過失による情報漏えいからも大切な情報を守ることができます。
情報セキュリティ管理システムを導入することは、情報持ち出しを許さない姿勢を示すことにつながります。
心理的に牽制する効果があるため、企業全体のセキュリティ意識の向上につながります。