サイト内の現在位置
機密情報が漏洩したら…最悪の事態と企業の防衛策を解説
お役立ちコラム「機密情報が漏洩したらどうなるのか?」
「機密情報漏洩が起きた場合の影響を知りたい」
技術情報や営業秘密などといった機密情報、(いわゆる企業秘密)の漏洩によって生じ得る不利益を、あらかじめ想定しておきたいと考えていませんか?
機密情報が漏洩した場合に企業やそのビジネスに及ぶ影響は、大きく次の3種類です。
- 多大なコストの負担
- 法的処罰や損害賠償請求
- 社会的信用の失墜
目立つのは経済的な打撃ですが、「情報管理ができていない組織」と見られてしまうという信用面でのダメージや、法的に罪を問われる可能性さえあります。
さらに言えば、そうした影響が尾を引いて経営状態が悪化し、最終的に経営破綻に至ることもあり得るでしょう。
そういった大きな不利益につながる機密情報漏洩ですが、実は、それを完全に防ぐ手立てはありません。
しかし同時に、完全には防げないとしても、できる限りの対策を講じておく必要があります。
事実、基本的な対策を講じてさえいれば防げたケースも少なくないのです。
そこで本記事では、機密情報が漏洩したと判明すれば懸念せざるを得ない影響範囲と、防止のために講じておくべき対策について解説します。
この記事でわかること
- 機密情報が漏洩した場合の影響
- 機密情報が漏洩した場合に問われる可能性のある罪や責任
- 機密情報漏洩の事例
- 機密情報漏洩の原因
- 機密情報漏洩を防ぐための対策
事例もご紹介し、機密情報漏洩の潜在的リスク、漏洩対策の重要性を深く理解できる内容となっていますので、ただ理解できるだけでなく、今後の情報漏洩対策に対する向き合い方もきっと変化するはずです。
ぜひ最後までお読みいただき、機密情報漏洩が起きてしまった場合の影響の把握とともに、機密情報漏洩を防ぐために今できることの実践にお役立てください。
1. 機密情報が漏洩した場合に企業・ビジネスに及ぶ影響
機密情報(特許出願前の発明情報、設計図面、企画書、営業秘密、顧客情報等)が漏洩した場合に、企業やそのビジネスに及ぶ可能性の高い影響は、大きく下記の3つです。
- 多大なコストの負担や利益の喪失
- 法的処罰や損害賠償請求
- 社会的信用の失墜
これらの影響により、短期的な損害が経営を圧迫するにとどまらず、長期的な収益悪化につながって経営不振に陥る可能性もあることを念頭に置きながら、それぞれについて以下で確認していきましょう。
1-1. 多大なコストの負担や利益の喪失
機密情報の漏洩により、多大なコスト負担や利益喪失が発生する可能性があります。
機密情報漏洩は企業にとっての事故であり、事故が起きれば何らかの対処が必要です。そして状況が回復するまでは通常通りの営業が困難なケースが多いからです。
| コスト負担の例 |
|
|---|---|
| 利益の喪失の例 |
|
機密情報漏洩という緊急事態が起これば、平時には不要なコストが発生するほか、本来であれば得られたはずの利益も逸失してしまうということです。
1-2. 法的処罰や損害賠償請求
機密情報の漏洩により、(主に個人が)法的処罰を受けたり、(主に事業者側が)損害賠償を請求されたりする可能性があります。
(法的処罰や損害賠償の内容については、次章「2. 機密情報が漏洩した場合に企業・個人が問われる可能性のある罪や責任」で詳しく解説しています)
機密情報の漏洩に多く見られる「悪用するために盗むケース」は刑事罰の対象となり、自社だけでなく取引先や提携先などにまで損害が及んだ場合には、漏洩させた事業者が損害賠償を求められるためです。
損害賠償金額は基本的に損害の規模に比例しますので、漏洩やそれに起因する被害の規模によっては経営を圧迫します。
なお、国家の安全保障に関わってくるような種類の機密情報(外交、防衛、スパイ・テロ防止等の分野の情報)が漏洩した場合は、たとえ故意ではなく過失によるものであっても刑事罰を免れません。
