2024年5月21日(火) 13:30~14:30に開催されたセミナーをコラム化した記事です。アーカイブセミナー本編では、本コラムでは記載していない「質問回答＆パネルディスカッション」も収録していますので、是非お申し込みください。

「企業の不正調査実務とフォレンジック」シリーズセミナー
第3回　営業機密情報漏えいの調査と対応

＜セミナー概要＞
情報漏えいの主な手口と予防策を、事例を交えて解説しつつ、情報漏えいが発生した場合の証拠収集の方法などについてもご紹介します。 また、デジタルフォレンジックを活用した情報漏えいの手口（外部記憶媒体、クラウドストレージ等）の解析について解説します。

＜無料＞

１．営業秘密持ち出し事件の類型

まず営業秘密の漏えい事案の各種類型を説明させていただきます。

【機密情報の持出し事案】

• 自社の社員が競合他社への転職の「手土産」として持ち出す事案
• 自社の社員が独立後の事業遂行に活用する目的で持ち出す事案
• 故意の持出しだけでなく、社員が非違行為であることの認識を欠いたまま持ち出す事案もある

まず、これは機密情報の持ち出し事案の類型です。特に昨年あたりから、様々な営業秘密の漏えい事案の報道を受け、対応を検討されている企業も多いかと思います。

一番上に記載されているように、自社の社員が競合他社への転職の際に、重要な営業秘密を持ち出してしまったり、自社を退職する際に、独立後の事業で利用しようと営業秘密を持ち出してしまったりするケースが、近年増えていると感じます。

２．営業秘密持ち出しの防止策

【考えられる対策】

• 自社の情報を機密性の程度に応じて合理的に区分して管理
• 機密情報が管理されている媒体ごとの適切な管理
• 守秘性の高い情報である旨の表示
• 特権管理の厳格化
• セキュリティ教育・セキュリティテストの実施

営業秘密の持ち出しの防止策としては、代表的なものとしては、持ち出しを困難にする状況を作るということが重要です。上記に記載されている通り、自社の情報を機密の程度に応じて、合理的に区分して管理することが重要です。

特に、機密性の高い情報については、特定の役職者のみがアクセスできるように、アクセス権を管理するといった対応が考えられます。

また、各媒体ごとに、適切に機密情報を管理することも重要です。

紙媒体であれば金庫などを使用し、電子媒体であれば、特に機密性の高い情報については高度な暗号化を行うといったことが考えられます。さらに、従業員に対して、守秘性の高い情報であることを明確に当該ドキュメントに示すことや、特権アカウントの管理の厳格化も必要となるでしょう。

営業秘密の持ち出し事案においては、社員の故意の持ち出しだけでなく、故意なく（すなわち悪意なく）過失で持ち出してしまっているケースも見受けられます。このような事態を防ぐためには、セキュリティ教育の徹底や定期的なセキュリティ・アセスメントの実施などが必要となります。

営業秘密の漏えいというと、持ち出しの事案に目が向きがちですが、近年ではランサムウェア被害など、顧客から預かっている営業秘密が暗号化され、かつそれを攻撃者が奪取して漏えいする手口も懸念されています。

【不正アクセス事案】

• 経営・法務部門としては、事案発生時における被害軽減・迅速回復の観点からの組織的対策が重要
  • 事案発生時における部署横断的な対応チームの組成
  • 事案発生時における対応フローのとりまとめ
  • データマッピング

• 委託先・取引先から機密情報が漏えいする事案についても想定して備える必要性
  • 委託先・取引先に対してセキュリティに関する各種義務を負わせる契約・覚書の締結
  • システム管理の運用委託先からセキュリティ対策に関する適切な報告を受けるための体制の整備

外部からのハッキング攻撃を完全に防ぐことは困難です。そのため、事案発生時において、部署横断的な対応チームを編成し、対応すべきアクションに迅速に実施できる体制を平時に整備しておく必要があります。さらに、可能な限り、インシデント対応訓練などのリハーサルを実施して、有事における対応を練習しておくことが望ましいでしょう。

また、データマッピングを行うことも重要です。ランサムウェアによってデータが暗号化されてしまうと、どのようなデータをどこに管理していたのかが分からなくなってしまうためです。そのため、平時から、どのサーバーにどのような情報が保管されているのかを可視化しておくことが重要となります。

委託先や取引先からの機密情報漏えいの事案も増加しています。委託先や取引先に対して、セキュリティに関する義務を負わせる契約や覚書を締結している企業も多いと思いますが、現状で十分なのかを改めて見直すことが重要です。

