序章 – 内部不正とは何か

サイバー攻撃と聞くと外部のハッカーやマルウェアを思い浮かべがちだが、情報漏えいの要因は外部からの攻撃だけではない。企業内部にいる従業員や派遣社員、取引先による「内部不正」が重大な被害をもたらすケースが増えている。情報セキュリティ白書2025は、雇用や人材の流動化、AIなど新興技術の急速な発展、国家間・企業間の技術競争の激化などが背景にあると指摘し、営業秘密や個人情報の漏えいリスクが高まっていることを明らかにしている。

内部不正による情報漏えいには、退職者が機密情報を持ち出して競合他社に転職するケースや、現職従業員が金銭目的で取引先情報を漏えいするケース、ルールを知らないことによる誤操作や誤送信など、さまざまなパターンが存在する。本記事では、実態調査の結果や具体的な事例を踏まえ、内部不正の脅威を整理するとともに、組織が取り組むべき防止策を解説する。

1. 営業秘密漏えいの実態 – 実態調査から見る現状

IPAが2024年に実施した「企業における営業秘密管理に関する実態調査」では、1,200人の回答者のうち426人(35.5%)が過去5年間に営業秘密の漏えいや漏えいと思われる事例があったと回答した。回答の内訳では、明らかに情報漏えい事例と思われるものが複数回あったと回答した人が12.5%(150人)、1度あったと回答した人が10.7%(128人)、情報漏えい事例はないと回答した人が54.8%(658人)で、9.7%(116人)が「わからない・認識できない」と答えている。これらの数字から、営業秘密の漏えいは決して珍しい事象ではなく、約3分の1の企業が何らかの漏えいを経験していることがわかる。

1.1 漏えいルート別の分析

漏えいがどのようなルートで発生したかを尋ねた結果では、外部からのサイバー攻撃等によるネットワーク侵入に起因する漏えいが最多となったものの、現職従業員等によるルール不徹底や誤操作など内部要因が続いている。中途退職者や契約満了後の派遣社員による漏えい、定年退職者による漏えいも一定数あり、内部者の持ち出しが漏えいの大きな割合を占めていることが示されている。図1-2-19の統計では、内部不正に起因する漏えいルートを赤枠で示し、外部に起因するルートを青枠で示しており、内部者による漏えいが無視できない割合を占めることが視覚的に理解できる。

また、回答者を漏えいルートの選択で分類した図1-2-20によると、内部不正に起因する漏えいルートのみを選択した者が146人(34.3%)、外部に起因する漏えいルートのみを選択した者が80人(18.8%)、両方を選択した者が143人(33.6%)、わからない・その他を選択した者が57人(13.4%)であった。この結果からも、内部不正が情報漏えいの重要な要因となっていることが分かる。

1.2 上場企業の個人情報漏えい事故から見る内部不正

企業が保有する個人情報の漏えいに着目すると、東京商工リサーチが実施した「2024年『上場企業の個人情報漏えい・紛失事故』調査」では、2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故が189件あり、そのうちウイルス感染・不正アクセスが原因の事故が114件(60.3%)を占めた。一方、内部不正に相当する「誤表示・誤送信」が41件(21.6%)、「不正持ち出し」が12件(6.3%)であり、この2つを合わせると全体の28.0%に上っている。この統計は、外部攻撃だけでなく内部の操作ミスや不正行為が情報漏えいの大きな原因であることを改めて示している。

2. 内部不正の具体的な事例と手口

内部不正にはさまざまな動機と手口が存在する。白書では、技術情報や顧客情報が漏えいした事例を表1-2-9としてまとめている。ここでは、その中から代表的な事例を紹介する。

2.1 機密技術の国外持ち出し – Google元従業員によるAI秘密漏えい

2024年3月、米国でGoogle LLCの中国籍元従業員が、AIに関する機密情報を不正に持ち出したとして起訴された。報道によると、500ファイル以上の技術情報を在職中に個人アカウントのクラウドにアップロードし、中国の関連企業に渡した疑いがある。技術競争が激化する中、企業間の産業スパイ活動が活発化しており、外国籍の内部者が海外へ情報を漏えいする事例は他にも報告されている。グローバル企業にとっては、多国籍従業員のアクセス管理や監視の強化が急務となっている。