機密情報の漏洩は企業にとっての損失であるのはもちろんですが、同時に法的・社会的な責任も問われるのです。
1-3. 社会的信用の失墜
機密情報の漏洩により、社会的信用が失墜する可能性があります。
社外秘とすべき情報を漏洩させたという事実は、周囲の「組織としての情報管理体制に問題がある」「情報セキュリティ意識が希薄」といった認識につながるからです。
個人レベルで喩えるならば、「チームが一丸となって立案したプロジェクトの企画書が、◯◯さん宅から盗まれた。机の上に置いてあったのを、開け放した窓から盗まれたらしい」といったところでしょうか。
機密情報漏洩による社会的信用の失墜は、たとえ契約打ち切りや取引停止などにつながらなかったとしても、信用で成り立つビジネスにおける大きな損失といえます。
2. 機密情報が漏洩した場合に企業・個人が問われる可能性のある罪や責任
機密情報が漏洩した場合の影響は前章で挙げた通りですが、漏洩に関わった企業や個人はどういった罪や責任が問われるのでしょうか。
問われる可能性のある法的な罪や民事上の責任は、次のようなものがあります。
| 該当するケース | 罰則 | |
|---|---|---|
| 窃盗罪 | 機密情報もしくは機密情報が含まれる媒体(USBメモリ、図面等)を盗み出した場合 | 10年以下の懲役または50万円以下の罰金 |
| 業務上横領罪 | 役員や従業員が、業務上管理している機密情報もしくは機密情報が含まれる媒体(USBメモリ、図面等)を許可なく持ち出した場合 | 10年以下の懲役 |
| 背任罪 | 役員や従業員が、規則に反して機密情報を漏洩して所属企業に損害を与えた場合 | 5年以下の懲役または50万円以下の罰金 |
| 不正アクセス禁止法違反 | 不正アクセス禁止法違反で禁止されている行為(下表「不正アクセス禁止法違反で禁止されている行為」参照)を行った場合 | 不正アクセス行為: 3年以下の懲役または100万円以下の罰金 上記以外の行為: 1年以下の懲役または50万円以下の罰金 |
| 不正競争防止法違反 | 事業者間の公正な競争を阻害するような行為(=不正競争)を行った場合 (下表「不正競争防止法で禁止されている不正競争に当たる行為」参照) |
(営業秘密の侵害行為が刑事事件として扱われる場合) 個人:10年以下の懲役または2,000万円以下(海外で悪用した場合は3,000万円以下)の罰金、あるいはその両方 法人:罪状により3億円以下もしくは5億円以下(海外で悪用した場合は10億円以下)の罰金 |
| 秘密保持契約違反 | 秘密保持契約の取り決めを守らなかった場合 (下表「秘密保持契約違反の例」参照) |
契約相手企業により民事上の措置(差止請求、損害賠償請求等)が取られる可能性 |
刑法第二百三十五条ちょっとしたことが違反に当たる場合もある
不正アクセス禁止法、不正競争防止法で禁止されている行為、秘密保持契約違反に当たる行為は各種ありますが、中には次に挙げるような「この程度のことで違反になるの?」というものもあります。
注意が必要です。
- いつも代理で作業するため知っている直属の上司のアカウントのIDとパスワードを、後輩にも教えた
→「不正アクセス行為を助長する行為」に該当 - 開示範囲が役員と従業員となっている資料を弁護士に見せる
→開示範囲に含まれない者にまで情報を開示したことになる
3. 機密情報の漏洩の事例
機密情報漏洩により生じるさまざまな不利益を把握できたところで、本章では、過去に起きた機密情報漏洩の事例として、下記の3つの事件をご紹介します。
- 富士通の政府機関関連情報漏洩事件
- 東芝の研究データ漏洩事件
- エディオンの営業秘密漏洩事件
機密情報の漏洩はどのようにして起こるのか、起こるとどういった顛末となり得るのかといったことをイメージしやすくするためのご参考となさってください。
