2021年5月27日開催「関係者の不正行為による情報漏洩対策」セミナーレポート

5月27日に株式会社DataClasys主催による「関係者の不正行為による情報漏洩を防止する3つのポイントとは」と題し、最近になって頻発している中途退職者による機密情報の不正持出しへの対策セミナーを開催しました。
以下は当セミナーの開催レポートです。

関係者の不正行為への対策が難しいワケ

今年3月18日にIPAより発表された「企業における営業秘密管理に関する実態調査2020」を見ると、関係者による情報漏洩が他に比べて割合を大きく占めていることが分かります。その中でも「中途退職者(役員・正規社員)による漏えい」が増加傾向にあります。
またその一方で過去の関係者による情報漏洩事件は、多額の和解金や損害額、解決まで長い期間を要しています。

このことから、関係者の不正行為による情報漏洩は、企業にとって非常に大きな脅威となっていることが分かります。

しかしこのような関係者の不正行為が持つ二つの特徴の影響で、対策が非常に難しく、多くの企業が被害に遭っています。

  • 内部事情を知った関係者であるが故、対策が難しい
  • 業務に精通している関係者であるが故、被害や影響が大きい

関係者の不正行為へ対策するためにまず始めに行うこと

犯罪心理学者のクレッシーによる「内部関係者が不正行為に至る3つの要因」では、「動機」「正当性」「機会」が関係者の不正行為の要因とされており、それらを無くすことが根本対策となります。具体的には「職場環境の改善」による動機の消失、「コンプライアンスの整備」による正当性の消失、「セキュリティ対策」による機会の消失です。

その中で「職場環境の改善」「コンプライアンスの整備」はどちらも大掛かりな取り組みとなります。そのため、「セキュリティ対策」が取り掛かりやすく効果の即効性も期待できる対策のため、最初に取り掛かるべき活動です。そして数あるセキュリティ対策の中でも、特に「情報そのものを守る」対策が不正行為による情報漏洩の機会を無くす根本的な対策となります。

「情報そのものを守る」3つのポイント

この「情報そのものを守る」3つポイントとして「区分け」「暗号化」「操作制御」を挙げました。

まずは「区分け」とは情報の整理と棚卸のことです。どのような情報があるのか、どのレベルの漏洩対策が必要なのかなどの軸で組織内の情報を棚卸します。

次に情報を「暗号化」することで万が一の流出に備えます。暗号化された情報が流出したとしても、不正に取得した第三者では読み取ることができないために、情報の不正利用を防ぎます。

最後の「操作制御」は部署や役職などの職制、役割に応じた権限設定を行います。情報漏洩に繋がる操作を極力禁止することで、関係者による不正行為を防止します。

この3つのポイントを踏まえて、情報セキュリティ分野の「Need To Knowの原則」「最小権限の原則」という二つの原則に沿った対策を行います。
そしてこの章の最後として、不正競争防止法の「営業秘密」として認められるためのポイントとして重要な「秘密管理性」に関する説明を行いこの章を結びました。
(参考:コラム『「特許」「営業秘密」による知的財産の保護について』

DRM/IRMによる不正行為対策とDataClasys

デジタルコンテンツの著作権管理から派生したDRM/IRMと呼ばれる技術は、「ファイル単位の暗号化」「ユーザの認証」「機密ファイルへの操作制御」の3つの基本機能で情報そのものを守り、関係者による不正行為を防止します。

DRM/IRMソリューションの一つであるDataClasysは、あらゆるファイルを暗号化できる点、操作性を変えずに情報漏洩を防止する点、職制や役割に応じて柔軟に権限設定が可能な点が高い評価に繋がり、多くのお客様への導入実績があります。

対策の難しい関係者の不正行為は、業界を問わずに多くの組織を脅かす脅威となっています。その対策として最初に取り掛かることは「情報そのものを守る」ことです。
DataClasysによる情報漏洩対策は、関係者の不正行為などのあらゆる脅威から情報を守ります。情報漏洩対策に不安を感じている方は、ぜひ一度ご検討ください。