企業に求められる
対応策とは
では、企業はどのような対応策を検討すべきだろうか。
筆者は、民間において多くの情報漏洩事案を調査してきたほか、スパイ対策としての情報管理のアドバイス経験から、以下、予防(Preventive Control)、発見・検知(Detective Control)、制御(Collective Control)の三つのフェーズに分けて、いくつか例を挙げて簡易的ではあるが解説する。
(1)予防
<手口の理解>
まず手口を理解する。手口を理解しなければ防ぎようがない。人ごとと考えることなく真剣に手口を学ぶ必要がある。
<保有する情報の把握・評価・管理体制整備>
自社が保有する情報を把握し、機微度合いを評価し、評価に応じた区分分け(ラベリング)をし、区分に応じた適切な管理体制を整備する必要がある。
また、自社が保有する情報が、競合相手にとっては思わぬ価値がある場合が考えられる。競合他社からの評価も踏まえたラベリングが必要である。
ちなみに、情報の区分分け、管理体制の整備が不十分であると、情報漏洩事案が発生した際に、不正競争防止法が適用できずに泣き寝入りせざるを得ない可能性が生じる。
不正競争防止法では、(1)秘密管理性(組織内で“秘密”として管理されている)、(2)有用性、(3)非公知性――を満たす必要がある。企業の事情により(1)を満たしていない場合が多々あるため、捜査機関が同法の適用を断念するケースが少なくないのが実情だ。
<保有情報のアクセス権管理>
情報をラベリングした後に、アクセス権を細かく管理する。
アクセス権を付与する際には、アクセス権を付与する対象社員に潜むリスクを可視化・分析し、アクセス権付与の是非や範囲を決めるといったスクリーニングを行うことが必須だ。
さらに、アクセス権の更新時(継続管理時)においても同様の観点でスクリーニングを行う必要があるが、付与するアクセス権の機微度に応じて期間や項目を設定すべきである。
ちなみに、産業技術総合研究所の情報漏洩事件については、アクセス権を付与するときと継続管理するとき、その二つの場面でスクリーニングが機能していなかった。
アクセス権の観点で言えば、本事件では、被疑者が派遣社員の女性に虚偽の事情を伝え、IDやパスワードの情報を聞き出したというソーシャルエンジニアリング(個人を操り、情報やデータへのアクセスを可能にしたり漏洩させたりする手法)の類いの手口が使われたが、生体認証などにより防ぐ手段もある。
<対策の明示=抑止力効果>
企業として対策を徹底している旨を明示する。企業の姿勢を明らかにすることで、産業スパイなどは心理的に強い抵抗感を覚える。自社ホームページや広報活動において対策を徹底している旨を示すことで、一定の効果が望めるだろう。
