SNS、無料アプリの危険性

SNS、無料アプリの危険性

SNSで見知らぬ人物からつながりリクエスト、会社のメールアカウントからフリーメールアドレスへの送受信、会社では許可されていない無料通信アプリの利用…。日常的にありそうな光景だが、いずれも営業秘密などの情報漏洩や産業スパイに狙われるリスクをはらんでいる。

ある日とどいたつながり申請

数ヵ月前、SNSのLinkedinに届いた一件のつながり申請に目が留まった。申請者は中国の金融サービス会社の営業担当を名乗る男性。人事担当者でもなければリクルーターでもない。共通の知人もいない。面識のない彼が筆者とのつながりをリクエストする理由は何か。

筆者が完成車メーカー在職中にも、同様の申請が二度あった。どちらも「中国の自動車産業で働いている」とする女性で、一人は流暢な日本語で、もう一人は英語でアプローチしてきた。

こちらは一介のコンプライアンス担当者。車両製造の技術に明るい訳でもなく、先端技術に関する情報を持っていた訳でもない。Linkedinでのアプローチの後、「WeChatでやり取りしよう」という“お誘い”も受けた。狙いは情報か、金か、それとも…?

「弱み」と「金」と「愛国心」スパイが狙う三要素

「弱み」と「金」と「愛国心」 スパイが狙う三要素

読者の中には、化学メーカーの元社員がLinkedinで接触してきた中国の通信機器部品メーカーから情報交換の求めに応じて、自社の機密情報を漏らし、2020年10月に不正競争防止法違反容疑で大阪府警に書類送検された事件を思い出した方がいるだろう。

この事件の捜査で府警の事情聴取に対する元社員の供述が興味深い。

「中国企業から取得した技術情報を持ち帰り、社内での評価を高めたかった」※注①

元社員の犯行動機はスパイが付け入る隙を見事に表している。

「弱み」と「金」と「愛国心」。

スパイは情報提供者(エージェント)を獲得する際にこれら三つのポイントを探し、つけ込むのが常套手段だが※注②、そのうちの一つが該当している。

報道を総合すると、元社員は当時、自身の研究が上手くいっておらず、SNSで情報交換を持ちかけてきた中国企業の技術を得ることで「社内での評価」を高めたいと思ったという。スパイにすれば、低い自己評価は元社員の弱みと見えたことだろう。

元社員の功名心、SNS全盛の今風に言えば、“承認欲求”が中国企業に付け入る隙を与えたといえないか。

功名心、金銭欲が事件を生んだ

功名心、金銭欲が事件を生んだ
▲写真 ロシア通商代表部(中央奥の建物。東京都港区)筆者撮影

産業スパイ行為ではなかったが、冒頭に例示した通信会社元社員の男も逮捕前の社内調査に対し、「転職先で技術力をアピールし、幅広く活躍したいと思った」と述べ、功名心に駆られた犯行であることを語っていた。※注③

金銭欲が狙われた事件もある。2020年1月、ロシア通商代表部の外交官に接触された通信会社の元社員が通信設備の構築に関する作業手順書などを社内から不正に取得し、金と引き換えに提供した不正競争防止法違反容疑で警視庁公安部に逮捕された。

一審で有罪となった通信会社の元社員の動機は「小遣いがほしかった。現金を複数回もらった」。※注④

元社員に接触していた外交官とはロシア対外情報局(SVR)のスパイと後に報じられた。※注⑤

不審な接触のあとに、必ずすること

不審な接触のあとに、必ずすること

SNSなどを通じて不審な接触があった場合に行うルーティンがある。つながり申請者が公開している過去と現在の勤務先、出身大学・研究機関などの名前を、外国政府、国際機関、シンクタンクが公開しているデータベースに入力し、それらの名前を検索するのだ。

少しでも不審に思えば、申請者の国籍を問わず検索し、”decline”(お断り)ボタンを押す。私へのアカウントへのアクセスも当然、ブロックする。コロナ禍で会食や飲食店へ行く機会がなくなったが、以前はお店やパーティー等で知り合った人間に対しても、会話の中で相手の情報を聞き出し、帰宅してから上記のルーティンに従って調べるようにしていた。

漏洩被害は氷山の一角

漏洩被害は氷山の一角
▲出典:警察庁生活安全局生活安全対策管理官「令和元年における生活経済事犯の検挙状況等について」(2020年3月)