3-1. 大手IT企業の政府機関関連情報漏洩事件
大手IT企業A社の保有していた政府機関に関連する情報が流出した事件(2021年5月)がありました。
【事件概要】
A社が提供・運営するデータ共有ツールが外部からの不正アクセスを受け、同ツールを使って同社とプロジェクトを進めていた多くの官公庁や企業の機密情報が流出しました。
国交省や外務省、総務省、国立印刷局といった政府機関や成田国際空港などのほか、被害有無確認を関係者に注意喚起した内閣サイバーセキュリティセンター(NISC)自体も被害に遭っていると判明。
被害組織数は143と発表されていますが、判明していないものも含めれば、実際にはもっと多くの組織が被害に遭っている可能性が高いと考えられています。
【顛末】
問題となったデータ共有ツールには複数の脆弱性があったこと、多要素認証*を実装していなかったこと、ログ収集の機能が不十分であったことなどを踏まえ、事件発覚から約半年後に運用が停止されました。
さらにその後も、同社の法人向けネットワークサービスを利用していた1,700社あまりの企業や政府機関の情報が、サイバー攻撃により複数回にわたり流出。総務省より行政指導が行われるに至りました。
*多要素認証:パスワードや秘密の質問などの「知識情報」、トークンや特定のデバイスなどの「所持情報」、指紋や虹彩などの「生体情報」のうち、2種類以上の情報を組み合わせて行う認証方法のこと
3-2. 大手総合電機メーカーの研究データ漏洩事件
大手総合電機メーカーB社の研究データが漏洩した事件(2014年3月)がありました。
【事件概要】
B社とNAND型フラッシュメモリ事業で提携するC社の元社員が、B社の営業秘密に当たる技術情報をUSBメモリで持ち出しました。
海外半導体メーカーD社へ転職するタイミングでの情報窃取で、同元社員は転職先であるD社で同情報を開示しました。
【顛末】
C社の元社員は逮捕され、極めて悪質な営業秘密の開示であるとして、懲役5年、罰金300万円の判決が下されました。
さらに、B社とC社の両者が、D社に対し民事訴訟を提起し、最終的に2億7800万米ドルが和解金としてB社に支払われました。
3-3. 家電量販店の営業秘密漏洩事件
家電量販店E社の営業秘密が漏洩した事件(2013年10月〜2014年1月)がありました。
【事件概要】
E社の元管理職が、住宅リフォーム事業の営業秘密(取引先リスト、見積書、契約書、原価表、業務マニュアル等)数万件を不正に持ち出しました。
同元管理職は、2013年12月月末にE社を退職し、翌2014年1月に同じく家電量販店であるF社に入社。
転職前にデータを不正に持ち出しただけでなく、転職後もパソコンを遠隔操作して窃取していました。
転職先であるF社で住宅リフォーム事業を立ち上げるに当たり、それらの情報を利用したと見られています。
【顛末】
E社は、元管理職とF社を刑事告訴し、元管理職が懲役2年(執行猶予3年)、罰金100万円の判決を受けた一方、F社は最終的に不起訴処分となりました。
発表・発売前製品の情報漏洩のよくある例
公に発表する前の製品の情報も機密情報ですが、多くの関心が寄せられていることも関係し、しばしばマスコミに公開されているのが実情です。
たとえば、
- 人気スマートフォンの次期機種
- 未発表ゲームタイトル
- 自動車の新モデル
といったものに関するニュースは、発表・発売前にリークされる情報の代表格といえるでしょう。
製品の新規性や話題性が損なわれることは、開発企業にとり大損害ですから、外部に流出しないよう各社とも細心の注意を払っているはずですが、それでも漏洩を防ぎきれずにいるということです。
4. 機密情報の漏洩の原因は大きく2種類
前述したような機密情報漏洩事件の原因は複数ありますが、内部要因と外部要因の2種類に大別され、実際に発生している漏洩事件の原因の大半を占めているのが次の2つです。
