「企業における営業秘密管理に関する実態調査2024」 から読み解く内部情報漏洩の深刻化
近年、企業の競争力を支える重要な資産である「営業秘密」が流出する事件が相次いでいます。2025年8月に独立行政法人情報処理推進機構(IPA)が公表した「企業における営業秘密管理に関する実態調査2024」(以下IPAの実態調査)では、日本企業が直面している情報漏洩の実態と課題が示されています。
このコラムでは、IPA調査データとエルテスが実施した2つの独自調査をもとに、内部から起こる情報漏洩の実態を、専門的な視点から解説します。
営業秘密に関する漏洩事象35.5% 前回比で約7倍増加し高額損害も拡大
本文を進める前に留意すべきことがあります。
IPAの実態調査において、2020年の同調査(企業における営業秘密管理に関する実態調査2020)との比較を行う場面がありますが、2020年と2024年の両調査は、調査方法や調査対象が異なることで、傾向が異なって表現されている恐れがあります。そのため、比較結果が実際のトレンドとは異なる可能性があることをご留意ください。
まず、IPA調査で特に注目すべきなのは、営業秘密の情報漏洩が決して珍しい出来事ではなくなっているという事実です。
過去5年以内で「明らかに情報漏洩事例と思われる事象」または「おそらく情報漏洩ではないかと思われる事象」があったとする企業は、全体の35.5%にのぼりました。前回調査(2020年度)の5.2%から約7倍まで増加しており、多くの企業が何らかの情報漏洩リスクに直面していることが分かります。
内部不正は、従業員の振る舞いを過去に遡って分析しなければ、不正の事実を知ることは困難です。
2020年の調査においては、おそらく不正があったとしても事実を発見する意識や技術的な方策がなかったものが、2024年には発見する術を手に入れ結果につながったことを示していると考えられます。それでも、見込みを含めても35.5%にとどまっていると考えられます。
この内訳をみると、企業規模にも大きく関連があり、売上高1000億円以上の中堅、大企業においては約半数が内部不正を把握していた反面、小規模企業では、内部不正の可能性を13.3%が把握しており、86.7%は実際に内部不正が発生していないか、発見することができていないと言えます。
このように、内部不正を発見する状況にあるかは、企業規模にも依存しています。
【エルテス見解】
内部不正は、従業員の振る舞いを過去に遡って分析しなければ、不正の事実を知ることは困難です。2020年の調査においては、おそらく不正があったとしても事実を発見する意識や技術的な方策がなかったものが、2024年には発見する術を手に入れ結果につながったことを示していると考えられます。
それでも、見込みを含めても35.5%にとどまっていると考えられます。この内訳をみると、企業規模にも大きく関連があり、売上高1000億円以上の中堅、大企業においては約半数が内部不正を把握していた反面、小規模企業では、内部不正の可能性を13.3%が把握しており、86.7%は実際に内部不正が発生していないか、発見することができていないと言えます。このように、内部不正を発見する状況にあるかは、企業規模にも依存しています。
さらに、漏洩による推定損害額を見ると、「10億円以上」と回答した企業が前回調査の0%から30.0%へと大幅に跳ね上がっています。
2020年の調査においては、ほぼ内部不正に関する被害についての損害算定額が算定できていない状況だったようです。
2024年の調査では、内部不正の被害への解像度が急速に上がり精緻化が進んだようです。それには、ランサムウェア含めサイバー攻撃による被害の損害算定が一般的になったことも影響しているのでは、と思います。
【エルテス見解】
2020年の調査においては、ほぼ内部不正に関する被害についての損害算定額が算定できていない状況だったようです。2024年の調査では、内部不正の被害への解像度が急速に上がり精緻化が進んだようです。それには、ランサムウェア含めサイバー攻撃による被害の損害算定が一般的になったことも影響しているのでは、と思います。
漏洩した営業秘密情報の上位に顧客情報
漏洩した情報の種類については、事業ノウハウの流出ともに上位に位置するのが顧客情報で、漏洩を確認した全体の60.1%が確認をしています。退職時に顧客情報を持ち出すなど「手土産転職」のような事例が問題視されています。
引用:IPA「企業における営業秘密管理に関する実態調査2024」
エルテスが2025年10月に転職経験者を対象に実施した「転職時の情報管理アンケート調査」においても同様の傾向にあり、顧客の持ち出しは最も多い割合を占めています。その理由は「転職先で業務に活用するため(29.8%)」「引き継ぎが不十分で必要と判断(28.1%)」など、明確な意図を伴うものが中心でした。
