中国サイトに大手企業の機密文書が公開　サイバー攻撃だけでなく内部不正にも危機感を

2022年10月7日の日経新聞に、中国サイトに世界の660社の機密情報が漏洩し、金銭ポイントを支払うことで誰でも閲覧できる状態にあるとの記事が公開されました。^※１

事態の概要について

中国企業が運営する「百度文庫」「豆丁網（docin）」「道客巴巴（DOC88）」などの文書共有サイトに、トヨタ自動車、日立製作所、アップルなど世界中の660社を超える企業の機密情報が漏洩していることが分かりました。
サイトからは、マニュアル、仕様書、設計図、提案書、サプライチェーンの参加企業リストなどの情報漏洩が見つかっているとのことで、世界の売り上げトップ50の内の46の企業がこの情報漏洩の被害に遭っているようです。^※２

中国政府の法規制について

中国政府は、「データ３法」^※3を制定するなど、サイバー空間での重要データなどの取り扱いを規制すべく法整備を進めています。特に中国自国の国益を損ないかねないケースにおいては、統制を強めているようです。

しかしその一方で、中国の国益に反しない場合は法律違反であっても放置されるケースも少なくないとのことです。

この中国の法律はグレーゾーンが広いため、統制を強めるのも放置するのも当局のさじ加減ではないかと考えられています。^※４

結局、情報漏洩の被害からは自分自身で守るしかない

今回のような中国サイトへの自社の機密情報ファイルのアップロード被害は、結局は自社で防がなければいけません。

公安調査庁も定期的な監視を行い、情報漏洩が発生した該当企業に警告をしているようですが、削除申請はあくまでも権利者が行う必要があります。そして削除までに１カ月かかるケース、削除されたとしても再度投稿されてしまうケースもあるため、最終的に諦めてしまう企業も多いとのことです。

情報そのものを守るDRM/IRMソリューション

この記事の中で、このような情報漏洩の発生源はサイバー攻撃だけでなく内部不正もあることを経営者は認識するべきであり、特に関係者による不祥事を防ぐために内部への厳しいガバナンスを確立する必要があると北村滋前国家安全保障局長は言っています。^※４

上述にあるような情報漏洩の様々な原因対して対策を行うには、時間や費用など多くのコストが発生します。そのため、まずは情報そのものを守り情報漏洩を根本から絶つような本質的な対策を行うことが最適ではないかと考えます。
その情報漏洩の根本対策となる対策がDRM/IRMソリューションであり、DRM/IRMソリューションで機密情報を保護することでサイバー攻撃や内部不正などのあらゆる情報漏洩への対策となります。

万が一、サイバー攻撃に遭い機密情報ファイルが外部に漏洩したとしても、ファイルそのものは暗号化された状態は維持されるため、不正に取得した人間は情報を読み取ることはできません。
そして万が一、内部関係者が外部へ情報を漏洩させるために不正に重要ファイルの暗号化を解除しようとしたとしても、権限制御されているために禁止されます。

このようにDRM/IRMは情報そのものを守り、情報漏洩の根本対策となります。

国産DRM/IRMソリューションDataClasys

国産のDRM/IRMソリューションのDataClasysであれば、重要ファイルを外部のウェブサイトへアップロードしようとしたとしても、DataClasysによる柔軟な権限制御によって禁止されます。

またDataClasysはオフィス系のファイルから図面や三次元モデルなどの設計図など、全てのファイルを暗号化できるため、今回の漏洩が確認された仕様書や設計図などの情報も保護することができます。

さいごに

中国サイトへの機密情報のアップロードの被害に世界の売り上げ上位50社の内の9割以上である46社が遭っていたということは非常に大きな脅威で、どんな企業もいつ被害に遭ってもおかしくはありません。

自社の情報漏洩対策に不安がある方、本気の情報漏洩対策を求めている方は、ぜひDataClasysまでお問い合わせください。

参考

※１ 中国サイトに世界660社の「社外秘」文書　漏洩の温床に: 日本経済新聞

※２ サイバーカオス 経済安保の死角(下)660社の「社外秘」文書投稿: 日本経済新聞

※３ 中国の個人情報保護法（データ3法）の下での国外移転の実務｜牛島総合法律事務所｜Ushijima & Partners

※４ 中国ネット規制、知的財産保護は道半ば　企業の自衛策に限界: 日本経済新聞