警察庁がまとめた営業秘密侵害事犯の検挙件数は、2016年から2019年まで20件前後で推移していた。2020年は報道ベースだが、少なくとも8事件の検挙があった。他方、同事案の相談受理件数は2013年の12件から2019年49件と増加傾向にあり、特に2017年の相談件数は72件に上った。

情報漏洩対策の9つの方法

企業にとって、営業秘密の漏洩や産業スパイの被害が対外的に明らかになれば、顧客・取引先への悪影響などが想像されることから、捜査当局への相談被害も氷山の一角と見た方が賢明だろう。以下に、営業秘密など情報漏洩対策のポイントをまとめておく。

1.営業秘密を定義し指定

知的財産や発明に関わる情報・ノウハウ、機微情報・技術も含む。非公知性※注⑥の有無がポイント。輸出管理対象となる製品・貨物とそれらに関する情報も含められることもあり得るだろう。

2.指定した営業秘密の厳重に保管・保存

電子ファイルであればパスワードロックをかけ、アクセス制限を設ける。書類・物品・貨物であれば施錠されたキャビネット等に保存し、特定の人間しか利用・閲覧できない状態に置く。

3.文書等については秘密文書であることを明示

例えば、「Top Secret」「Secret」「Confidential」「厳秘」「秘」などのラベリングをし、入手・閲覧できる人間をそれぞれ限定する。

4.製品・貨物の保管場所は施錠し監視カメラを設置

保管場所に出入りする鍵の保有者も限定する。「関係者以外立ち入り禁止」と明示し、監視カメラとセキュリティ・ゲートを設置し、出入りを記録することも有効だ。

5.電子機器の利用制限

会社のパソコンから許可なくUSBフラッシュメモリや外付けハードディスクの接続を禁じる。また外部メモリへの一切の書き込みを禁止する。

6.フリーメールアドレスへの送信の禁止

会社のパソコンおよびメールアドレスからフリーメールアドレスへの一切の送信を禁じる。送信された場合、アラームを出し、送信内容を確認できるよう、メール監査を随時実施する。

7.会社が許可しない通信アプリのダウンロードの禁止

会社支給のスマートフォンとパソコンには、会社で許可した以外の通信アプリをインストールさせない。文書ファイルを送れる通信アプリには特に注意する。

8.社内ネットワーク接続ログの監視

外部メモリの接続・書き込み、秘密文書の印刷、添付送信が認められた場合には、メール監査等、調査を行う。

9.知財や技術の発明者、貢献者の把握

定年退職や転職をした発明者・貢献者の所属先を把握しておく。知財データベース等を活用し、営業秘密が新たな発明に利用されていないか随時チェックする。

以上がすべてではないが、経済産業省のハンドブック等を参考に9項目列挙した。これ以外にも、営業秘密や機微技術・情報を多く扱う企業にあっては独自の、厳重な秘密情報保護の取り組みをしていることだろう。

アクセス権保有者のチェック

社内ネットワークへの接続状況や外部へのメール送信の監視活動は、ツール・インフラの話に過ぎない。営業秘密等を守るためには、ツール・インフラ上に現れるアクセス権を持った人の行動に目を光らせることも必要だ。

秘密情報にアクセスできる社員・幹部は、他企業や外国政府に情報を持ち出す可能性はないかー。その可能性を探るのが、拙稿「カウンター・インテリジェンス 産学に求められる、経済安全保障対策」でも書いたバックグラウンド・チェックだ。国籍等による差別意識をいたずらに煽るつもりはない。しかし、秘密情報を守る上で無防備さ、無邪気さは敵である。

※注
①日本経済新聞 2020年10月14日付朝刊
②米国の作家・編集者Craig Ungerは近著で、旧ソ連のKGBは、虚栄心と自己陶酔感が強く、強欲でお世辞に弱い人間が秘密工作の協力者(”asset”)として操りやすいと、元KGBのスパイの話を基に指摘している。Craig Unger, “American Kompromat”(2021年)を参照。
③読売新聞 2021年1月30日付朝刊
④日本経済新聞 2020年1月28日付朝刊
⑤日本経済新聞 2020年2月15日夕刊
⑥非公知性とは、公然と知られておらず保有者の管理下以外では一般に入手できないことを指す。第三者が偶然同じ情報を開発して保有していた場合でも、当該第三者も当該情報を秘密として管理していれば、非公知といえる。経済産業省知的財産政策室『秘密情報の保護・活用について』(2019年6月)を参照。