またシステム管理の運用委託先からも、セキュリティ対策に関する適切な報告を受ける体制を構築することが大切です。

３．営業秘密情報持ち出しの証拠収集

①社員が情報を持ち出しをした場合の対応

• 初期対応として、どの情報がどのような経路・手段で持ち出されたのかを把握する必要がある
• 調査・保全の対象
  • PCメール
  • チャット（Teams、Slack等）
  • 私物スマートフォン（LINE、SMS等）
• 証拠保全のためには、持出しの疑いがある社員から社内システムへのアクセス権を完全にはく奪する必要がある
• 当該社員に対するヒアリングの検討（時期・方法・内容）

事案発生時の初期対応として、どのような情報が、どのような経路や手段で、当該従業員によって持ち出されたのかを把握することがまず必要になります。

そして、その経路が調査によって徐々に明らかになってきた場合には、その経路に関わる端末について、調査保全の対象としていくことになります。

ここに挙げられているPC、メール、チャット、私物のスマートフォンは、あくまでも調査対象の一例に過ぎませんが、このようなデバイスが調査対象となるケースが多いと言えるでしょう。

特に、私物のスマートフォンについては、近年ではBYODという形で、従業員の私物の端末を業務で使用している企業も少なくありません。このような端末も、機密情報の漏えいに使用されるため調査対象に入れることが重要になってきます。

また、当然のことながら、証拠収集を行っている間は、密行性が重要であり、犯行者である従業員による証拠隠滅が行われないよう注意する必要があります。

そのためには、証拠保全と並行して、持ち出しの疑いのある従業員から社内システムへのアクセス権を剥奪することも重要であり、迅速に対応する必要があります。

また、この点は、証拠収集の基本的なセオリーですが、客観的な証拠（物的証拠）を収集してから、主観的な証拠（人的証拠）を収集していくことになります。そのため、客観的な証拠収集として、端末からさまざまな証拠を収集した後に、主観的な証拠収集として当該従業員に対するヒアリングを実施することになります。

ヒアリングの方法や内容によっては、社内の役職・ポジションの問題などから会社関係者がヒアリングを実施することが難しいケースも存在します。そのような場合は、外部の弁護士にヒアリングを委任することが適切です。

②ランサムウェア被害を受けた場合の対応

• 初期対応として、影響範囲の特定・原因分析・攻撃の封じ込めを行う必要がある
• 漏えいした可能性のある情報の特定
  • データマッピング
  • バックアップ
• 速やかなフォレンジックベンダの選定が重要

初期対応としては、まずインシデントの影響範囲の特定と原因分析を行い、その後、攻撃の封じ込めを行う必要があります。

特にランサムウェア攻撃の場合、攻撃を受けたデータが暗号化されてしまうため、攻撃を受けた後に、具体的にどのデータが暗号化され、また、外部に漏えいした可能性があるのかを把握することが難しい場合があります。

このような事態に備え、平時からデータマッピングを行い、どのような情報を保存・管理しているのかを明確化しておくこと、バックアップを取ることなどが重要となります。

また、ランサムウェアのインシデント事案では、フォレンジックベンダを利用せざるを得ないケースが多いでしょう。初期段階からフォレンジックベンダと連携し、適切な対応を進めることが重要となりますが、初期対応として可能な限り迅速にフォレンジックベンダを選定し、証拠保全から協力していただくことが大切です。

③委託先が情報漏えいをした場合の対応

• 委託先に対する契約上の権利の確認
• 損害を委託先に転嫁するためには、委託先の故意・過失によって自社に損害が生じたことを立証する必要がある
  • 事故対応に要した外部委託先への報酬
  • 臨時雇用した従業員への給与
  • 逸失利益
• 初動から損害立証のための証拠保全を意識して動く必要性
• 保険会社から求められる事項を委託先に実施させるという動き方をする必要がある

これは、自社の機密情報を、業務委託先に対して、委託業務の遂行に必要なものとして提供したところ、その委託先が機密情報を漏えいさせてしまったという事案を想定して説明させていただきます。

まず、委託先が情報を漏えいさせた場合は、委託先に責任を取らせる必要があります。その前提として、自社が委託先に対して、どの範囲で損害賠償請求権を有しているのかを把握した上で、委託先に対して、委託先の故意または過失によって自社に損害が生じたこと、その損害額はいくらであること、その損害額を補償・賠償して欲しいと請求していくことになります。

