化学品メーカーMORESCOの元社員が不正競争防止法違反の容疑で逮捕、企業は内部不正にどう対策するか

2022年9月15日、兵庫県神戸市の化学品メーカー、株式会社MORESCO(モレスコ)は自社のウェブサイトにて、元従業員が不正競争防止法違反の容疑で逮捕されたことを公表しました。MORESCOはこの元従業員が同社を退職する際に営業秘密に当たる情報を不正に持ち出したことに気付き、警察に相談していました。なお、ウェブサイトでは、現時点では実質的な損害はなく、第三者による営業秘密の利用の事実もないとしています。※1

事件の概要

元従業員の男がまだMORESCOに勤務していた2020年11月、テレワーク用に貸与されたPCでMORESCOのサーバに接続し、自動車向け潤滑油の配合情報や製造工程情報など71個のデータファイルを自分の利用するクラウドサービスに複製し、持ち出しました。男はMORESCOでは営業職課長の立場にあり、秘密情報の閲覧、ダウンロード権限を付与されていました。男は過去に少なくとも約3000個近いファイルを複製しており、うち900ファイルが同社の営業秘密にあたるということです。データ持ち出しがあった約半年後の2021年6月、男は独立しMORESCOと同じような製品を扱う会社を設立しました。同時期にMORESCOは県警に対して、元従業員の男が自社と同じような製品を2~3割安い値で売ろうとしており、営業秘密が持ち出された可能性がある旨の相談をしています。なお、男は利益を得る目的ではなかったと容疑を一部否認しています。※2

内部不正による情報漏洩への対策方法とは

内部不正による情報漏洩への対策が困難なのは、本事案のように、犯人がファイルを管理しているサーバやシステムに対して正規のアクセス権を持っているため、フォルダに対する権限管理や多要素認証などの仕組みでは持出しを防ぐことができないという点です。また本件は持ち出しにテレワーク用の端末が使われたことや、会社の把握していない個人利用のクラウドサービス(いわゆるシャドーIT)が使われたこともポイントで、このように新しい働き方やそれを実現するためのサービスが新たに出現すると、企業はそれに対応した新たなソリューションの導入を検討することになり、大きな負担となります。なお、内部不正を防ぐためにログ管理のシステムを取り入れるという考えもありますが、これは犯罪の抑止や持ち出された後の犯人特定のために効果的であるものの、持ち出しそのものを防ぐことにはならないので注意が必要です。

このような内部不正による持ち出しに対応するソリューションとして、弊社はファイル暗号化ソフト『DataClasys』をご提供しています。DataClasysで暗号化したファイルは、中身のデータをメモリ上に展開することで、ファイル自体の暗号化を解かずに閲覧・編集などの業務に必要な作業を行うことが可能です。そのため従業員は常に暗号化されたファイルを利用することとなり、仮に個人利用のPCやクラウドサービスなどにファイルを複製しても暗号化された状態で複製されます。暗号化ファイルは社内に立てたDataClasys専用サーバと定期的に接続しないと開けなくなるため、転職先や独立先にファイルを持ち出しても中身を見ることはできません。

また弊社がファイル暗号化のような「データファイルそのものにセキュリティをかける」システムをお勧めする理由の一つに、持ち出す経路によって個別のソリューションを導入する必要がないことが挙げられます。例えば今回の事案のようにシャドーITが用いられる可能性を考慮しCASBを導入したり、USBメモリーを使われる場合はデバイス制御、メール送信対策にはメールセキュリティ、SNSへのアップロード対策には・・・と、持出経路ごとに個別の対策をするのは終わりがなく、コスト面でも負担となるものです。
その点、ファイル自体にセキュリティが掛かっていれば、どのような経路でファイルを持ち出されても持ち出し先ではファイルを開くことはできず、多くのリスクから情報漏洩を防ぐことができるのです。

内部不正による情報漏洩への本気のセキュリティ対策をご検討の方は、是非DataClasysをご検討ください。

(補足)手土産転職とは

本事案のような関係者による転職時の情報持ち出しを「手土産転職」と称することもあります。手土産転職については下記のコラムにて詳しく記載しておりますので、ご興味ある方は是非こちらもご覧ください。

手土産転職」を防ぐと同時に「正当持ち出し」を許可するには?

参考

※1 元従業員の逮捕について | 株式会社MORESCO 2022年9月15日

※2 「元社員が同じような商品売ろうとしている」 化学品メーカーの企業秘密持ち出した男逮捕 兵庫県警 | 神戸新聞NEXT 2022年9月15日