営業秘密の情報漏えいは会社崩壊を招く/事例・予防策・事後対応を解説
2018/02/06
2015年秋、ある退職社員が前職の会社からUSBメモリ―にコピーした顧客情報を、転職先の営業活動に利用したという不正競争防止法違反の疑いで逮捕されました。社内に精通する退職社員による不正は被害が大きくなる傾向があります。この事件も、転職元である被害を受けた会社が警察に告訴するほどの状況でした。営業秘密の漏えいに関しては、62.7%が退職社員・役員・定年退職者によるもの、これは退職社員による不正の重大性を示しています。また現職社員でも金銭目的のための不正流出に手を貸していることを考えれば、会社内からの営業秘密情報漏えいは実に73.5%(※)にもなります。
※経済産業省「人材を通じた技術流出に関する調査研究報告書」(2013年3月)
本稿では、情報漏えいに対する基本的な法的対応についての説明とともに退職前、退職後にできる具体的な対策と事例についても説明します。
目次
※当社調べ(発生率:%)
< 事例 >
ある退職予定者が、顧客情報や新規事業の資料等を私的に利用するため会社メールで自らの私用メールアドレスに送信し、送信後メール履歴を削除した。退職後独立し、この顧客情報等を利用して顧客を開拓していたことが判明。この元社員に対し損害賠償を求める訴訟を起こすこととなった。
< 予防・対策 >
メールの履歴は削除されても復元することが出来ます。メールを使った情報漏えいの証拠は、削除されたメールを復元することで発見出来る可能性があります。
復元方法は 5.まとめ をご覧ください。
< 事例 >
ある退職予定者は、私用のフリーメール(GmailやYahoo!メール等)をインターネットブラウザで立ち上げ、仕入先/原材料リストや価格表/原価表等の秘密データを添付して転職先企業に送信して情報を漏えいした疑い。
< 予防・対策 >
ログ監視ツールを導入していてもフリーメールの本文や添付ファイルは確認できない場合があります。ですから、制御ソフトでインターネットのフリーメールサイトにアクセス出来ないようにすることをお奨めします。また、会社メール以外のフリーメールのアカウントを登録していないか、抜き打ち監査するとともに、会社指定以外のメールソフトは、インストール禁止、実行禁止にすることでリスクを低減できます。
< 事例 >
ある退職予定者は、クラウドストレージ(OneDriveやDropbox等)を利用して自宅のPCと同期するフォルダを設定し、そのフォルダに会社メールのバックアップや社外秘の顧客リスト等を保存。自動的に自宅PCに送り情報を漏えいした。退職後、競合他社へ転職し、顧客情報等を流用した疑いが浮上する。転職先での顧客情報利用の有無については明確にできず、訴訟には至っていない。
< 予防・対策 >
漏えいした情報によって被った損害については、明確に出来ない場合も多いです。まずは、漏えいを未然に防ぐ環境を整えることが重要です。クラウドストレージについてはソフトウェアとWebサービスの両方を制限する必要があります。ソフトウェアはインストール禁止にし、Webサービスはインターネットのアクセスを制限することで対策できます。
< 事例 >
ある退職予定者は、未発表の新商品の名前や仕様を匿名のSNSや掲示板へ投稿して情報を漏えいした。
< 予防・対策 >
会社PCからのSNSや掲示板へのアクセスを禁止するとともに、Webのモニタリングを実施することも早期発見の有効な手段となります。
これまで事例や対策を見てきましたが、そもそも犯罪防止という観点からそこまで費用をかけずに予防策を実施する方法に関してもお伝えします。特に赤い〇印をつけた箇所をチェックしてみてください。以下の表は社内犯罪を防ぐという観点からどのような環境や社員の心理に訴えかけていくかを検討した内容となりますので少し極端な内容も含まれるためです。すでに実施されていることが多く目に付くかもしれませんが、すぐにもできる防止策の取りこぼしを防ぐ意味でもチェックしてみてください。
標的型攻撃メールや不正アクセスなどが怖いと聞くけれど、何から対策を始めていいのか分からない…、ここでは「事業活動において、請求書や納品書のやり取りなどにメールを利用しているけれど、セキュリティ対策まではまだ手が付けられていない」というような事業者の方が、“まず”何から始めればよいか、という観点で、以下4つを最低限のサイバーセキュリティ対策として経済産業省の『秘密情報の保護ハンドブック(平成28年2月)』からご紹介いたします。
① ソフトウェアは常に最新版にアップデートする
② ウィルス対策ソフトを導入する
③ ファイヤーオールを設定する
そして最後に、“いざという時のために”
④ システムのログ(履歴・記録)の設定を確認する
・サーバーや機器のシステム時刻を合わせる