漏洩した情報を見ると、企業の知的財産として深刻なものが多く、特に顧客情報については取引先として第三者情報となることから、事業としても企業の信頼性としても深刻な被害につながります。
「手土産転職」というトレンドワードのようにカジュアルなものではなく、こうした行為は企業によって大きな損害につながることは理解する必要があると思います。
【エルテス見解】
漏洩した情報を見ると、企業の知的財産として深刻なものが多く、特に顧客情報については取引先として第三者情報となることから、事業としても企業の信頼性としても深刻な被害につながります。
「手土産転職」というトレンドワードのようにカジュアルなものではなく、こうした行為は企業によって大きな損害につながることは理解する必要があると思います。
▶ 事例から学ぶ、転職者による情報持ち出しの特徴を【無料】ダウンロード
営業秘密漏洩は外部だけでなく内部要因が上位
漏洩のルートを見ると、「外部からのサイバー攻撃」が36.6%で最多となっています。しかし、続く上位には「現職従業員等によるルール不徹底(32.6%)」「金銭目的等の具体的な動機をもった漏洩(31.5%)」「誤操作・誤認(25.4%)」と、内部要因が上位を占めています。
引用:IPA「企業における営業秘密管理に関する実態調査2024」
この傾向は、エルテスが2025年10月に転職経験者を対象に実施した「転職時の情報管理アンケート調査」でも言えます、調査では、約20%(約5人に1人)が退職時に前職の情報を持ち出した経験があると回答しました。
また、IPAの実態調査では漏洩を経験した回答者のうち33.6%が「内部不正に起因するルート」と「外部に起因するルート」の両方を選択している点も注目すべき点です。
引用:IPA「企業における営業秘密管理に関する実態調査2024」
つまり、多くの企業では、外部攻撃と内部脅威が単独で存在しているのではなく、相互に関連しながら複合的にリスクを形成している可能性があると言えます。
外部脅威と内部脅威の連携は、今に始まったことではありません。組織内の人間の悪意・過失が内部不正と呼ばれるものですが、人為的なミスやサイバー攻撃によりコンピュータが乗っ取られたような事態は、内部に存在する脅威として認知されています。
これまで、この二つを分断して考えがちでしたが、内部不正調査を行う過程で外部脅威との関わりは頻繁に遭遇しますので、両者は綿密に絡んでいると考えるべきです。
エルテスが提供する内部脅威検知サービスでは、サイバー攻撃によりマルウェアを仕込まれた環境で、情報の流出を人間が作業したものか否かなど、お客様の取得されているログの内容にもよりますが、実態を調査することが可能です。
【エルテス見解】
外部脅威と内部脅威の連携は、今に始まったことではありません。組織内の人間の悪意・過失が内部不正と呼ばれるものですが、人為的なミスやサイバー攻撃によりコンピュータが乗っ取られたような事態は、内部に存在する脅威として認知されています。これまで、この二つを分断して考えがちでしたが、内部不正調査を行う過程で外部脅威との関わりは頻繁に遭遇しますので、両者は綿密に絡んでいると考えるべきです。
エルテスが提供する内部脅威検知サービスでは、サイバー攻撃によりマルウェアを仕込まれた環境で、情報の流出を人間が作業したものか否かなど、お客様の取得されているログの内容にもよりますが、実態を調査することが可能です。
内部不正の背景にある業務負荷と経営層の認識ギャップ
内部不正はなぜ発生するのでしょうか。
IPAの調査では、現場から「少ない人数で業務を回している(39.5%)」「同じ仕事・業務を同じ人が長く続けている(36.8%)」といった業務上の負荷や、「人間関係、上司や会社への恨みが大きい(21.2%)」といった個人的要因が挙げられました。
引用:IPA「企業における営業秘密管理に関する実態調査2024」
一方で、同じ質問に対して経営層の45.1%は「当てはまるものはないと思う」と回答しています。
引用:IPA「企業における営業秘密管理に関する実態調査2024」
この認識のずれが、問題の見落としにつながる可能性があります。
当社は契約いただいている企業の従業員の振る舞いから、不正に至る兆しを捉える取り組みをしています。
サービス提供をする過程で、好ましくない行動を検知することがありますが、その後の調査は人事や社労士、弁護士の方が対応されていますので、私たちは詳細に触れることはありませんので、動機に関しては知る術はありません。
しかし、不正のトライアングルを構成する「動機」、「機会」、「正当化」の各要素に、多忙や慣れ、恨みといったものは当てはまります。
