新聞報道だけで断定はできない

　2021年1月の新聞報道で、ソフトバンクから楽天に転職した従業員にからんだ情報漏えいと疑われる事件が発生した。嫌疑は、営業機密を同業ライバル企業に不正に受け渡したとされる「不正競争防止法」違反だ。

　本件で持ち出されたとされる情報が、5Gや基地局に関するものだっただけに、憶測をふんだんに交えたやや飛ばし気味の記事も見かける。おそらく、中国製通信機器のバックドア問題や中国千人計画に連動した人材・知財流出が話題になっているため、ニュースにもなりやすかったのだろう。

　社会的な視点でこの事件を追うもの良いが、企業として注目すべきはそこではない。多くの企業は事件を受けて「これからは産業スパイ対策で、求人・離職を厳しくチェックし、業務規則も制限しよう」と考えるのではないだろうか。もちろん必要な対処だが、監視や規則を強化しても問題の解決にはならない可能性を指摘したい。

　リスクマネジメントにおいて、インシデントの防止はルールや規則だけでは不十分とされる。エラーや不正をさせない仕組みや環境、さらには当事者のリテラシーやスキルと多角的な対策が必要だ。

対策は監視だけ強化しても無意味

　本稿では、内部犯行から営業機密をどう守ればいいのか、対策と対応についてフォーカスする。特定のスキャンダラスな事例につられて安易な対策強化、規制の強化に走ると、おかしな議論や対策が蔓延しかねないからだ。

　では、どんな点に注意すべきで、どんな対策を検討すれば良いのだろうか。実は、今回の事件でソフトバンクが発表した対応にはいくつかのヒントが含まれており、参考になる。同社のリリース発表によれば、以下を実施したとある。


　まず、退職予定者のアクセス制御強化とある。従前からも既定はあったはずだが、現実には一律の運用は難しい。業務内容やタイミングによっては、退職日まで作業が必要なこともある。その上での、既定の見直しは有効だろう。しかし、退職予定者のアカウントを事前に停止・制限するなら、業務や権限の引き継ぎなどの整備が必要だ。

　単に予定者のアカウント制限を強化したところで、現場のプロセスが対応していなければ混乱するだけだ。業務規則やセキュリティでありがちなのは、守れない規制を強化することで不正行為、規則破りのリスクを広げることだ。

　監視システムの導入についても同様なことが言える。ログ監視、トラフィック監視ソリューションの導入は、それだけでは意味がない。システムが上げてくるアラームやレポートを分析・評価する体制なり人員が重要なのであって、監視だけ強化してもアラートが埋もれるだけで、異常の早期発見につながらない。

【次ページ】規制や監視強化の前に考えるべきこと