関連記事

変わる「独立社外取締役」の役割 コーポレートガバナンス・コードの改定を踏まえ

2021年春にコーポレートガバナンスコード(CGコード)の改定が予定されている。2022年4月の東証市場区分の見直しを踏まえ、以下、プライム市場において取締役会の3分の1以上の選任が求められる「独立社外取締役」の役割を中心に、どのような点に留意してゆく必要があるかを確認する。

「東証1部」がなくなる? 東証新市場とコーポレート・ガバナンス向上

東京証券取引所の新市場への移行が、2022年の4月に迫っている。「東証1部」「東証2部」という慣れ親しんだ呼称は1年後にはなくなり、「プライム」「スタンダード」「グロース」各市場に再編。最上位市場に当たるプライム市場を目指す企業には厳格なコーポレート・ガバナンスの基準が適用される。市場改革の背景と移行に向けたスケジュール、対応について解説する。

コロナ禍に倒産は減った

2020年の倒産件数(負債総額1千万円以上)は、7,773件と前年比7.2%減少した。コロナ禍ではあるが、金融機関における「つなぎ融資」が盛んに行われており、2000年以降で最低、約30年ぶりという低水準となった。しかし、コロナ禍が長期化する中で、融資先の業績に目をつぶり続ける事に、限界も出てきている。筆者としては2021年度後半くらいから、融資先の「見極め」が本格化するのではないかと予想する。

ランキング記事

1

「クララが立った!」を英訳せよ

「クララが立った!」の翻訳は容易ではない。『アルプスの少女ハイジ』を知らない国の人に、「Clara stood up !」や「克拉拉站着!」と直訳しても意味を成さない。言葉には様々な意味や記号が埋められている。それは、年代、国、民族、言語で大きく異なるからだ。

2

閉店相次ぐ銀座 コロナ禍で商業施設苦境に

東京の代表的な商業地である銀座で、店舗の閉店が増えつつある。メインストリートの「中央通り」から中に入った通りでは、閉店した店舗が目立ち、中央通りに立地するビルでも空室が散見される。

3

リカーリングビジネスはサブスクリプションとどう違う? 新しい収益モデルを解説

従来の商品やサービスを売ったら終わりの「買い切り型」モデルとは異なるビジネスモデルが目立ちます。 そのなかのひとつが「リカーリング」です。リカーリング型のビジネスには様々なメリットやデメリットがあります。 本記事では、リカーリングのメリット・デメリットや、サブスクリプションとの違いについて、具体例を挙げながら解説します。

4

内部統制報告制度「J-SOX法」とは? なぜできたのか?

企業における内部統制は、様々な業務が適正に行われ、組織が適切にコントロールされているかどうかをチェックすることを指しますが、その中でも事業年度ごとの財務報告の内部統制について定めているのが、J-SOX法(内部統制報告制度)と呼ばれる制度です。 J-SOX法は、事業年度ごとに公認会計士ないしは監査法人の監査を受けた内部統制報告書と有価証券報告書とともに内閣総理大臣へ提出することが義務付けられています。 また違反した場合は、金融商品取引法に「(責任者は)5年以下の懲役または500万円以下の罰金またはその両方(法人の場合は5億円以下の罰金)」と罰則が定められています。 しかし、結果的に企業の内部統制を強化し、不正会計などのリスクを減らすことができるため、J-SOX法は企業にとってもメリットのある制度と言えます。 この記事では、J-SOX法の解説のほか、ITシステムに関する「IT統制」についても解説しています。企業の監査部門や、内部統制に関する部署で働いている方は、ぜひ参考にしてください。

5

パワー半導体の世界シェアは?注目市場の今後の動向を解説

パワー半導体(パワートランジスタ)は、家電や電気自動車をはじめとして、さまざまなデバイスの電源管理に使われています。 多くの分野で需要が伸びており、長期的な成長が期待できるマーケットです。 日本の企業や大学発ベンチャーが競争力を保っている分野でもあり、「パワー半導体強国」として世界市場でのシェアを獲得するべく、積極的に研究開発を行っています。 本記事では、世界規模で成長をつづけるパワー半導体の市場規模や、今後の展望を解説します。

人気のキーワード

海外スタートアップ情報はこちら!  寄稿・執筆者募集中