止まらない、止められない予測がつかない被害の連鎖
- 対策方法
2022年9月に、回転ずしチェーンの「かっぱ寿司」を運営するカッパ・クリエイトの元社長が、以前勤めていたライバルチェーンの営業秘密に当たるデータを不正に持ち出したなどとして、不正競争防止法違反(営業秘密の侵害)の疑いで逮捕されました。
この逮捕は、回転ずしチェーンという身近な企業で起きた刑事事件として、社会に大きなインパクトをもたらしました。
同社長は2020年11月にライバル企業から転職し、元部下を利用して商品原価等の営業秘密を持ち出しました。結果、同社長だけでなく、転職先の商品企画部長はデータを不正利用したとして、転職元の元部下はデータのパスワードを漏洩したとして共に逮捕されました。
また、カッパ・クリエイト社も役員・従業員の選任・監督、その他違反行為の防止に尽くしたことを立証しない限り、罰金を支払う義務を免れません。
現在裁判中ですが、同社長は、法廷で「転職先で『何も知らない』とバカにされると困るから」と述べ、データを持ち出された企業側は「企業努力にただ乗りし、悪質」と激しく憤った証言をしています。
対岸の火事ではない
これは、「内部不正による情報漏洩」にあたります。
今年のIPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威 2023」(組織編)でも、第4位となり、前年が第5位だったので、1つ順位が上がり、それだけ脅威レベルが上がったといえます。
従業員や元従業員など組織関係者による機密情報の漏洩は、「社会的信用の失墜」「損害賠償による経済的損失」につながります。
また、不正に取得した情報を他組織に持ち込んだ場合、その組織も損害賠償などの対象になるおそれもあります。
内部情報の持ち出しはどのように行われるのか?
内部情報の持ち出しは大きく3つあります。
1.アクセス権限の悪用
付与されたパスワードを悪用し、組織の重要情報を取得する
必要以上のアクセス権限を付与された状態では、より被害が拡大
2.在職中に割り当てられたアカウントの悪用
退職後、在職中に使用していたアカウントを使って不正に情報を取得する
3.内部情報の不正な持ち出し
USBメモリー、HDD、メール、クラウドストレージ、スマホカメラ、紙媒体などで持ち出す
企業がとる予防・対策は?
IPAの「情報セキュリティ10大脅威」では、予防について4つあげています(一部抜粋)。
1.基本方針の策定
情報取り扱いのポリシーや内部不正者に対する罰則を規定した就業規則などを整備する
2.資産の把握、対応体制の整備
重要資産を把握し、その重要度にランク付けしたうえ、管理者を定める
3.重要情報の管理、保護
重要情報へのIDやアクセス権限の取り扱いを定め、運用する
従業員の異動や離職に伴い不要になったIDなどは直ちに削除する
その他、それらが適切に運用されているかを確認するフローの導入、共用IDの禁止など
4.物理的管理の実施
重要情報の格納場所や執務室の入退室管理、記録媒体の利用制限、持ち出し/持ち込みの管理、記録媒体の廃棄時の適切なデータ消去の運用実施など
続いて、対策は3つ。
1.コンプライアンス教育の徹底による情報リテラシーや情報モラルの向上
2.システム操作履歴の監視による攻撃の予兆/被害の早期検知
※さらに、監視していることを従業員に周知するとよい
3.被害を受けた時の対応方針を定め、従業員に周知する
予測がつかない被害の連鎖
内部不正による情報漏洩が企業にもたらす損失は、はかり知れません。
何よりおそろしいのが、被害の連鎖の予測がつかないことにあります。
「情報セキュリティ10大脅威」で前年第5位が第4位になったように、決して今回取り上げたカッパ・クリエイト社に限った話ではありません。
2014年、ベネッセ社に勤務していた派遣社員の男が個人情報を盗んで販売した事件では、同社は当時260億円の損失を出しました。
今も、販売された個人情報は転売が繰り返されつづけ、被害者の苦しみは終わることはなく、同社も”情報漏洩企業”という消費者イメージを拭えていません。
さらには、漏洩した個人情報は犯罪に使われる可能性もあります。
まだ記憶に新しい、関東中心に相次いだ広域強盗事件において指示役とされる「ルフィ」らは、闇名簿が活用されたといわれています。
上記で使われた闇名簿の中にあったかどうかは不明ですが、闇名簿の中には自治体といった公的機関でないと知りえない口座情報や納税状況、戸籍などの情報も含まれていることもあります。
一部の報道では、これらの情報は犯罪者が金銭の授受やゆすり、借金などを通じて、自治体内部に協力者を作るなどして得ている可能性があるといっています。
最近、自治体や企業から情報が流出したという報道は少なくありません。
たった一人の不正が想像を超える大きな事態を招きます。
情報はそれだけ現代社会では、重要なことなのです。企業にとっても個人にとっても、決して対岸の火事ではありません。
当社ソルナでは、ネットの風評被害対策だけでなく、SNS時代の人物健全度調査サービス「ネットの履歴書」ならびにネットリテラシー研修も提供しています。
少しでもご興味があれば、お気軽にお問い合わせください。貴社に合った最適なご提案をいたします!