近年電子メールに関連したリスクは巧妙化・多様化
しており、 ネットワーク管理者の悩みは尽きることが
ありません。 メッセージングセキュリティソリューション「Proofpoint」 は高い検知率と柔軟なポリシー設定、管理の容易さで、 企業インフラを防御します。

資料ダウンロード お問い合わせ

1.産業スパイの過去と現在

「スパイ」と聞くと、なんとなく映画やドラマに出てくるような存在をイメージしませんか?改造車を乗り回したり、高いところから飛び降りたり、天井から吊り下げられたり...そんなかっこいい「スパイ」は架空の存在かもしれませんが、今回は現実で最も遭遇の可能性のある「産業スパイ」についてお話しします。

その昔、なんとこの「産業スパイ」をテーマにした、題名もズバリ「産業スパイ(東映・1968年制作)」という映画がありました。主演は梅宮辰夫、不良番長・帝王シリーズ前に出演した映画ですが、眼光鋭く渋い産業スパイを演じています。
ちなみに1968年は、かの有名な三億円事件が発生した年であり、映画はまだ白黒とカラーが混在していたため(1970年以降、カラーが主流となる)、この作品も「カラー」と敢えて銘打っているような時代でした。

映画「産業スパイ」は孤独な産業スパイ・小暮(梅宮辰夫)が企業秘密を入手するために奮闘するという物語です。しかし、オフィスにパソコンもなかった当時の背景ためか、屈強な主演イメージのせいか、情報入手手段は基本的に体力勝負の肉体労働のみです。
美人秘書を懐柔して企業情報を聞き出したり、直接会社に忍び込んだり、金庫を開けるところを盗み見して番号を入手したり...正直、あまりスマートな方法ではありません。
映画ですのでもちろんフィクションである可能性は高いですが、1968年当時は入館のためのセキュリティシステムなども普及しておりませんので、建物への侵入は今より容易であったことは確かでしょう。

翻って、およそ半世紀経過した現代ではどうでしょうか。
残念ながら、現代でも産業スパイは実在しており、近年では以下のような事件が発生しています。

―2020年1月、ソフトバンク社員が電話基地局設置に関する作業手順書などの営業秘密情報を社内サーバーから不正に取得し、ロシア対外情報庁(SVR)で科学技術に関する情報を収集する「ラインX」の一員である元外交官に、報酬の見返りに渡した。
―2020年10月、積水化学工業の元社員がスマホのタッチパネルに使われる「導電性微粒子」技術を中国・潮州三環グループにメールで送信し、不正競争防止法違反罪に問われた。中国企業は、ビジネス特化型SNS「LinkedIn」を通じて元社員に接触し、接待を重ねていた。

1968年当時よりも建物や情報へのセキュリティは上がり、第三者が無断でオフィスに忍び込んだり、情報にアクセスして盗み出したりすることは難しくなりました。

一方で、機密情報にアクセスできる内部ユーザや関係者から情報が漏れるという状況は現代も変わりません。
SNSが発達したことで情報を欲する人間が担当者に直接、容易に接触できるようになった分、むしろ「人」が脆弱性となり得る可能性が高まっているのです。

2.情報漏えいした場合の罰則等

内部ユーザや関係者による情報漏えいは、具体的にどんな罪になるのでしょうか。
下記は情報漏えいが発生した場合の漏えい者に対する罰則と、漏えいした情報が個人情報だった場合に事業者側に科せされる可能性がある罪状は下記になります。

対象 ケース 民事・刑事 罪状・違反
個人 営業秘密を盗んだり、盗ませたり、悪用したりする行為 民事・刑事 不正競争防止法違反
機密情報が含まれている媒体の持ち出しなど 刑事 窃盗罪
機密情報や機密情報が含まれた媒体の持ち出しなど 刑事 横領/業務上横領罪
機密情報を流用して企業に損害を与えた場合 刑事 背任罪
正当なアクセス権限がないユーザや、不正取得したパスワードなどを利用してアクセス権限のないコンピュータ資源へのアクセスを行った場合 刑事 不正アクセス禁止法違反
顧客情報の漏えいなどが発生した場合 民事 債務不履行による損害賠償請求
従業員による顧客情報の漏えいなどが発生した場合 民事 不法行為にもとづく損害賠償責任
事業主 個人情報取り扱い事業者において、個人情報に該当するデータ漏えいした場合 民事・刑事 個人情報保護法違反
個人情報が漏えいした場合、漏えいした被害者による提訴が合った場合 民事 不法行為責任・契約上の責任など
内部ユーザあるいは関係者による情報漏えいは、悪意で行っているケースばかりではありません。親しげに接してきた知人にうっかり社内情報を話してしまったり、本人ではなくその家族や友人が意図せずSNSで情報を漏らしてしまうという可能性もあります。
自身の行動が表で紹介したような罪となることを知らなかったり、後に大事に至る想像ができずに、情報漏えいを引き起こしてしまうこともあるのです。
そういったケースをなくすために、内部ユーザあるいは関係者に、普段から効果的な教育や啓蒙を行う必要があります。

3.事業者側の対策

事業者側はどのような対策を講じるべきでしょうか。
ご参考までに経済産業省にて情報漏えい対策一覧の項目を記載いたしますので、自社の対策状況などと比較してご確認ください。

対策カテゴリとしては下記4点になります。

1.従業員に向けた対策
2.退職者などに向けた対策
3.取引先に向けた対策
4.外部者向けた対策

各カテゴリに対し、以下5点の対策ポイントとなります。

①接近の制御:アクセス権の制御や機密文書が保管されている部屋への入場を制限するなど、機密文書や情報にアクセスできる環境や人物を制御すること
②持ち出し困難化:情報を外部に持ち出すこと自体を難しくすること
③視認性の確保:情報漏洩が見つかりやすい環境を整えること
④秘密情報に対する認識向上:「うっかり」「知らなかった」などの事態を防ぐための対策
⑤信頼関係の維持・向上等:秘密情報を持ち出そうという考えを起こさせないような関係を構築すること



こうして見てみると、直接情報漏えいにつながる取引先や外部に対しては既に対策を取られているものも多いかもしれませんが、従業員や退職者などの内部ユーザについてもそれぞれ適切な対策が必要であることがお分かりいただけるかと思います。


まとめ

産業スパイは確かに存在し、情報を得られそうな「人」を狙って接触してきます。故意であってもうっかりであっても、「人」から情報漏えいが発生しないよう、教育が必要です。
また、十分な情報漏えい対策および、実際に漏えいが発生した場合に備え、迅速に対応できるシステムの導入などをご検討ください。


▼Proofpointの内部不正対策ソリューション



▼Proofpointのセキュリティ教育ソリューション