- 【内部要因】社内関係者による不正持ち出し
- 【外部要因】標的型攻撃による窃取
言い換えれば、上記2つの要因に対策すれば、かなりの漏洩リスク低減効果を得られるということですので、ぜひ押さえておきたいところです。
以下でそれぞれについて解説しますので、ご参考になさってください。
4-1. 内部要因|社内関係者による不正持ち出し
実際に起きた機密情報漏洩の原因となっている内部要因は、大半が社内関係者による不正持ち出しです。
個人情報も機密情報の一種ではありますが、個人情報とそれ以外の社外秘情報を分けて考えた場合、
「ノートパソコンを電車内に置き忘れた」
「メールを誤送信した」
といった人為的ミスにより起きるケースよりも意図的な持ち出しによるケースが多いことが機密情報漏洩の特徴であり、個人情報漏洩との相違点といえます。
(ただし、設定ミスによりサーバー上のデータが外部からの閲覧可能な状態になっていたというような種類の人為的ミスが原因の事例は、実際に起きています)
あくまで推測の域を出ませんが、
- 特定のプロジェクトや部署内でのみ使用されることが多く、個人情報に比べ取り扱い頻度自体が低い
- 特許関連や設計図面などの機密情報が扱われる部門では、データ転送や記憶媒体接続が禁止されている
など、管理体制が厳格である場合が多いという事情が、意図的な内部不正が主要原因となっていることの背景としてあると考えられます。
事実、不正持ち出しに代表される営業秘密侵害事犯の相談受理件数・検挙事件数はともに高い水準での推移を続けており、増加傾向にある状況です。
【過去 10年における営業秘密侵害事犯の検挙事件数の推移】
【過去10年における営業秘密侵害事犯に関する相談受理件数の推移】
不正持ち出しで特に多く見られるのが、転職・独立時に機密情報を持ち出すというケースです。
4-2. 外部要因|標的型攻撃
機密情報漏洩の原因として目立つ外部要因は、特定の個人や組織を狙った標的型攻撃です。
特許出願前の発明情報や、開発中の技術に関するデータなど、明確なターゲットに向けてサイバー攻撃が仕掛けられることが多いのは、企業の虎の子である機密情報だからこそといえます。
ただし、そうして不正に得た機密情報は、直接的にビジネスに活用されるとは限らず、一種の嫌がらせとして行われるケースもあります。
いずれにせよ、被害を受けた側の企業は、長年の研究開発の成果を収穫直前にかすめ取られたようなもので、短期的な経済的打撃にとどまらず、長期的なビジネス戦略にも影響が及ぶことも多いでしょう。
5. 機密情報漏洩を100%防ぐのは不可能でも99%防ぐための対策が重要
機密情報漏洩の主要原因は前述の通り明らかですから、その原因に対して講じられる限りの対策を全力で講じるべきです。
やろうと思えばできたことをしていなかったばかりに起こってしまった機密情報漏洩事件が数多くある以上、打てる手を全て打っておくことの重要性は揺るぎません。
一方で、現実問題として、機密情報漏洩を防ぐためにどれだけ対策を講じても漏洩の可能性をゼロにすることは不可能で、その困難さは個人情報漏洩対策以上です。
なぜなら、人為的ミスによる発生の割合が低く、意図的に窃取されるケースが大半である以上、どれほど物理的な対策を講じたところで消すことのできない「悪意」が存在しているといえるからです。
でもだからこそ、90%の防御率を99%まで上げるために、考えられるては全て打っておく必要があります。
次章から、機密情報の漏洩を防ぐための対策をご紹介しますので、「うちの情報セキュリティ対策に足りていないのはどれか?」という目線でご参考になさってください。
6. 機密情報の漏洩を防ぐための各種対策
機密情報の漏洩につながる内部および外部の要因に対する対策には、それぞれ以下のようなものがあります。
| 内部の要因に対する情報漏洩対策 |
|---|
| 【必須!】情報へのアクセス・操作を制限する |
