海外へ先端技術流出を防ぐために必要な秘密情報の分類・管理をどう実現するか

日本には最先端の技術を有する企業やアカデミアが数多く存在します。しかし、そういった技術情報は常に流出の脅威に晒されています。流出に至る経路には様々ありますが、中でも近年注目が集まっているのが産業スパイによる情報持ち出しです。

世界から狙われる日本の先端技術

2020年にはソフトバンク元社員が5G関連の機密情報を在日ロシア通商代表部の職員に渡したとして逮捕されたことが明らかになり、大きな話題となりました。^※1 ^※2
また2022年には、同じく在日ロシア通商代表部職員が先端技術を扱う複数の企業の社員に対してスパイ活動とみられる接触を試みていたとして、警視庁が企業に対し注意喚起を行っていたことが分かりました。摘発前にこうした動きを企業側に伝えるのは異例の事態です。^※3

日本の技術を狙っているのはロシアだけではありません。2021年には大手化学メーカー積水化学工業の元社員がスマートフォン関連技術を中国企業に漏洩させた事件について、不正競争防止法違反の罪で有罪判決が下りました。持ち出された情報はスマートフォンの液晶画面に使われる「導電性微粒子」という素材に関する情報で、積水化学工業が世界で有数のシェアを誇る最先端の技術でした。^※4 これに目を付けた中国企業は同社の取引先を騙りビジネス向けSNS「LinkedIn（リンクトイン）」を通じて元社員に接触、導電性微粒子の製造工程に関する電子ファイルや画像などをメール送信させました。^※5
元社員は中国に複数回招かれ親交を深めており、また、中国企業の技術指導として非常勤顧問就任を打診されてもいました。元々自身の研究の社内評価に不満を抱いていたこともあり、技術情報を交換することで知識を深め、社内評価を高めようという目論見があったとされています。しかし、中国企業側からの情報提供はなく、一方的にだまし取られる形となってしまいました。^※5

このように海外へ企業の保有する最先端技術が流出してしまうと、日本は国際的な競争力を失ってしまうことになります。また警察庁はこれらの技術の中には軍事転用が可能なものもあり、国外へ流出した場合、我が国の安全保障にも重大な影響が生じると警鐘を鳴らしています。^※6

産業スパイによる工作からどう身を守るか

それでは、産業スパイのように人を通じた情報窃取をどのように防げばよいのでしょうか。同じく警察庁の公開している技術流出防止パンフレット^※7 によると、スパイ工作への備えとして「3つのS」が示されています。

See（相手をよく見る）
… プライベートやSNSなど、普段のビジネスシーンとは異なる場面で出会った相手については、所属や連絡先などの情報を確認しましょう
Stop（立ち止まって考える）
… SNSなど、不特定多数の人の目に触れる場所に個人情報を記載する時は立ち止まって慎重になりましょう
…相手からの贈り物には、一度立ち止まって慎重になりましょう
Share（共有する・相談する）
… ささいなことでも上司や同僚に共有・相談しましょう。不審に思うことがあれば、警察にも相談しましょう

スパイはSNSを通じてメッセージを送ったり道端で声を掛けたりなどして仲良くなり、贈り物などを送って断りにくい状況を作ってから情報提供を要求してきます。少しでも疑わしいことがあればすぐに第三者に相談することが必要です。

技術流出を防ぐため企業がするべきこととは

次に、企業として行うべき対策はどのようなものでしょうか。前述のパンフレットには、まず最初にすべきこととして、「秘密情報の指定と管理」があげられています。

Step1. 保有する情報の把握・評価及び秘密情報の決定
（１）企業が保有する情報の全体像の把握
　　… 自社の保有する情報の把握する
（２）保有する情報の評価
　　… 把握した情報を経済的価値や漏洩時の損失の程度といった指標に基づいて評価
（３）秘密情報の決定
　　… 情報の評価の高低を基準に保護に値するかどうか判断
Step2. 秘密情報の分類
… Step1で決定した秘密情報を内容や評価の高低などに応じて分類（重要度に応じたレベル分け）
Step3. 秘密情報の分類に応じた対策の選択
… 秘密情報の分類ごとに、具体的にどのような情報漏洩対策を講ずるのか選択。自社の業務形態に応じて最適の対策を選択しましょう。

秘密情報の分類のし方に迷う場合は、まず大きく3つの区分に分けてみることをおすすめします。例えば「極秘」「部外秘」「社外秘」といった区分を作り、業務の実態に合わせて細分化したり、逆に区分を減らしたりすることで情報を管理していきます。

次に、そうして分類した情報に対する具体的な漏洩対策として「物理的・技術的な防御」と「心理的な防御」がありますが、前者として真っ先にあげられるのが「アクセス権の限定」です。

セキュリティの基本的な考え方として「Need To Knowの原則」があります。これは、『必要とする人にのみ情報へのアクセスを許可し、不要な人によるアクセスは禁止するべき』という考え方で、特に内部不正による情報漏洩を防ぐ上での根幹となります。例えば「極秘」に分類された情報に対しては経営者および管理職のみアクセスを可能としたり、「部外秘」には各部署に所属する社員、「社外秘」は一番重要度が低いので全社員アクセス可能だが、社外には公開されないようにする、などの設定をしていくことがこれに当てはまります。

企業が定める秘密情報には必要な社員しかアクセスできないようにする。これを徹底することは産業スパイによる情報漏洩のみならずサイバー攻撃を含むすべての漏洩シーンに対して有効な対策となります。

DataClasysで実現できることとは

弊社の提供するDRM/IRMシステム『DataClasys』は機密文書に対してファイル単位で暗号化をかけ、アクセスする必要のある人間のみがファイルにアクセスできるようなすることが可能です。
DataClasysではあらかじめ「極秘」「部外秘」「社外秘」などの機密区分（カテゴリ）とそれに応じた権限ポリシーを設定し、ファイルを暗号化をする際にどの区分で暗号化を行うか選択します。例えば経営に関する重要な情報が含まれるファイルを暗号化する際は「極秘」カテゴリで暗号化し、経営者および管理職の社員しか閲覧できないようにすることが可能です。

また設定できるのは単純な閲覧権限の有無だけではなく、更新禁止、印刷禁止、コピー＆ペースト禁止、メール送信禁止…などの細かい操作権限を設定することが可能です。これは内部不正を未然に防ぐ「最小権限の法則」（人やシステムに対して、業務を遂行するのに必要な最低限の権限を与えること）に準じた仕組みとなっています。※詳しくは → ファイル操作権限の制御

重要度の高い秘密文書に対してはDataClasysで暗号化し、さらに利用者に対しても最低限必要な権限だけを割り振ることで、産業スパイだけでなく、転職時の持ち出しなども含めた内部不正全般に効果的な対策を講じることが可能となるのです。

スパイというと何か映画やドラマの世界の話のようであまり現実味がなく、自分とは縁遠いものと考えてしまいますが、近年ではSNSなどを通じて私たちに簡単に接触できる環境が整えられています。自社のノウハウを流出させないためにも、個人としても企業としても対策を進めていくことが必要です。