SNS、無料アプリの危険性

SNS、無料アプリの危険性

SNSで見知らぬ人物からつながりリクエスト、会社のメールアカウントからフリーメールアドレスへの送受信、会社では許可されていない無料通信アプリの利用…。日常的にありそうな光景だが、いずれも営業秘密などの情報漏洩や産業スパイに狙われるリスクをはらんでいる。

ある日とどいたつながり申請

数ヵ月前、SNSのLinkedinに届いた一件のつながり申請に目が留まった。申請者は中国の金融サービス会社の営業担当を名乗る男性。人事担当者でもなければリクルーターでもない。共通の知人もいない。面識のない彼が筆者とのつながりをリクエストする理由は何か。

筆者が完成車メーカー在職中にも、同様の申請が二度あった。どちらも「中国の自動車産業で働いている」とする女性で、一人は流暢な日本語で、もう一人は英語でアプローチしてきた。

こちらは一介のコンプライアンス担当者。車両製造の技術に明るい訳でもなく、先端技術に関する情報を持っていた訳でもない。Linkedinでのアプローチの後、「WeChatでやり取りしよう」という“お誘い”も受けた。狙いは情報か、金か、それとも…?

「弱み」と「金」と「愛国心」スパイが狙う三要素

「弱み」と「金」と「愛国心」 スパイが狙う三要素

読者の中には、化学メーカーの元社員がLinkedinで接触してきた中国の通信機器部品メーカーから情報交換の求めに応じて、自社の機密情報を漏らし、2020年10月に不正競争防止法違反容疑で大阪府警に書類送検された事件を思い出した方がいるだろう。

この事件の捜査で府警の事情聴取に対する元社員の供述が興味深い。

「中国企業から取得した技術情報を持ち帰り、社内での評価を高めたかった」※注①

元社員の犯行動機はスパイが付け入る隙を見事に表している。

「弱み」と「金」と「愛国心」。

スパイは情報提供者(エージェント)を獲得する際にこれら三つのポイントを探し、つけ込むのが常套手段だが※注②、そのうちの一つが該当している。

報道を総合すると、元社員は当時、自身の研究が上手くいっておらず、SNSで情報交換を持ちかけてきた中国企業の技術を得ることで「社内での評価」を高めたいと思ったという。スパイにすれば、低い自己評価は元社員の弱みと見えたことだろう。

元社員の功名心、SNS全盛の今風に言えば、“承認欲求”が中国企業に付け入る隙を与えたといえないか。

功名心、金銭欲が事件を生んだ

功名心、金銭欲が事件を生んだ
▲写真 ロシア通商代表部(中央奥の建物。東京都港区)筆者撮影

産業スパイ行為ではなかったが、冒頭に例示した通信会社元社員の男も逮捕前の社内調査に対し、「転職先で技術力をアピールし、幅広く活躍したいと思った」と述べ、功名心に駆られた犯行であることを語っていた。※注③

金銭欲が狙われた事件もある。2020年1月、ロシア通商代表部の外交官に接触された通信会社の元社員が通信設備の構築に関する作業手順書などを社内から不正に取得し、金と引き換えに提供した不正競争防止法違反容疑で警視庁公安部に逮捕された。

一審で有罪となった通信会社の元社員の動機は「小遣いがほしかった。現金を複数回もらった」。※注④

元社員に接触していた外交官とはロシア対外情報局(SVR)のスパイと後に報じられた。※注⑤

不審な接触のあとに、必ずすること

不審な接触のあとに、必ずすること

SNSなどを通じて不審な接触があった場合に行うルーティンがある。つながり申請者が公開している過去と現在の勤務先、出身大学・研究機関などの名前を、外国政府、国際機関、シンクタンクが公開しているデータベースに入力し、それらの名前を検索するのだ。

少しでも不審に思えば、申請者の国籍を問わず検索し、”decline”(お断り)ボタンを押す。私へのアカウントへのアクセスも当然、ブロックする。コロナ禍で会食や飲食店へ行く機会がなくなったが、以前はお店やパーティー等で知り合った人間に対しても、会話の中で相手の情報を聞き出し、帰宅してから上記のルーティンに従って調べるようにしていた。