☛ 時刻が合っていないと、いざというときにいつ何があったか分からないため
・ログが記録・保存できる期間に注意する
☛ どのくらいの期間や容量を記録・保存できるのか確認し、適切にチェックされるような体制をつくる
不正競争防止法上、3つの要件が揃ったものは「営業秘密」として特別に保護されています。
【営業秘密の3要件】
・情報の有用性
・情報が一般に知られていないこと
・情報が秘密として管理されていること
営業秘密を漏えいした退職社員に対しては、話し合いによる解決 (示談) のほか、以下のような法的対応の可能性があります。
退職社員が営業秘密を持ち出して独立・転職先で利用しているような場合、民法上の不法行為や債務不履行による損害賠償請求、不当利得返還請求、 謝罪広告等の信頼回復措置請求のほか、不正競争防止法で営業秘密利用の差し止めや廃棄、損害賠償請求をすることが考えられます。
退職社員の営業秘密持ち出しや利用の態様によっては、被害を受けた会社が告訴・告発することで警察による捜査が行われて裁判で有罪となれば、不正競争防止法21条で最大10年以下の懲役・1000万円以下の罰金に処されます。退職社員が転職した先の会社が共犯と認められれば、同法22条により転職先の会社に対して3億円以下の罰金が科せられます。
営業秘密であるというために、IDパスワード管理等で誰でもアクセスできる状況であってはならないのは当然ですが、退職社員に対する法的措置を取るにあたっては、以下のようなデジタル証拠を押さえておく必要があります。
① 営業秘密へのアクセス履歴
② 営業秘密をUSBメモリ等の持ち出し可能な記憶媒体にコピーした履歴
③ 営業秘密を印刷した履歴
④ 営業秘密をメール添付で送信した履歴
⑤ 営業秘密をクラウドストレージでコピーした履歴
⑥ 上記の操作をしたパソコンのハードディスクのデータ保全(完全コピー) etc…
①~⑤の履歴は、PC操作ログ監視ツールを導入していれば対応が可能です。
万が一導入していない場合には、サーバーやプリンター等個別機器のログを精査できます。
さらに、証拠能力・証明力を確保するためフォレンジック調査(退職者のパソコンデータ復元解析)をすることで発見します。操作ログ監視ツールを導入している場合も、ツールで収集した操作ログと実際のパソコンに残るデータの痕跡が一致していることを証明するために、フォレンジック調査を行います。退職社員が引き起こす不正は、退職後しばらく経ってから発覚することが多く、すでに各種の履歴が残っておらず、不正を立証するためのデジタル証拠が揃わないという事態に陥りがちです。そのようなときのためにも、⑥のハードディスクのデータ保全によって、各種履歴をフォレンジック調査ができるように、退職時にデータを保存し確保しておくことが重要です。
内部関係者による情報漏えいは、退職というタイミングに限らず、普段から対策を実施していくことが重要です。以下の表は現場社員と経営者や管理者との認識のズレがわかる調査結果です。
防止に向けた調査内容ですが、社員の回答結果では内部不正への気持ちが低下するものとして、PC操作ログ含め、1位:システム操作の証拠が残る(54.2%)に対して、管理者(経営者)では19位(0%)となり、両者に認識のギャップがあることがわかります。
以下図は動機や職場環境、スキル (知識・経験) 等が原因で内部不正が起こることが考えられるアンケート調査結果です。社員の生の声です。ご参考にしてください。
(出所) 独立行政法人情報処理推進機構 組織内部者の不正行為によるインシデント調査 (2012年7月)
弊社では、“人”にフォーカスした総合的な営業機密等の情報漏えいリスク対策の観点から、内部からの情報漏えい防止、または漏えい後をサポートする次のようなソリューションをご提供しております。
① PC操作ログ監視(※USBメモリ履歴、印刷機監視、クラウドストレージコピー監視含む)
② PCデータ・ハードディスク保全
③ PCデータ解析(フォレンジック調査)
④ WEB監視(各種SNSでの言動調査)
⑤ 行動監視調査(人物調査等) etc...
これから情報漏えい予防対策を考えている企業様も、改めて強化見直しを検討されている企業様も、いざというときのために最低限のセキュリティ構築及び組織としての整備や準備をすることをおすすめ致します。
不正・不祥事の調査はトクチョーにご相談を
【この記事のダウンロード(PDF)はこちらから】
※PDFファイルをご覧いただくには、Adobe Acrobat Reader が必要です。Adobe Acrobat Reader のダウンロード(無償)はこちらから
※PDFファイルのサイズが大きい場合、表示するまで時間がかかることがございます。
« 【経営判断の為の情報収集に】分野別 大手調査会社10社の使い分け法 | 個人情報漏洩のダメージは甚大!発生原因と損害状況、防止策を解説 »