東芝、情報流出事件

今年の3月に東芝と業務提携の関係にあったサンディスクの社員が、東芝から技術情報を盗み出し、それを手土産に韓国SKハイニックスに役員待遇で転職した、という事件が報じられたことは、記憶に新しいと思います。

同時期に同じ会社に転職していた技術者がいたため、その技術者から通報があり、それをきっかけに全容が解明し、情報を持ち出した社員は不正競争防止法違反で逮捕され、東芝が韓国SKハイニックスに損害賠償請求を提起するという顛末になりました。

情報漏えい、情報流出の多くの動機は、身勝手なもの

東芝情報流出事件の動機は、降格処分に対して「見返してやろうと思った」

東芝のケースは、社員がサンディスクで降格処分になったために「見返してやろうと思った」という動機で情報流出を行ったとも報道されています。つまりは、個人的な身勝手な動機から情報を持ち出したというものです。

情報漏えい、情報流出が故意に行われる場合、多くは、こうした身勝手な動機によるものです。

三菱UFJ証券顧客情報漏えい事件の動機は、キャバクラの借金

2009年1月に、三菱UFJ証券のシステム部部長代理が、同社の顧客情報149万人分、企業情報122万件分をCD-ROMにコピーして、それを名簿業者に35万円で販売し、最終的に4社に転売されていた、という事件がありました。

システム部部長代理という地位にあるが故に、会社のデータベースにアクセス権を持っていたので、そのアクセス権を悪用した。
しかも、部長代理であるということで、自らはデータのコピーを行わずに、派遣社員に命じて行っていた。

システム部部長代理という、本来ならデータベースを管理しなければならない立場の者が、情報漏えいを行っていたという意味では、衝撃的な事件でした。また、会社側の損害は70億円以上であった、とも報道されています。

この事件の動機もまた「キャバクラの借金が500万円を超えていた」という自分勝手なものでした。
もっと言うと、システム部部長代理としてのストレスが溜まり、そのストレスを解消するためにキャバクラに通い詰めてしまい、その結果、借金が膨らんでしまった、というものでした。

ストレス解消方法なら他にもあっただろうに・・。
結局、この件では、システム部部長代理は2年の実刑判決を受けました。

産業スパイは、年月をかけて信頼関係を作り出す

産業スパイの罰則強化の動き

以上は、自社あるいは提携先の従業員による情報流出、情報漏えいのケースです。
これに対して「産業スパイ」と呼ばれる者による情報流出も存在します。

産業スパイは、当初から会社の技術情報を盗み出すことを目的で入社し、年月をかけて会社と信頼関係を築き上げたふりをして、最後に技術情報を盗み出すとともに会社を退職して姿を隠します。

映画の中の世界だけかと思われるかもしれませんが、現実に何件も発生しています。

そのため、日本でも産業スパイの罰則を強化しようという動きがあります。

「政府は6月に決める「知的財産推進計画2014」の原案をまとめた。企業の営業秘密を不正に漏らした産業スパイへの罰則(最高1千万円の罰金か10年以下の懲役あるいは併科)を強化し、被害者の告訴がなくても提訴できる「非親告罪」にする。来年の通常国会に関連法案を提出する。」(日本経済新聞2014年5月19日朝刊より)

アメリカIBM産業スパイ事件

古くは、1982年に発生した、日立製作所・三菱電機の社員らによるアメリカIBM産業スパイ事件が有名です。
日立、三菱電機の社員ら6人が、アメリカIBMから機密情報を盗み出そうとして、FBIに逮捕された、という事件です。

こちらのWebサイトで詳細が説明されています。

「電子産業史 1982年:IBM産業スパイ事件」

中国人の産業スパイ/ヤマザキマザック事件

最近発生した産業スパイ事件としては、ヤマザキマザック事件が存在します。

2006年4月に日本の大学を卒業した中国人が、ヤマザキマザックに入社した後、社内の営業部員に工作機械の性能などを説明する販売部営業係に配属されて業務に従事していました。
この中国人が、2012年3月12日に、中国にいる父の体調が悪いとして退職を申し出ました。
ちなみに、本当に、この中国人の父の体調が悪かったのかどうかはわかっていません。

この中国人は、退職を申し出た3月12日の直前直後である2012年1月から3月19日にかけて、軍事転用も可能な、ヤマザキマザックの工作機械の設計図面や販売情報をサーバーから大量にコピーし始めました。

それを不審に思った同僚が社内で通報し、情報流出が発覚。
3月16日に所轄の警察に相談、19日に本社と中国人の自宅に捜索が行われ、出国予定日として計画していた3月26日の翌3月27日に逮捕されました(今年の2月3日から刑事裁判が始まったということまでは報道されていましたが、その後どうなったかは不明です)。

この事件が産業スパイであるとしたら、入社から6年をかけて信頼関係を築き上げたところで、情報を不正に取得して、その直後に退職しようとしていた、ということがわかります。要するに、産業スパイとしての目的を達成するために、6年もの年月を費やした、ということです。

会社がとるべき対策は

東芝情報流出事件、三菱UFJ証券事件、ヤマザキマザック事件、いずれも情報漏えいが発覚したのは、機密情報、技術情報への短期間での大量アクセス、大量コピーのログ(電子上の記録)が残っていたこと、パソコンのIPアドレスがわかったこと、でした。

なお、ヤマザキマザック事件では、中国人は、特定のパソコンから情報にアクセスした足跡を残さないため、IPアドレスを変えるとの偽装もしていたと報じられています。

この結果からわかるのは、社内にシステム部があるような会社では、特定の機密情報、技術情報へのアクセスが急増していないか、情報のコピーが急増していないかをチェックする、もし急増が確認できたとしたら従業員にその理由を確認する(システム部から上司に報告をする。上司がグルな可能性もあるので、その場合も想定して複数の上司に報告するのがベターです)。
こうした仕組み作りをしておくことが、会社がとるべき対策だろう、と考えます。