漏洩被害は氷山の一角

漏洩被害は氷山の一角
▲出典:警察庁生活安全局生活安全対策管理官「令和元年における生活経済事犯の検挙状況等について」(2020年3月)

警察庁がまとめた営業秘密侵害事犯の検挙件数は、2016年から2019年まで20件前後で推移していた。2020年は報道ベースだが、少なくとも8事件の検挙があった。他方、同事案の相談受理件数は2013年の12件から2019年49件と増加傾向にあり、特に2017年の相談件数は72件に上った。

情報漏洩対策の9つの方法

企業にとって、営業秘密の漏洩や産業スパイの被害が対外的に明らかになれば、顧客・取引先への悪影響などが想像されることから、捜査当局への相談被害も氷山の一角と見た方が賢明だろう。以下に、営業秘密など情報漏洩対策のポイントをまとめておく。

1.営業秘密を定義し指定

知的財産や発明に関わる情報・ノウハウ、機微情報・技術も含む。非公知性※注⑥の有無がポイント。輸出管理対象となる製品・貨物とそれらに関する情報も含められることもあり得るだろう。

2.指定した営業秘密の厳重に保管・保存

電子ファイルであればパスワードロックをかけ、アクセス制限を設ける。書類・物品・貨物であれば施錠されたキャビネット等に保存し、特定の人間しか利用・閲覧できない状態に置く。

3.文書等については秘密文書であることを明示

例えば、「Top Secret」「Secret」「Confidential」「厳秘」「秘」などのラベリングをし、入手・閲覧できる人間をそれぞれ限定する。

4.製品・貨物の保管場所は施錠し監視カメラを設置

保管場所に出入りする鍵の保有者も限定する。「関係者以外立ち入り禁止」と明示し、監視カメラとセキュリティ・ゲートを設置し、出入りを記録することも有効だ。

5.電子機器の利用制限

会社のパソコンから許可なくUSBフラッシュメモリや外付けハードディスクの接続を禁じる。また外部メモリへの一切の書き込みを禁止する。

6.フリーメールアドレスへの送信の禁止

会社のパソコンおよびメールアドレスからフリーメールアドレスへの一切の送信を禁じる。送信された場合、アラームを出し、送信内容を確認できるよう、メール監査を随時実施する。

7.会社が許可しない通信アプリのダウンロードの禁止

会社支給のスマートフォンとパソコンには、会社で許可した以外の通信アプリをインストールさせない。文書ファイルを送れる通信アプリには特に注意する。

8.社内ネットワーク接続ログの監視

外部メモリの接続・書き込み、秘密文書の印刷、添付送信が認められた場合には、メール監査等、調査を行う。

9.知財や技術の発明者、貢献者の把握

定年退職や転職をした発明者・貢献者の所属先を把握しておく。知財データベース等を活用し、営業秘密が新たな発明に利用されていないか随時チェックする。

以上がすべてではないが、経済産業省のハンドブック等を参考に9項目列挙した。これ以外にも、営業秘密や機微技術・情報を多く扱う企業にあっては独自の、厳重な秘密情報保護の取り組みをしていることだろう。

アクセス権保有者のチェック

社内ネットワークへの接続状況や外部へのメール送信の監視活動は、ツール・インフラの話に過ぎない。営業秘密等を守るためには、ツール・インフラ上に現れるアクセス権を持った人の行動に目を光らせることも必要だ。

秘密情報にアクセスできる社員・幹部は、他企業や外国政府に情報を持ち出す可能性はないかー。その可能性を探るのが、拙稿「カウンター・インテリジェンス 産学に求められる、経済安全保障対策」でも書いたバックグラウンド・チェックだ。国籍等による差別意識をいたずらに煽るつもりはない。しかし、秘密情報を守る上で無防備さ、無邪気さは敵である。