| 【必須!】社内教育で従業員のリテラシーを高める |
| 秘密保持を誓約させる |
| 情報機器を安易に持ち込ませない・持ち出させない |
| 高い視認性のもとで情報を管理する |
| ルールの制定と周知を実施する |
| 復元できない方法で情報を破棄する |
| 閲覧/操作履歴を記録・管理する |
| ミスを報告しやすい環境を構築する |
| 退職者が情報にアクセスできないようにする |
| 外部の要因に対する情報漏洩対策 |
|---|
| 【必須!】OSやソフトウェアは最新の状態を保つ |
| 【必須!】ログイン情報を適切に設定・管理させる |
| 【必須!】セキュリティソフト等を用いて多層防御を実施する |
| 運営するWebサイトに多層防御を実施する |
| 独自にICTツールを利用させない |
| ユーザー認証を強化する |
| 取引先にも情報を守るための協力を求める |
| テレワーク用の端末やネットワークの安全性を保つ |
| 定期的に外部組織によるチェックを実施する |
「必須」となっている対策から取り組み、その他の対策については基本的に上から順番に実施するようにします。
上記の各対策についてより詳しく知りたい方は、「情報漏洩 対策」をご参照ください。
公表されている機密情報漏洩は氷山の一角
機密情報が漏洩したという話はそこまで多くは聞かないからと考え、上記のような各種対策を講じていないとしたら、とても危険です。
というのも、私たちが想像するよりもずっと多くの機密情報漏洩が発生しているのが実情であると推測されるからです。
事件を通報すれば、自社の情報セキュリティ体制の甘さを公表するも同然ですので、「自社の評価を下げるよりも……」と泣き寝入りを選ぶ企業も少なくないでしょう。
また、十分な証拠を揃えることが難しければ、犯人を提訴したところで何も得られず、ただ不名誉なことを世間に知られるだけになってしまうと考え、法的手段を取るのを躊躇するケースもあるはずです。
個人情報保護委員会への通知や被害者への謝罪が必要な個人情報漏洩事件とは異なり、機密情報の漏洩は必ずしも表に出てくるとは限らないのです。
7. 機密情報の漏洩を可能な限り防ぐならソフトウェアやシステムの導入がおすすめ
機密情報漏洩を防ぐための各種対策には前章で挙げたようなものがありますが、より確実に漏洩リスクを低減させたいのであれば、システムの導入がおすすめです。
なぜなら、ソフトウェアやシステムは「人の手で行ってきたこと」を自動化する各種機能を備えており、安全性を高めるための対応が漏れてしまうリスクが最小限となるからです。
また、自動で実行されるということは、その分の手間が省けるということでもあります。
搭載されている機能は製品ごとに異なりますが、次のようなものが挙げられます。
- ファイルを自動で暗号化する
- 記憶媒体の接続を禁止する
- ファイルコピーを制限したり、画面キャプチャを行えなくしたりしてデータの複製を防ぐ
- パソコンだけでなくスマホやタブレットの操作ログまで自動で取得する
- 万一マルウェア*に感染した際に、ネットワークを遮断するなどして機密情報が社外流出を防ぐ
- 業務に必要のないウェブサイトへのアクセスを行えないようにする
- 最新ではないOSやソフトウェアが入っている端末を検出し、パッチ適用やアップデートを行う
*マルウェア:コンピュータやプログラムに有害な動作を行わせる意図で作成された、悪意あるソフトウェアやコードのこと
人の手で行う場合と、ソフトウェアやシステムの側で自動的に実行される環境を整えた場合を比較すると、たとえば下表のようになります。
| 人の手で行う場合 | ソフトウェアやシステム側で実行される場合 |
|---|---|
| ファイルコピーが禁止されていても、コピーしようと思えばできてしまう | ファイルコピーを試みても、ブロックされてコピーできない |
