技術情報の持ち出し事例から学ぶ、会社の守るべきポイントを解説
デジタルリスクが多様化する現代において、外部からのサイバー攻撃に加えて、内部からの情報漏洩、特に従業員による技術情報の持ち出しが深刻な脅威となっています。
意図的な不正行為だけでなく、端末の紛失やメールのご送信などのうっかりミスによる技術データの持ち出しも後を絶たず、会社の競争力や社会的信用を揺るがす深刻な問題です。
このコラムでは、実際に国内で起きた事例を交えながら、技術情報持ち出しの実態と対策の重要性について解説します。
目次[非表示]
技術情報の持ち出しがもたらすリスク
「技術情報の持ち出し」とは、会社の重要な財産である設計図、ソフトウェアのソースコード、ノウハウ、研究開発データなどを、許可なく外部に持ち出す行為を指します。USBメモリなどの物理的な媒体だけでなく、メール添付、クラウドサービスへのアップロード、個人のデバイスへの転送といったデジタルデータでの持ち出しも含まれます。
技術情報の持ち出しは、会社の信用失墜、ブランドイメージの低下、競合他社による悪用による製品優位性の喪失、巨額の経済的損失につながる深刻な問題です。特に、退職者が会社の重要な技術情報やノウハウを競合他社に提供する「手土産転職」は、会社の将来に大きな脅威を与えます。
「手土産転職」が引き起こす技術情報流出の実態
「手土産転職」とは、従業員が前職の機密情報や技術、顧客データなどを不正に持ち出し、転職先の会社に提供する行為を指します。転職者が在職中または退職時に行う内部不正の一種であり、競合他社への情報漏洩につながるため、会社の競争優位性の喪失、顧客からのクレーム、さらには売上の減少といった直接的な損害を引き起こします。
実際に、ある塗料メーカーの従業員が競合他社へ「手土産転職」をしたことで技術情報の流出が発生しました。転職先である競合他社が類似製品を開発・販売してしまったことで、民事訴訟の和解金と訴訟費用として約3億7200万円の特別損失を計上しています。
この事件から、技術情報の不正持ち出しが事業継続を脅かす重大な脅威となりうることがわかります。
▶ 事例から学ぶ、転職者による情報持ち出し特徴の資料を【無料】ダウンロード
機密情報が狙われる理由
機密情報が情報流出の標的になる主な理由は、高い市場価値と特許にはない独自性、さらには他社の情報を不正に入手することで自社開発よりもコストや時間を大幅に節約し、短期間で市場に参入できることにあります。
特許と機密情報の最も大きな違いは、情報を「公開」して守るか「非公開」にして守るかという点にあり、特許が技術を公開する代わりに一定期間の独占する権利を得る一方で、営業秘密は技術のノウハウや顧客リスト、市場分析データなどの特許では守りにくい情報を非公開にすることでその価値を保ちます。
このような「誰も知らない情報」は、競合他社が多額の研究開発費用をかけずに、すぐに技術やノウハウを手に入れられるため不正な競争のターゲットになりやすく、だからこそ機密情報は厳重に保護・管理されることが求められます。
不正競争防止法で守られる技術情報
こうした情報流出から会社を守るため、不正競争防止法が重要な役割を担います。
同法第2条第6項によると「営業秘密」は以下のように定義されています。
この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
つまり、以下の3つの要件をすべて満たせば、会社は不正な取得や使用から営業秘密を法的に守ることができます。
- 秘密管理性: 情報が秘密として管理されていること
- 有用性: 事業活動に有用な情報であること
- 非公知性: 一般に知られていないこと
技術情報は、これらの要件を満たす、いわゆる機密性の高い情報であることからその対象にあたります。
▶ 事例から学ぶ、転職者による情報持ち出し特徴の資料を【無料】ダウンロード
不正競争防止法における罰則と会社の対応責任
不正競争防止法に違反した場合、機密情報の侵害などに対する罰則は、国内利用目的か国外利用目的かによって異なります。
