楽天モバイルの社員が前職のソフトバンクから機密情報を不正に持ち出したとして、2021年1月に不正競争防止法違反(営業秘密領得)容疑で警視庁に逮捕された。ソフトバンクは「準備が整い次第、利用停止や廃棄を求めて楽天モバイルに対し民事訴訟を提起する予定」(広報)である。
同容疑者が不正に持ち出したのは、5G(第5世代移動通信システム)や4Gネットワークの基地局設備、基地局と交換機を結ぶ固定通信網に関する情報など。ソフトバンクに退職を申し出てから退職日までの間に約30回にわたり、会社のメールアドレスから私用のアドレスにメールを送る手法で約170点のファイルを持ち出したという。
競争力の源泉である技術や設備情報の流出は企業にとって深刻な痛手だ。社員が退職後に同業他社へ転職したり、競合する事業を立ち上げたりした場合は技術情報だけでなく、顧客ネットワークまでもが競合に利用されてしまう恐れがある。退職社員による機密情報やノウハウの流出をどう防ぐか、企業は経営上の重大なリスクと位置づけて対策を講じる必要がある。
ログ取得は「有事の際の確認目的」
退職社員による機密情報の持ち出しリスクに対し、ITサービス企業はどう対処しているのか。日経クロステックは主要ITサービス企業10社に緊急アンケートを実施し、野村総合研究所(NRI)を除く9社から回答を得た。
「退職時に秘密保持契約書を交わす」「情報持ち出しに関する教育を実施し社員の意識を高める」「貸与パソコンのログを取得する」などの対策は回答企業すべてに共通した。一方で、「退職時に貸与パソコンのログを必ずチェックする」と答えた企業は1社もなかった。
ソフトバンクの事件では退職社員が利用していた端末のログを調査した結果、営業秘密の持ち出しに気づいた。同社はこれまで部署からの特別な申し出があった場合などに限りログを確認していたが、「今回の事件を受けて今後は退職社員全員の端末のログを調べる運用に変える」(広報)。これに対して、ITサービス企業9社は「有事の際に確認できるようにログを取得している」という運用にとどまるのが現状だ。
システム面での対策はどうか。社外へのメールを監視する仕組みを導入している企業が多く、NECは社員が社外宛てのメールを送ると、自動的に上司のアドレスにも届く。NTTデータとTISは外部に添付ファイル付きのメールを送る際に上司を宛先に入れないと送信できない仕組みにしてあり、SCSKでは社外宛てのメールをすべて上司が管理画面から確認できる仕様にしている。
日本IBMは退職予定者が営業秘密にアクセスしたりダウンロードしたりするとアラートが上がるようにしている。日立製作所と伊藤忠テクノソリューションズ(CTC)はシンクライアントを導入し、情報が端末内に残らないよう配慮している。
会社名 | システム面の主な取り組み |
---|---|
NEC | 社外へのすべてのメール送信時に上司へBCCで自動的に同報される。パソコン上にあるすべてのファイルを暗号化しているほか、USBメモリーなど外部記憶媒体やスマートフォンなど通信デバイスへのファイル書き出しをシステムですべて不可にしている |
NTTデータ | 情報の持ち出し対策としてパソコンからの書き出し制限を実施。添付ファイル付きや特定の宛先へのメールには上司をCCに入れないと送信できない仕様にしている。外部宛てのメールは特定組織がモニタリングして不適切な利用の是正に努めている |
SCSK | 社外宛てのメールはすべて上司が管理画面で確認できるシステムを導入。機密情報についてはアクセス権限の削除を適宜実施している |
TIS | 業務用パソコンからのデータの書き出しは許可を必要とし、社外へのメールにファイルを添付する場合は上席者をCCに入れないと送れない仕組みを導入している。インターネットログを定期的にチェックしており、不正なアクセスがないかを確認 |
伊藤忠テクノソリューションズ(CTC) | シンクライアントを使用してパソコンにデータが残らないようにしているほか、社内ネットワーク外へデータを持ち出すことができないようシステム的な制御を実施。プロバイダードメインへのメール送信やUSBメモリーの利用、Web上のストレージ利用などを禁止している |
日本IBM | 退職予定者が営業秘密に該当するデータをサーバーからダウンロードした場合などにシステムで検知する仕組みを導入。社内ネットワークに接続するパソコンや外部記憶装置などは機密情報を持ち出せないよう接続の制限や暗号化、コピープロテクトなどの措置を講じている |
日本ユニシス | 社員のパソコンのログを収集し、必要に応じてチェックしている |
日立製作所 | 従業員は基本的にシンクライアントを使い、USBメモリーなどでデータを持ち出せないようにしているほか、パソコンのログを記録。社内でも当該部門所属の社員のみ閲覧可能にするなど、アクセス制限も一部設けている |