あなたの会社のITセキュリティーは大丈夫? 情報流出・隠ぺい・改ざんから守れ!

創業手帳

デジタルフォレンジックの日本第一人者が明かす、情報資産の保護対策と対処法

Fotolia_86246341_S

(2015/07/09更新)

最近は業務業態に関わらずパソコンが各自に配布され、日々の情報交換から機密情報まで電子メールや電子データで保存されるようになりました。

企業活力向上の視点からダイバーシティー化が求められており、パソコンを積極的に活用することは非常に重要な事です。

しかし、電子データで保存・管理することはこれまで以上に企業が持つ情報資産は「情報流出」、「情報隠ぺい」、「情報改ざん」などのリスクに晒されることになります。

最近では、年金機構の情報流出、少し前では、大手企業の顧客情報の流出が記憶に新しいかと思います。

会社の秘密情報も個人情報と同様に簡単に複製され、特許、実用新案、商標、著作などの権利を保護する前にアイデアを使用されて事業継続ができなくなるという事態も起こり得ます。

では、どんな対策があるのでしょうか?

日本でいち早くデジタルフォレンジックに取り組んでいらっしゃる行政書士の石川裕也先生に伺いました。

本文を読む

被害を防ぐには予防が1番!!まずは「規則」で対策しよう

伝統的な情報漏洩防止対策として、労働契約書を適切に活用することによる社内規則就業規則等の充実があります。
規則が充実していない場合、規則の法的なセキュリティーを充実すべきであると思います。

社会保険などに加入しているが、雇用の一番の入り口である労働契約書がないという事業所は多く拝見致します。

この背景には社会保険には入りたいと社員側から希望されて社会保険を注力するものの、会社のセキュリティーという意味に当たる労働契約書や就業規則がおざなりになっているケースが非常に多いです。

昨今のIT活用の日常化した中で、変化に対応しきれていない事業所が非常に多く、そこを狙って不法行為を行うという組織や個人が増えています。

他人事ではありません!中小企業でも実際に起こっています
実際にあった事例では、ある会社A社(社員三十名程度)で、役員と数名の社員が立て続けに離職、離職者たちでA社と同業種でB社を設立して、B社の元役員と元職員が根こそぎ持っていったA社の顧客情報を使用して営業を開始してしまいました。

長年取引をしていた顧客からのA社へ連絡が入り、判明することができたため、労働契約違反と就業規則違反で支払った数千万の退職金の返還と、元役員が同業を今後行わないことで決着がつけることができました。

A社の顧客情報を使用した証拠には、元役員が持ち出し禁止となっていたパソコン内の情報をインターネット経由、および印刷、デジタルデバイスの利用により持ち出したことを電子鑑識デジタルフォレンジック)し、証拠を掴み確定へと持ち込みました。

しかし、デジタルフォレンジックを利用するにも、証拠を会社にとってのリスク防止や軽減につなげる労働契約書や就業規則があることが大前提となります。

最近は個人情報保護の意識も高まっているため、取り扱いに気を付けている事業所が多いのですが、実効性が現実にあるリスクに対応しきれていないことが非常に多いです。

IT活用を進めることは非常に重要有用である事は間違いありませんが、IT活用を進める前に人的な教育またはコンプライアンスに関しての情報共有、さらには根本的な雇用するための契約規則等を備えておくことが、今後IT活用し、ダイバーシティ化が進む状況下で重要になるでしょう。

では、実際に被害が出てしまった場合は、どうすればいいのでしょう?

被害が出てしまったら…「デジタルフォレンジック」の活用

実際流出が確定的になってしまった場合や、複製物が自社以外で利用されていた場合どうしたらいいのでしょうか。

自社が開発した技術等は特許を取っておくことで防衛ができます、それ以外にも特許に至らないものであれば実用新案、意匠登録等を活用することによって知的財産の防衛が可能になります。

しかし、これらの情報もコンピューターで管理されていることが非常に多くなっています。

紙媒体のみで保存、保管されていた時代には紙自体を持ち出すということによって情報を盗むということが多かったかもしれません。

現在と比べればかなりわかりやすい状態であるため、現在では当たり前になっている監視カメラの設置などで紙を盗むことを防ぐことが容易であったと考えられます。

しかし現在の情報流出の多くはフリーメール外部記憶装置(USBメモリーなど)、スマートフォンなどのデジタルデバイスを使うことにより情報を抜き取ることが行われています。

フリーメールを利用された場合等はどの経路で情報が漏洩されたのか盗まれたのかということを確定することが非常に困難となっています。なぜならばデジタルデバイスには膨大な情報が記録されており、その中から必要な情報を見つけることは砂漠からダイヤを探すくらい困難になります。

フリーメールを利用したこと、コンピューター上のデータを印刷したこと、外部記憶装置にデータをコピーしたという情報を消去することによって、いつ、誰が、何をやったということがわからないようにするという事は容易に想像できるでしょう。

このような痕跡をなくす方法によって横領や協業会社への不当な情報提供が行われていることもあります。

デジタルフォレンジックの活用により、膨大な情報から痕跡を探し出し、また必要に応じてデータを復旧しパソコンに残された情報を調査することで、いつ、誰が、何をやったのか、消去された情報を復旧して調査することにより情報漏洩や産業スパイを行ったことを明らかにすることが可能となります。

昨年、国税庁税務調査においてデジタルフォレンジックを利用していることを発表しましたが、まだまだ国内でデジタルフォレンジックの認知度は低いのが現状です。

日本ではデジタルフォレンジング等が裁判の証拠として活用されている事例は少ないですが、社内のセクハラ、パワハラ等のメールでのやり取りが消され、表に出ない状態なっているケースや横領に関してのやりとりをメールで使用して行われていたことが証拠として使われるようになってきています。

社員の業務管理情報管理としては、コンピューターを経由するものが非常に多くなっています。

伝統的な法律による管理新しいITの技術を批評したセキュリティー対策をしていく事は、今後の情報化社会となっていくであろう状況下において、事業継続における優先順位の高いものとなる事は間違いないと考えられます。

【関連記事】作っただけじゃ終われない!「就業規則」作成と届出や周知の手続き

(監修:徳川綜合法務事務所 行政書士 石川裕也
(編集:創業手帳編集部)

創業手帳

カテゴリーから記事を探す