元ソフトバンク社員の機密情報持ち出しから考える内部不正対策 【意外と多い内部不正による情報流出】
2021年1月12日に元ソフトバンク社員が「不正競争防止法違反」で逮捕されました。
逮捕された理由としては、退職申告後にソフトバンク社の営業秘密を不正に持ち出した容疑です。驚くことに持ち出した情報は5G関連の技術情報であり転職先は楽天モバイルだったのです。
フィクションの世界でしか聞いたことのないような事例です。しかし、どの業界でも同業他社への転職などよくある事ではないでしょうか。つまり、このような内部不正的な機密情報の持ち出しはどの組織・企業でもあり得ることなのです。
今回の事例では個人情報などではありませんでしたが個人情報などを持ち出して不正利用も実際に起きています。気づいていないだけですでに自組織でも発生しているかもしれません。では、このような内部不正による情報漏洩・流出はどのように防いでいけばよいのでしょうか。
※一緒に読んで欲しい記事
他人事じゃない!!三井住友銀行(SMBC)のソースコード流出から考える情報モラルや社内の規則の大切さ!
元ソフトバンク社員の機密情報持ち出し事件の詳細を確認
逮捕された人物は逮捕時は楽天モバイル社員の男であり、ソフトバンク社では携帯電話基地局の設置工事業務などに従事していたそうです。警視庁は楽天モバイル側から容疑者に対してスムーズな転職条件として営業秘密の不正持ち出しの支持があり計画的に営業秘密の持ち出しが行われたと見ているとのことです。
容疑者の自宅、楽天モバイルから押収したPCを解析し、約170のファイルを30回にわたり持ち出されて痕跡が確認されています。
退職当日に容疑者の自宅からソフトバンク社のテレワーク用のシステムを通じてクラウドサービスに接続。営業秘密を含むファイルを自分のフリーメールアドレス宛に添付し送信を行い情報の持ち出しを行っている。つまり退職前に集中的に特定の情報を収集しており計画的である言わざる負えません。
また、容疑者はサーバーへの正規のアクセス権限を持っており、尚且つ営業秘密のファイルのパスワードを知る立場にあったとのことです。
持ち出された情報として具体的には次のような報道がされています。
- 4G/5Gの基地局(マンション・私有地など)の設置場所
- 伝送網構築の工期短縮、設計コスト削減に関わる資料
- NTT設置の光ファイバー回線網
【時系列】
| 日時 | 出来事 |
| 2019年11月下旬 | 容疑者がソフトバンク社に退職を申告。 |
| 同年11月下旬~12月31日 | 容疑者がソフトバンク社の営業秘密を約30回にわたり持ち出し。 |
| 同年12月31日 | 容疑者がソフトバンク社退職。 |
| 同日 | 容疑者が自宅パソコンからソフトバンク社のサーバーにアクセスし、5G関連のファイルを含む営業秘密を自分のフリーアドレス宛に送信。 |
| 2020年1月1日 | 容疑者が楽天モバイルに入社。 |
| 同年2月 | ソフトバンク社が容疑者の元社用PCから営業秘密を送信した痕跡を確認。 |
| 同年3月 | ソフトバンク社が警視庁へ被害相談。再発防止策を順次実施 |
| 同年8月 | 警視庁が容疑者の自宅、楽天モバイルを家宅捜索。 |
| 2021年1月12日 | 警視庁が不正競争防止法違反の容疑で逮捕。 |
| 同日 | ソフトバンク社が元従業員の逮捕を発表。 |
| 同日 |
楽天モバイルが従業員の逮捕を発表。 |
【ソフトバンク社の見解】
楽天モバイル業務PC内に持ち出された営業秘密が保管されており既に何らかの形で利用されている可能性が高い。
ソフトバンク社は容疑者の逮捕発表とともに、楽天モバイルに対して営業秘密の利用停止と破棄を求める民事訴訟を提起する方針であり、容疑者への損害賠償請求も検討しているとのこと。
ソフトバンク社プレス発表
・楽天モバイルへ転職した元従業員の逮捕について(外部サイトに移動します。)
【楽天モバイルの見解】
営業秘密の自社(楽天モバイル内)業務利用は確認されておらず、当該秘密に5Gに関連する技術情報は含まれていない。
楽天モバイルプレス発表
・従業員の逮捕について(外部サイトに移動します。)
内部不正について考える
昨今、サイバー犯罪による情報漏洩に関する情報を多く耳に・目にすることが増えてきました。
しかし、それ以上にセキュリティ系のニュースサイト等を見ていると内部不正による情報漏洩も多く目にします。
ある調査では情報漏洩の原因の3分の2が内部不正によるものであるという物もあります。それにもかかわらず以外に対策をしっかり行っていない組織・企業が多いような気がします。
故意にしろ偶然にしろ、情報漏洩の原因は内部の人間によって起こされていると理解し対応をしていかなければいけなのです。自分の組織・企業では内容不正による情報漏洩を防ぐような対策を行っているでしょうか??
今回の元ソフトバンク社員の情報持ち出し事件も認識の甘さによって起きた事ではないでしょうか。
今回の元ソフトバンク社員の情報持ち出し事件の問題点
まず、今回の事件のソフトバンク社の問題点としては「退職者の管理不備」ではないでしょうか。従業員との秘密保持契約書(NDA)を入社時に締結する組織・企業は多いと思います。もちろん、ソフトバンク社も容疑者と秘密保持契約書は結んでいたようです。しかし、秘密保持契約はどこまで行っても性善説にたった対応でしかありません。
その他にも
- 退職日までサーバーにアクセスが可能であること
- メールでデータを外部に持ち出すことが出来ること
- 自宅PCからアクセスすることが出来ること
- 退職申請したにもファイルのパスワードが変更されていなかったこと
- 適切なログ管理がなされていないこと
など多くの問題点が存在しています。
いずれの問題点も秘密保持契約を結んでいるという事で完全に油断していたと言わざるおえないでしょう。
内部不正が起きてしまう理由は??