2.2 学術機関における誤送信 – 筑波大学の教員によるメール誤転送

2024年6月、筑波大学の教員が校務用メールアドレスから私用メールアドレスにメールを転送する際、宛先を誤って第三者のメールアドレスに指定してしまい、約1年にわたり約1万件(うち個人情報等が記載された約1,200件)のメールを誤送信し続けていたことが判明した。この事例は、悪意のない誤操作であっても長期間気付かれずに情報漏えいが継続することを示しており、教育機関や研究機関でも情報取り扱いのルール徹底が必要であることを教えている。

2.3 退職者による顧客情報の不正持ち出し – 東急リバブルのケース

2024年8月、東急リバブル株式会社の従業員が退職し競合他社へ転職する際、社内資料に記載された不動産登記簿に基づく顧客情報を不正に持ち出し、その一部を転職先でダイレクトメールの送付に使用したことが発覚した。当該従業員は退職時に機密保持誓約書を提出していたにもかかわらず不正持ち出しを行っており、企業における機密保持契約の運用や退職手続きの厳格化が求められる。

2.4 技術情報の持ち出し – TDKと伊福精密の事件

TDK株式会社の従業員が営業秘密にあたる電子部品の開発や材料などに関する情報を社用メールから私用メールへ送信し、不正に持ち出していたことが退職後の社内調査で発覚した。また、金属加工会社の伊福精密株式会社の従業員は、退職前に業務用サーバーから記録媒体にコピーして約6,500件の技術情報を持ち出し、後に同業他社へ転職していた。これらの事件は、技術情報の漏えいが企業の競争力に直結すること、退職者が競合他社で漏えいした情報を利用するリスクが高いことを示している。

2.5 研究データの国外提供 – 産業技術総合研究所の元研究員

2025年2月、国立研究開発法人産業技術総合研究所の元研究員が有罪判決を受けた。この研究員は在職中に営業秘密にあたるフッ素化合物に関する研究データを、自身の妻が代表を務める中国企業に漏えいしていたことが明らかになり、2023年に逮捕されていた。研究機関においても商業的価値の高い研究データが標的となること、内部者の関与が大きいことを再認識させる事例である。

3. 内部不正の手口 – 誰が、どうやって情報を持ち出すのか

内部不正による情報漏えいの手口は多岐にわたる。白書は、社用メールから私用メールへの送信、社内PCからUSBメモリ等の記録媒体へのコピー、個人クラウドへのアップロード、誤送信・誤操作などが典型的であると指摘している。また、ルールを知らなかったり守らなかったりすることで、意図せずに漏えいを引き起こすケースも多い。退職者や転職者が競合他社で以前の会社の情報を利用する動機としては、業務上のノウハウの活用、競争優位性の獲得、金銭的な利益などが挙げられる。

不正持ち出しは、主に以下の手段で行われる。

  • メール送信
    • 社用メールから個人メールアドレスに機密情報を送り、自宅等で閲覧する。送信先を誤って第三者に送ってしまう場合もある。
  • 外部記録媒体へのコピー
    • USBメモリや外付けハードディスクにデータをコピーして持ち出す。物理的に持ち出しやすく、発覚しにくい。
  • クラウドストレージへのアップロード
    • DropboxやGoogle Driveなどの個人アカウントに機密データをアップロードする。アクセス制御が不十分な場合、第三者が閲覧できるリスクがある。
  • 印刷物の持ち出し
    • 紙に印刷して持ち出すことで、デジタル監視をすり抜ける。
  • 誤送信・誤操作
    • メールアドレスの誤入力やファイルの誤添付など、無意識のミスによって機密情報が漏れる。

4. 内部不正を防ぐための対策

内部不正対策には、組織体制・教育面の対策、職場環境の改善、技術的対策の三つの観点からアプローチする必要がある。白書では、表1-2-10として具体的な対策例を挙げている。以下に主なポイントを整理する。