【エルテス見解】
当社は契約いただいている企業の従業員の振る舞いから、不正に至る兆しを捉える取り組みをしています。サービス提供をする過程で、好ましくない行動を検知することがありますが、その後の調査は人事や社労士、弁護士の方が対応されていますので、私たちは詳細に触れることはありませんので、動機に関しては知る術はありません。
しかし、不正のトライアングルを構成する「動機」、「機会」、「正当化」の各要素に、多忙や慣れ、恨みといったものは当てはまります。
【関連記事】不正のトライアングルとは?企業の内部不正に繋がる要因と対策を解説
従業員にルール遵守を徹底することは大きな課題
営業秘密の漏洩を防ぐうえで問題になるのは、リソース問題、技術対策問題に加えて、ルール遵守の問題が挙げられており、最も対策が困難とされています。
引用:IPA「企業における営業秘密管理に関する実態調査2024」
また、この調査を裏打ちするように、エルテスの調査においても「社内規則として明確に定められ、運用もされていた」と回答した人であっても、17.4%が営業秘密情報を持ち出しした経験があるとしています。ルールがあるだけでは抑止力として不十分であり、「手土産転職」は防ぎきれないことが分かります。
情報セキュリティにおいて「人間が一番の脆弱性」といわれるように、従業員のモラルを高める取り組みをしても、それだけで情報の持ち出しを止めることは困難です。情報の重要度に合わせたアクセス制御や漏洩検知など技術的な対策を合わせて対策することが必要です。
【エルテス見解】
情報セキュリティにおいて「人間が一番の脆弱性」といわれるように、従業員のモラルを高める取り組みをしても、それだけで情報の持ち出しを止めることは困難です。情報の重要度に合わせたアクセス制御や漏洩検知など技術的な対策を合わせて対策することが必要です。
情報漏洩経路として、ITリソースの制限は限定的
情報漏洩は、メールやUSBメモリのように様々な経路で行われます。そして、新たな技術である「生成AI」の業務利用についてもリスクが潜んでいます。
IPA調査によると、生成AIの業務利用について何らかのルールを定めている企業は52.0%に上りますが、自社のルールについて「わからない」と回答した人が34.5%も存在し、さらに「ルールはなく、自由に利用できる」と回答した人が13.1%存在しています。
引用:IPA「企業における営業秘密管理に関する実態調査2024」
パブリックに公開されている生成AIに営業秘密を入力することで、その情報を学習してしまうことが懸念されています。学習されてしまうと、入力した営業秘密情報が他の利用者へ開示されてしまう可能性があります。
また、エルテスが2026年2月に会社員や公務員を対象とした「情報管理に関する調査」では、約25%の企業で「情報アクセスに規制が設けられていない」ことが判明しました。
また、約8人に1人が「制限なく情報を持ち出せる環境」にあると回答しています。
このように、情報の持ち出しを制限しておらず内部不正を抑止できていない組織が散見されます。
当社が提供する内部脅威検知サービスにおいても、情報持ち出しをしている情報を収集する過程で、クラウドストレージやメールサービス、リムーバブルメディア等へのアクセスが把握できていますが、昨今ではAIのプロンプトとしてファイルがアップロードされることも頻繁にあります。
ゼロトラストセキュリティの利用が広がる中、組織内外のリソースの判断が難しくなっていますので、情報漏洩につながる情報の流れは各組織で把握すべきだと思います。
【エルテス見解】
当社が提供する内部脅威検知サービスにおいても、情報持ち出しをしている情報を収集する過程で、クラウドストレージやメールサービス、リムーバブルメディア等へのアクセスが把握できていますが、昨今ではAIのプロンプトとしてファイルがアップロードされることも頻繁にあります。
ゼロトラストセキュリティの利用が広がる中、組織内外のリソースの判断が難しくなっていますので、情報漏洩につながる情報の流れは各組織で把握すべきだと思います。
まとめ
今回は、IPAの実態調査の重要なポイントと、それに関連するエルテス調査の内容を組み合わせ、エルテスのIRI事業部の責任者のコメントを交えた記事としてみました。
それぞれのレポートをお読みいただくことで、様々なトレンドを把握することができます。営業秘密という企業にとっての生命線の価値を考えると、情報漏洩、内部不正に対する対策を進めていただくことをお勧めいたします。
エルテスは、10年を超える内部不正対策の経験とノウハウがあります。対策について課題がございましたら、お気軽にお問合せいただけると幸いです。