この損害賠償請求には、故意・過失の存在、損害額、因果関係等の立証が必要となるため、事故対応の初期段階から、立証活動を踏まえた証拠収集を行う必要があります。

例えば、損害としては、あくまで一例ですが、事故対応に要した外部委託費などが挙げられます。事故対応によって一般消費者から多数の問い合わせが寄せられてしまった場合、問い合わせ対応業務をコールセンターなどの外部委託先へ委託することが考えられます。

賠償の対象は、貴社が被ったあらゆる損害ではなく、（相手方が損害賠償義務を負うべき）相当額の損害に限定されますが、このようなコールセンターへの業務委託費用は、賠償請求可能な相当額の損害に該当する可能性があります。

また、臨時でタスクが発生したために、臨時雇用した従業員への給与を支払わなければいけなかったり、機密情報漏えいによって業務が停止し、売上損失が発生した場合には、その間の売上利益を委託先に請求できないか、賠償請求可能な相当額の損害に該当しないかを検討する必要があります。

しかし、このような損害に関しては、事故対応開始から時間が経過してからでは、証拠を集められない場合もあります。そのため、事故対応時のその時にしか集められない情報や証拠に留意して、証拠収集しておく対応が必要となります。

つまり、初動段階から、損害賠償のための証拠資料の収集を意識して行動する必要があるということです。

近年では、サイバーセキュリティ保険に加入している企業も増えています。このような保険に加入している企業は、当然、保険で可能な限り損害を補償してもらう必要があります。

しかし、保険会社から保険金を請求するためには、さまざまな情報提供や資料提供を求められる場合があります。その情報提供や資料提供が委託先でしかできない場合もあるため、保険会社と協議して保険金請求に必要な情報・資料を逐次把握し、速やかに委託先に収集・提供させる必要があります。

４．情報漏えい対応に有効なデジタルフォレンジック調査

• デジタルフォレンジックの対象・種類
  • コンピューターフォレンジック
  • モバイルフォレンジック
  • クラウドフォレンジック
  • ネットワークフォレンジック
• 特定の事案に限らない汎用性の高い技術
• 個人情報やクレジットカードの漏えい事案においては、法的事項・契約事項に十分に対応するため、事実上、実施が義務づけられている

これまで、事案の類型として3つのパターンを挙げましたが、他にもさまざまなパターンが存在します。

いずれの事案においても、証拠収集の手段として、デジタルフォレンジックを検討する必要があると考えられます。情報漏えいの事案では、どのような場所から情報が漏えいしたのかは千差万別ですが、現在のデジタルフォレンジック技術では、ここに挙げられているように、さまざまな対象に対して調査を行うことが可能になっています。つまり、特定の事案に限定されず、汎用性の高い技術と言えます。

また、個人情報やクレジットカード情報が漏えいした事案においては、個人情報であれば、個人情報保護委員会への報告義務を果たすためにデジタルフォレンジックを行うことが必要となったり、クレジットカード会社から契約上の義務としてデジタルフォレンジック調査を行うよう義務付けられる場合もあります。

このような事案においては、デジタルフォレンジックを専門の調査業者に依頼する必要があることを念頭に置いておく必要があります。

５．情報漏えいを防ぐ社内規程の整備

次に、社内規程の整備について説明します。本セミナーには、さまざまな部署の方が参加されていますが、人事・総務部門にとって関心の高い、組織的対策、人的対策、そしてIT環境に関するルールについて、社内規程でどのようなことを定めれば良いのかを、ご説明させていただきます。

【組織的対策・人的対策】

• 従業員に故意・過失がある場合に責任を負わせるための義務の設定
• 漏えい・目的外利用を行う従業員の準備行為の禁止
  • ∵ 漏えい・目的外利用を直接立証することが困難
  • （例）大量のデータのDL、シャドーITの利用、従業員が物理的排他的に占有可能な媒体でのデータ複製等
• 誓約書の提出義務の規定＆誓約書の提出
  • 入社時
  • 特別のプロジェクトアサイン時
  • 退社時

①情報持ち出しの責任を明記する

まず、組織的対策、人的対策としては、最も重要なのは、従業員が情報を持ち出した場合に、その従業員に責任を負わせるため、従業員に社内規程上の義務を課しておく必要があります。言い換えれば、従業員が情報漏えいを防止するために必要十分な義務を社内規程に明記することが重要になります。