4.1 組織体制・教育面

  1. 情報取り扱いポリシーの策定
    • 企業は情報の重要度や取り扱い方法を分類し、役職や担当部署ごとに具体的なルールを定める。特に営業秘密や個人情報をどの範囲の人間が扱えるかを明確にし、責任者を指定する。
  2. 対応体制の整備
    • 組織内に情報管理者やコンプライアンス担当者を配置し、情報漏えいが発生した場合の対応フローを整備する。また、就業規則や社内規程に守秘義務や競業避止義務を規定する。競業避止義務は職業選択の自由を侵害しない範囲で適切に設定しなければならない。
  3. 教育・研修
    • 社員や派遣社員、役員に対して定期的に情報取り扱いに関する研修を実施し、ルールを周知徹底する。特に退職時には機密保持契約の重要性や罰則を説明し、不正持ち出しの抑止に努める。

4.2 職場環境の整備

  1. 適正な評価制度とモチベーション管理
    • 公平な人事評価や適正な労働環境、良好なコミュニケーションを実現することで、従業員の不満や不正動機を低減する。職場でのストレスや不公平感が不正行為につながることもあるため、人材のケアが重要である。
  2. 退職時手続きの強化
    • 退職者が社内資料や情報資産を持ち出さないよう、退職手続き時のチェックリストや返却項目を明確にし、退職者が保有するデジタル資産を確認する。また、退職後も競業避止義務や守秘義務があることを通知し、違反時の法的措置を理解させる。

4.3 技術的対策

  1. アクセス権限の管理
    • 業務や役職に応じてアクセス権限を細分化し、最小権限の原則を徹底する。機密情報へのアクセスは必要なユーザーに限定し、共用アカウントを廃止する。
  2. ログ監視と検知
    • システム操作履歴やデータ出力ログを記録し、異常なアクセスや大容量データのコピーを検知する仕組みを導入する。特にファイルサーバーやメールサーバーのログを分析し、不審な挙動を早期に察知する。
  3. 物理的セキュリティと媒体管理
    • 入退室管理や監視カメラを設置し、USBメモリなどの記録媒体の使用を制限する。重要情報は暗号化や持ち出し禁止設定を施し、不正コピーを防ぐ。データ廃棄時には完全消去や物理破壊を行い、退職者が持ち出せないようにする。
  4. データ漏えい防止(DLP)システムの導入
    • 機密情報を含むメールやファイルの送信を検知し、転送をブロックするDLPツールを活用する。特定のキーワードやファイル形式を監視し、情報の外部流出を自動的に防ぐ。

4.4 法規制と罰則の理解

内部不正は企業だけでなく、関与した個人にも法的な罰則が科せられる。営業秘密の漏えいは不正競争防止法による刑事罰の対象となり、個人情報漏えいは個人情報保護法による行政罰の対象となる。さらに、日本国外の法規制が適用される場合もある。従業員に対して法的リスクや企業の社会的信用の失墜、競争優位性喪失の重大性を教育し、コンプライアンス意識を高めることが重要である。

5. まとめ – 経営課題としての内部不正防止

内部不正による情報漏えいは、企業の信頼と競争力を一瞬で失わせるリスクがある。実態調査では、企業の約3分の1が営業秘密の漏えいまたは漏えいと思われる事例を経験しており、上場企業における個人情報漏えい事故の28%が誤送信や不正持ち出しといった内部不正に起因していることが示された。これらの数字は、外部攻撃への対策だけでなく、内部のガバナンスと従業員教育を強化することが不可欠であることを物語っている。

内部不正を防ぐためには、経営者が情報セキュリティを経営課題として位置付け、組織横断的な体制を整えることが必要だ。適切な情報取り扱いポリシーの策定、退職者管理、ログ監視やDLPの導入に加え、従業員のモチベーションや職場環境の改善も重要である。内部者の不満や軽率なミスを減らすことで、漏えいリスクを根本から抑えることができる。IPAは「組織における内部不正防止ガイドライン」を公開し、具体的な実施手順やチェックリストを提供している。企業はこうしたガイドを活用し、内部不正防止の取り組みを継続的に改善していくべきだ。

最後に、内部不正対策は一度導入すれば終わりというものではない。情報技術や働き方が変化する中で、新たなリスクや手口が登場する。定期的なリスク評価と施策の見直し、従業員への啓発を続けることで、企業は長期的に機密情報と顧客データを守り、社会からの信頼を維持することができる。内部不正防止を企業文化の一部として定着させることが、デジタルトランスフォーメーション時代の競争力の源泉となるだろう。