- 国内利用目的の場合(不正競争防止法第21条)
法人:最大5億円の罰金
行為者個人:10年以下の懲役もしくは2000万円以下の罰金、またはその両方
- 国外利用目的の場合(不正競争防止法第21条)
法人:最大10億円の罰金
行為者個人:10年以下の拘禁刑もしくは3000万円以下の罰金、またはその両方
会社は、情報管理体制の強化、従業員への教育徹底、退職時の誓約書締結など、組織的な再発防止策を講じる責任があります。
技術情報持ち出しの事例紹介
以下に、実際に国内で発生した事例を複数取り上げ、不正行為の手口や会社が受けた具体的な被害について見ていきます。
① 半導体メーカーの技術情報持ち出し事例
半導体メーカーの元従業員が、NAND型フラッシュメモリに関する技術情報を不正に持ち出した事例です。元従業員は、同社との提携先の従業員として共同開発に携わっていましたが、退職後の転職を有利にするため、2008年頃に機密情報をUSBメモリに複製し、競合する韓国の半導体メーカーに提供しました。
この事件は、同社が民事訴訟を提起したことで発覚し、裁判では、元従業員に対して不正競争防止法違反で懲役5年、罰金300万円の実刑判決が言い渡されました。
② 電子部品製造メーカーのタッチセンサー技術持ち出し事例
電子部品製造メーカーの従業員が、在籍していた会社のタッチセンサー技術に関する営業秘密を不正に持ち出し、競合他社の従業員にデータの画像を送信しました。
不正競争防止法違反により元従業員は逮捕され、裁判では懲役2年、罰金200万円の実刑判決が言い渡されました。
③ 化学メーカーの伝導性微粒子技術持ち出し事例
化学メーカーの元従業員がサーバーから伝導性微粒子の技術情報をUSBメモリで不正に持ち出し、中国の会社にメールで送信した事例です。もし、流出先の中国会社がこの情報を用いて製品を開発していた場合、事業に大きな影響を及ぼす恐れがあったと指摘されています。
この事件は同社の社内調査で発覚し、元従業員は懲戒解雇された後、不正競争防止法違反容疑で書類送検されました。その後、裁判では懲役2年、執行猶予4年、罰金100万円の有罪判決が言い渡されました。
デジタルリスクに備えるならエルテス
会社を取り巻くデジタルリスクは、サイバー攻撃のような外部からの脅威が注目されがちですが、従業員による情報持ち出しや誤操作といった内部からの情報流出も大きな脅威です。正規のアクセス権限を持つ人物によって行われるため、従来のセキュリティ対策ではその兆候を見つけることが難しいのが現状です。
エルテスのサービス「内部脅威検知サービス(Internal Risk Intelligence)」は、不正なデータアクセスや持ち出し、不審なメール送信を検知した時点でアラートを発し、迅速な対応を促すことで情報が広範に拡散する前に漏洩を阻止しています。この仕組みが内部不正の防止にどのように役立つか、具体的な方法をご紹介します。
メール送信ログの監視
メール送信のログからは、主に以下の観点で監視しています。
- 送信先-業務行動として問題ない送信先であるか
- 件名-業務上ふさわしいものであるか
- 添付ファイル-事前にヒアリングした機密性が高いと判断されるファイル名の定義に当てはまるか-送信先が問題ないか
Webアップロードおよびストレージサイトのログ監視
Webアップロードやストレージサイトのログでは、主に以下の情報から機密性を判断しています。
- アップロード先
- アップロードURL
- ファイル名
まとめ
このコラムで見てきたように、情報漏洩はサイバー攻撃だけでなく、従業員による持ち出しや誤操作といった内部からの不正も大きな脅威です。
エルテスは、不正持ち出しの兆候を早期に察知し未然に防ぐとともに、万が一の不正な行動を検知することで情報漏洩被害の拡大を抑制するお手伝いをします。
会社の重要な資産を守り、情報管理体制を強化するために、ぜひご相談ください。
技術情報持ち出し対策の相談はエルテスへ