※注
①日本経済新聞 2020年10月14日付朝刊
②米国の作家・編集者Craig Ungerは近著で、旧ソ連のKGBは、虚栄心と自己陶酔感が強く、強欲でお世辞に弱い人間が秘密工作の協力者(”asset”)として操りやすいと、元KGBのスパイの話を基に指摘している。Craig Unger, “American Kompromat”(2021年)を参照。
③読売新聞 2021年1月30日付朝刊
④日本経済新聞 2020年1月28日付朝刊
⑤日本経済新聞 2020年2月15日夕刊
⑥非公知性とは、公然と知られておらず保有者の管理下以外では一般に入手できないことを指す。第三者が偶然同じ情報を開発して保有していた場合でも、当該第三者も当該情報を秘密として管理していれば、非公知といえる。経済産業省知的財産政策室『秘密情報の保護・活用について』(2019年6月)を参照。

関連記事

CIO(最高情報責任者)の設置を 経済安全保障におけるその利点

「海外子会社・グループ会社で不正が起きているのではないか」「海外拠点からの内部通報が少ないが、問題をちゃんと把握できているのか」。企業の担当者からこのような相談をしばしば受ける。その解決策の一つとして、チーフ・インテリジェンス・オフィサー(CIO、最高情報責任者)のポスト新設を提案したい。CIOの機能は経済安全保障のリスクを見極める上でも有効と考えられる。

組織風土とは その重要性・改革のポイント等を解説

最近、「組織風土に問題がある」、「組織風土を変えたい」という言葉を企業経営者から聞く機会が増えてきた。「人的資本経営」の重要性が唱えられている中、優秀な人材が定着し成長できる職場環境として、組織風土は大変重要である。本稿では、組織風土の重要性と改革ポイントについて解説する。

品質不正多発の三菱電機に学ぶ、あるべき不正撲滅方法

三菱電機の品質不正が止まらない。2021年7月に35年以上に渡る品質不正が公表された。調査を進める中で不正の関与拠点、件数が膨らみ、直近の報告では実に150件近い不正が認定されている。一方で、当社に限らず不正そのものの発生や再発は止まらない。再発防止策がなぜ機能しないのか、当社の取り組みを題材にあるべき再発防止策について解説する。

ランキング記事

1

CIO(最高情報責任者)の設置を 経済安全保障におけるその利点

「海外子会社・グループ会社で不正が起きているのではないか」「海外拠点からの内部通報が少ないが、問題をちゃんと把握できているのか」。企業の担当者からこのような相談をしばしば受ける。その解決策の一つとして、チーフ・インテリジェンス・オフィサー(CIO、最高情報責任者)のポスト新設を提案したい。CIOの機能は経済安全保障のリスクを見極める上でも有効と考えられる。

2

「隠れユニコーン」をさがせ

日本にはユニコーン(時価総額が10億ドル以上の未上場企業)が少ない。しかし、米国でもシリコンバレー以外にはユニコーンはほとんどない。日本では東証がシリコンバレーと同様の機能を果たしてきており、「隠れユニコーン」が存在している。ユニコーン待望論は、本質的には大きな意味がない。

3

アリババは国有化されていくのか

アリババグループの金融・オンライン決済部門のアント・グループ(前アント・ファイナンス)は、2020年11月に予定されていた上場が延期され、そのまま現在に至っている。ジャック・マー氏の中国金融政策への批判発言から端を発し、アリババは金融業に限らず様々な制限が加えられていると報道されている。この記事では、アリババの現状とともに、中国のモバイル小口決済について考察したい。

4

品質不正多発の三菱電機に学ぶ、あるべき不正撲滅方法

三菱電機の品質不正が止まらない。2021年7月に35年以上に渡る品質不正が公表された。調査を進める中で不正の関与拠点、件数が膨らみ、直近の報告では実に150件近い不正が認定されている。一方で、当社に限らず不正そのものの発生や再発は止まらない。再発防止策がなぜ機能しないのか、当社の取り組みを題材にあるべき再発防止策について解説する。

5

進む地方銀行の持株会社体制への移行

経営統合によらない地方銀行の持株会社体制への移行が増えている。銀行法改正による後押しを受けて、地域の課題に向き合いながら、事業の多角化を進めやすくして収益拡大を図るのが狙いであるが、果たして中長期的な企業価値向上に資する事業ポートフォリオの構築は進むのだろうか。

人気のキーワード

海外スタートアップ情報はこちら!  寄稿・執筆者募集中