②情報持ち出しの準備行為を禁止する

また、従業員による漏えいや目的外利用があった場合には、当該従業員の漏えいや目的外利用を直接立証し、義務違反があったとして責任を追及することが原則ですが、必ずしも漏えい行為や目的外利用行為を直接立証することが容易ではない場合があります。

そこで、漏えいや目的外利用を行う者がよく行う準備行為も禁止しておくことが有効です。例として挙げさせていただきましたが、例えば、大量のデータのダウンロードや、シャドーITと呼ばれる、会社に無断でクラウドサービスを個人的に利用するといった準備行為を行っているケースが多いことから、このような準備行為自体を禁止することも有効です。

③重要な情報にアクセスする社員には誓約書で対応する

以上、就業規則や情報セキュリティ規程などを通して、全従業員に対して網羅的に情報管理義務を課すことを想定して説明してきましたが、特定の守秘性の高いプロジェクトに参画している従業員に特別な義務を課す場合は、社内規程に加えて、個別に情報管理について誓約書を締結するという対応が有効になります。

この誓約書は、入社時、特別なプロジェクトへのアサイン時、そして異動時など、さまざまなタイミングで取得する必要があると考えられます。何を守りたいのかに応じて、適切なタイミングで誓約書を取得することが重要となります。

④IT機器利用に関するルール作り

• 従業員による不適切なIT利用への対策のベストミックス
  • 従業員に課す義務
  • 貸与する端末に設定する一部ツールの利用制限
  • モニタリング
• BYOD（Bring Your Own Device）導入時に検討するリスク
  • 情報漏えいリスク
  • 従業員のプライバシーを侵害するリスク
  • 労働時間管理が不徹底になるリスク
• BYODを導入する際に必要な社内規程
  • 利用許可の手続
  • 緊急時の会社による端末へのアクセス
  • 紛失時の手続　等

次に、IT機器利用のルールについて、社内規程の整備という観点から説明させていただきます。従業員による不適切なIT機器利用は、社内規程で禁止していく必要がありますが、そのためには、さまざまな対策を組み合わせる必要があります。

まず、従業員に対して、不適切なIT機器利用を禁止し、適切なIT機器利用を義務付ける必要があります。これは、先ほど申し上げたように、社内規程で禁止することは重要ですが、そもそも不適切な利用ができないように、従業員が使用する端末にシステム上の利用制限をかけるといったアーキテクチャ面での対策も検討すべきです。

また、従業員のIT機器利用状況に関するモニタリングを行い、日常的に不適切な利用がないか監視することも重要です。このように、さまざまな対策を組み合わせることで、不適切な利用を防止していくことが重要になります。

⑤BYODの導入でモニタリングを行う

さらに、近年では、従業員の私物の端末を業務に使用することを許容するBYODを導入している企業も少なくありません。BYODを導入する際には、さまざまなリスクを検討した上で導入することが重要となります。

すなわち、社用端末ではない私物の端末に機密情報を保存したり、機密情報にアクセスしたりすることになるため、社用端末よりも情報漏えいのリスクが高くなる可能性があります。

また、機密情報閲覧用の端末と従業員のプライバシー情報が入っている端末が同じ端末となる場合、会社が不用意に従業員の端末にアクセスすると、従業員のプライバシーを侵害してしまうリスクも考えられます。

さらに、従業員の私物端末は、勤務時間の内外に関わらず、従業員がアクセスしやすいことから、休日に少し仕事をするといった形で、労働時間の管理が曖昧になるリスクも考えられます。

このようなリスクを踏まえた上で、BYODを導入する際には、社内規程にルールを定めておく必要があります。ここではスペースの関係で3つしか挙げられていませんが、例えば、BYODを導入する際には、どのような利用許可の手続きを定めるのか、裏を返せば、従業員が、その手続きを踏んでいない私物の端末を業務に使用した場合には、従業員に責任を取らせることができるようにしておく必要があります。

また、従業員が私物の端末を業務で使用している場合、緊急時に、例えば情報漏えいの拡散防止などの理由で、会社がその私物の端末にアクセスしなければならないケースも考えられます。

このような場合に、どのような手続きで会社が私物の端末にアクセスできるようになるのかを事前にルール化しておかないと、従業員のプライバシー侵害などの問題が生じる可能性があります。そのため、合理的なルールを事前に設定し、そのルールの範囲内でアクセスを行うことが求められます。

さらに、私物であっても、会社の機密情報が入っていたり、そのような機密情報の入っているサーバーにアクセスできたりする端末であるため、紛失時には、報告などの適切な手続きを取らせることも必要となります。