| ソフトウェアアップデートやパッチ適用が必要とわかっていても、つい後回しにしてしまう | ソフトウェアアップデートやパッチ適用がタイムリーに自動で実行される |
複数の機能を幅広く備えたソリューションとして提供されているタイプもありますので、自社に必要な機能や、どの程度カバーしてほしいかといった点を考えて、どれにすべきかを見極めましょう。
企業間・部門間情報共有プラットフォーム「PROCENTER/C」で高水準なセキュリティを実現
「文書管理」と「情報共有」の2つの役割を担う「PROCENTER/C」は、企業間・部門間での情報共有において、セキュアな環境で情報を一元管理できるプラットフォームです。
他部門、各地の拠点、社外取引先などとの機密情報共有におけるセキュリティを強化したいなら、セキュアな環境で情報を一元管理できるプラットフォーム「PROCENTER/C」の導入は有力な選択肢です。
下記のような各種機能で機密情報の漏洩リスクを最小限に抑えます。
- IDを持たない多数の相手ともセキュアにファイルを共有
- サーバー上に保管されているファイルを暗号化し、セキュアに文書を保存
- 保管期限を設定し、不要文書を自動削除
- きめ細かにアクセス権を制御し、不正アクセスを防止
- 登録ファイルを自動的にセキュリティ付きPDFに変換
- 操作ログを保管し、改ざんを防ぎ、漏洩時のトレースも可能
- ファイルダウンロード時に暗号化し、ダウンロードした人のみ閲覧可能とし、二次漏洩を防止
防衛産業サイバーセキュリティ基準をも満たせるほどの高水準なセキュリティを実現しているため、機密性の高い情報も安心確実に共有できます。
さらに、情報共有に加え、文書管理の役割も担うため、情報の伝達・公開もスムーズに。
セキュリティ性を高めながらも利便性を犠牲にすることがありません。
「PROCENTER/C」に関心を持たれた方は、ぜひお気軽に下記ボタンよりお問い合わせください。
8. まとめ
▼機密情報が漏洩した場合に企業やビジネスに及ぶ影響は下記の3つ
- 多大なコストの負担や利益の喪失
- 法的処罰や損害賠償請求
- 社会的信用の失墜
▼機密情報が漏洩した場合に企業・個人が問われる可能性のある罪や責任は下記の通り
- 窃盗罪
- 業務上横領罪
- 背任罪
- 不正アクセス禁止法違反
- 不正競争防止法違反
- 秘密保持契約違反
▼実際に起きた機密漏洩事故の原因の多くを占めるのは、下記の2つ
- 社内関係者による不正持ち出し(内部要因)
- 標的型攻撃(外部要因)
▼機密情報の漏洩につながる内部および外部の要因に対する対策には、それぞれ以下のようなものがある
| 内部の要因に対する情報漏洩対策 |
|---|
| 【必須!】情報へのアクセス・操作を制限する |
| 【必須!】社内教育で従業員のリテラシーを高める |
| 秘密保持を誓約させる |
| 情報機器を安易に持ち込ませない・持ち出させない |
| 高い視認性のもとで情報を管理する |
| ルールの制定と周知を実施する |
| 復元できない方法で情報を破棄する |
| 閲覧/操作履歴を記録・管理する |
| ミスを報告しやすい環境を構築する |
| 退職者が情報にアクセスできないようにする |
| 外部の要因に対する情報漏洩対策 |
|---|
| 【必須!】OSやソフトウェアは最新の状態を保つ |
| 【必須!】ログイン情報を適切に設定・管理させる |
| 【必須!】セキュリティソフト等を用いて多層防御を実施する |
| 運営するWebサイトに多層防御を実施する |
| 独自にICTツールを利用させない |
| ユーザー認証を強化する |
| 取引先にも情報を守るための協力を求める |
| テレワーク用の端末やネットワークの安全性を保つ |
| 定期的に外部組織によるチェックを実施する |
本記事が、機密情報漏洩についての理解、そして貴社の機密情報漏洩対策に役立ちましたら幸いです。