セミナーレポート

南紀白浜で問う

「機能しているのか? サイバー攻撃対策」 

第2回企業編・内部不正の実態

2015/6/16  1/2

 情報セキュリティの有識者が集う「サイバー犯罪に関する白浜シンポジウム」が2015年5月21日~23日に開催された。政府の動向、内部不正、マイナンバーなどについて講演が行われた。第2回目は内部不正についての講演に触れていく。

増加する内部不正の事件

 

 IPA(情報処理通信機構)の小松文子氏は「組織における内部不正防止対策」について講演している。IPAでは内部不正に関して、会社組織にアンケートやインタビューを行うなど状況把握に努めているという。

IPA(情報処理通信機構)
小松文子氏
IPA(情報処理通信機構) 小松文子氏

 小松氏は内部不正に関する代表的な事例として、家電量販店でおきた元社員による営業秘密不正取得に関する事件を挙げた。この事件は2015年1月に、家電量販店のエディオンの元社員が、退職前に事務所のパソコンに遠隔操作ソフトをインストールし、転職先の上新電機の業務用パソコンから遠隔操作ソフトを使い、営業秘密情報を取得したというものだ。エディオンの元社員は不正競争防止法違反の容疑で逮捕されている。


 この事件はエディオンのPCが、退職後90日間アカウントが有効であったことがセキュリティホールとなったことが大きい。退職前にパソコンに遠隔操作ソフトをインストールし、転職先の上新電機から遠隔操作で営業秘密を不正に取得したという。かつ不正した元社員の20年来の元部下が、エディオン側からメールで情報を転送していたこともわかっている。


 また、2014年7月に起きたベネッセコーポレーションの事件も、社会を大きく揺るがした事件だ。同社の顧客データベースを管理するグループ会社の委託先の元社員が、名簿業者へ売り渡すために顧客の個人情報を記憶媒体にコピー。その後流出させたとして不正競争防止法違反で逮捕された。この事件では大量の顧客情報をダウンロードしスマートフォンにコピーして持ち出されたことも明らかになっている。流出した個人情報は約3504万件にものぼり、特別損失が260億円(2014年度第1四半期)、役員2名が辞任と業務に大きな損失を与えている。


 2014年3月には、東芝のフラッシュメモリの研究データを、業務提携先のサンディスクの元技術者が不正に持ち出し、転職先である半導体大手SKハイニックスに提供したという事件も生じている。この件でこの元技術者が、不正競争防止法違反容疑で逮捕されている。


内部不正を裏付ける報告

 

 多発する内部不正の事件――様々な報告からその実態が明らかになっている。グローバル情報セキュリティ調査@2015(日本版)によると、インシデントの発生源として、最も多いのが、現従業員で35%、次に元従業員30%。ハッカーからによるものが25%となっている。


 一方、JIPDEC(日本情報経済社会推進協会)が発表した企業IT利活用動向調査(2015年)によれば、半数以上の企業が、内部不正による情報漏洩の経験があるという。また帝国データバンクの調べでも、「漏洩の疑いは過去5年間で企業の1割が経験。漏洩防止への取り組みは5割にとどまる」とのことだ。


 経済産業省が発表した、人材を通じた技術流出に関する調査研究報告書(2013年3月)も参照したい。営業秘密の流出者は、中途退職者が最も多く、流出先は国内競合他社が多いという結論に至っている。またビジネス上有用なノウハウや技術などの営業秘密などの流出は、従業員によるものが多い。流出ルートは退職者による漏洩が最も多く、国内外の競合他社へ情報が漏洩しているのが実情だ。

>>企業が内部不正者にとった措置とは?

【関連カテゴリ】

情報セキュリティ