内部不正が起こる要因として有名なのが「人的要因」と「技術的要因」です。
【人的要因】
組織体制や人事評価に対する従業員の不満、過剰なノルマへのプレッシャーなど、内部不正を行う動機や、不正を正当化する理由が顕在化しているケースが該当します。
IPA(独立行政法人情報処理推進)が2015年に行った調査では内部不正のきっかけを作ってしまう要因として、「不当だと思う解雇通告を受けた」34.2%、「給与や賞与に不満がある」23.2%、「社内の人事評価に不満がある」22.7%と、処遇や人事評価に関する項目ほど回答数が高い傾向にありました。
このような不満が社内から聞こえてくる場合、内部不正が起こりやすくなっていると言えます。
つまりは、復讐・逆恨み的な内部不正が発生しやすくなります。
【技術的要因】
不正を起こすことが技術的に不可能なセキュリティが構築できていないケースが該当します。具体的には、権限を持たない従業員や派遣社員、オンサイトの委託社員が重要な情報に簡単にアクセスできてしまう場合は、内部不正が起きるリスクが高いと言えます。
また、「内部不正をしても見つからない、隠すことができる環境」の場合も該当します。エラーが吐き出されてもログなどが記録されておらず追跡できないといった状況です。このような状況であることが従業員に認知された場合、内部不正が起こる確率が高まります。
また、アメリカの組織犯罪研究家のドナルド・R・クレッシーによると内部不正は「動機・プレッシャー」「機会」「正当化」の3要因がそろった際に発生すると言われています。
【動機・プレッシャー】
不正行為を行うに至ったきっかけや原因
(例)人事・処遇への不満、金銭的な問題がある、高いノルマを課されたことへの不満やプレッシャー、など
【機会】
不正が簡単にできてしまう環境
(例)情報管理のルールがない、システムへの管理権限がある、ログ管理の体制が整っていない、情報を持ち出せる環境にある、など
【正当化】
自分勝手な理由づけや勝手な解釈、責任転嫁をすること
(例)正当に評価されない、自分の境遇は会社が悪いと思う
内部不正に対する対策
内部不正を防ぐには前述した「人的要因」「技術的要因」そして「動機・プレッシャー」「機会」「正当化」といった要因を低減することが近道といえます。その為には具体的にどのような対策・行動を行えば良いのか見ていきましょう。
情報管理に関するルールの作成・厳罰化
内部不正が発生した組織・企業の多くは情報管理に関するルールが存在しない・罰則がないといったものです。
まずは、情報を扱う際にどのような事に注意しなければいけないかを明確にしておく必要があります。そして、ルールに違反した場合の罰則規定を設ける事で一定の抑止になります。
具体的にはUSBの使用制限やメールの添付ファイルの制限、外部のクラウドサービスへのアップロードなどの制限に関するルールを作成しておく必要があるでしょう。
そして、違反している人間を見つけた場合の報告体制も整える事が出来ればなお良いでしょう。
情報を扱う人間を限定的にする
情報セキュリティ教育を行い、情報管理に関するテストなどを行い情報権限のレベル分けを行うことも重要になります。
情報権限を厳格に管理することにより誰がどのような情報にアクセスできるのか、アクセスしているのかを管理することが可能になります。
組織・企業の環境を改善する
組織・企業に対する従業員の不満を改善し、より働きやすい環境を提供することが重要になります。
人事評価や業務配分の見直し、ハラスメントに対応する相談窓口の設置、組織内・部署内のコミュニケーションの活性化を促すなど、組織が円滑に回るように対処することが重要です。
内部不正チェックシートを使用する
IPA(独立行政法人情報処理推進)が「内部不正による情報セキュリティインシデント実態調査-調査報告書-」において「内部不正チェックシート」を公表しています。このチェックシートを活用して自分の組織における内部不正対策の足りない場合を確認することが重要でしょう。
脆弱性の洗い出しは情報セキュリティ対策の初歩になっています。
※IPA 組織における内部不正防止ガイドライン(外部サイトに移動します。)
退職時の手続きを明確化
今回発生した元ソフトバンク社員の情報持ち出し事件に関して言及するのであれば退職の申告がなされた際から内部情報に対するアクセス権限の降格など重要情報を持ち出すことのできないような手続きを行わなければいけなったでしょう。
他にもパソコンやスマホなど貸し出ししていた情報端末の回収を行い退職完了までにログ解析などを行い情報の持ち出しがされていないかの確認する必要があります。
まとめ
今回の元ソフトバンク社員の情報持ち出し事件は非常に悪質な内部不正と言えるでしょう。そしてこのレベルの内部不正は多くは無いはずです。
しかし、小さな内部不正は多く起きており他人事ではありません。情報漏洩の3分の2は内部不正が原因です。しかし、内部不正に対する対策を行う組織・企業は多くありません。情報セキュリティに対する現状をしっかり把握し適切に対応することが健全な経営活動につながります。
内部不正が起こる=組織・企業の内部環境が良くないのかもしれません。
従業員がより働きやすい環境を構築して内部不正を防いでいきましょう。
