経済産業省とIPAの新しい取り組みに見る情報漏えい／内部不正対策の新潮流　～第1回～

情報漏えい／内部不正に関わる環境変化として一番影響が大きいと考えられるのは、やはりコロナ禍を契機として急速に進展した働き方の変革である。

テレワークや兼業・副業によって、重要情報がバラバラに社外に出ていく傾向が強まるとともに、会社保有IT機材の調達が追い付かないことでセキュリティ対策上の課題が大きいBYOD（Bring Your Own Device：従業員が個人所有の携帯用機器を用いて業務を行うこと）がやむを得ず拡大している。これらの問題点はコロナ禍での情報管理特例措置という側面を持っているが、コロナ禍が長引いていることが影響して、一時的な特例が想定外に長引いてしまっている実態があり、ガバナンス低下に影を落としていると言えるだろう。（図表３参照）

さらには、「クラウドファースト」の掛け声の下に企業で幅広くクラウドが採用されるようになり、結果として重要情報がルール不備や運用上の不注意等によって社外（＝クラウド上）に出ていくケースが散見される。（図表４参照）

上記に加え、サプライチェーン保護の観点からは、同様の課題がサプライヤにおいてより顕著になるという大きな問題が生じているため、大手企業は取引先（業務／ITシステム開発委託先、クラウドサービスプロバイダなど）に対するガバナンスにも十分に注意することが必要になっている。（図表５参照）

上述のとおり、こうした環境変化は、重要情報の企業内外への分散を促進するとともに、秘密保護／内部不正防止に対するガバナンスの低下をきたす原因となっている。従って、これに伴って生じるリスクを低減するための新たな対策が強く求められていると言える。

我が国の終身雇用制が崩れつつあると言われ始めて久しいが、その象徴となっているのは：

• 多数の新入社員が3年以内に転職していく
• 中途採用者の定着率が低く、短期間でさらに転職していく

という２つの実状である。終身雇用制が盤石であった時代には企業・組織と従業員との間に強い信頼関係が存在したが、雇用が流動化するにつれてお互いの信頼が崩壊しつつあるのが現状と言える。こうして従業員の企業・組織への忠誠心が薄れていく中で、転職により重要情報を不正に持ち出す機会が増えることから、結果として重要情報の漏えいリスクはさらに高まることが予見される。（図表６参照）

中途退職者の不正による重要情報の漏えい対策については従前より踏み込んだ指針が提供されてきたが、①秘密保持契約／誓約書や就業規則の運用面に関する問題点、②海外での情報漏えいへの対抗策などについては、まだまだ対策を強化できる余地があるものと考えられる。

従業員のふるまいや仕事の生産性を監視しようと考える企業は、国内においても海外においても増えており、特に大企業においてそのモチベーションが高いと考えられる。例えば、我が国では内部不正対策として防犯カメラのほか、不自然なアクセスの検知等の対策が進展し始めており、何も対策していない企業の割合は半減している。（図表７参照）

次に海外の状況も確認しておきたい。ガートナー社の調査によると、欧米では従業員監視ツールを導入した大企業は、パンデミック前と比べて倍増して6割に達しており、今後3年以内に7割に達すると予測されている*。このように、欧米ではさらに積極的に従業員監視ツールの導入が進んでいる。

*出典：https://www.gartner.com/en/articles/the-right-way-to-monitor-your-employee-productivity

この現状は、おそらく２つの環境変化が同時に重なったことによって加速されていると考えられる。１つめは、AIを適用することで、従業員のふるまいや心理状態を監視する技術が飛躍的に進歩し、ブレイクスルーに達したことである。これによってツールの選択肢が増えるなどの変化が生じているものと推察される。２つめは、テレワークの浸透や中途退職者の急増に伴って、企業側の従業員監視のモチベーションが高まっていることである。我が国では前述した通り、終身雇用制が崩れて企業・組織と従業員の間の信頼が薄れてきており、これがさらに従業員監視のモチベーションを高めている可能性が否定できない。

一方で従業員監視の強化は、企業・組織の考え方・姿勢（特に従業員を疑ってかかる姿勢）によっては逆に従業員の就業意欲を下げてしまい、内部不正を誘発する恐れもあるので、企業・組織としてもその運用姿勢・体制に注意を払う必要がある。

また国内外を問わず、従業員監視の強化は従業員のプライバシー保護との間で適切なバランスを保って運用することが必要であると考えられているが、この考え方が企業・組織に周知徹底されているかというと、必ずしもそうではない実状がある。

米国では、従業員の監視とプライバシー保護のバランスを適正に保つため、法規制の導入が進み始めている。例えば、ニューヨーク州、コネチカット州、デラウェア州では従業員を電子的に監視する場合は事前通知を義務付けており、カリフォルニア州においても同様の法案を検討中である。しかし、法規制の導入には時間がかかるため、AIによる急速な技術の進歩に規制が追い付いていない実状が見られる。

我が国においても、「個人情報の保護に関する法律についてのガイドラインに関するQ&A」のQ5-7で「従業者に対する監督の一環として、個人データを取り扱う従業者を対象とするビデオやオンライン等による監視（モニタリング）を実施する際の留意点」についてのQ&Aが公開されており、企業・組織としてもこれと整合した対応を取ることが必要である。

AIなどを用いた従業員監視技術は今後も急速な進歩が見込まれることから、企業・組織がこの技術を適用したツールを導入することは益々容易になってくるものと予想される。だからこそ我が国においても、こうしたツールを適用する際に従業員のプライバシーを保護する運用を徹底すべきであることを、企業・組織に広く浸透させることが急務であると言える。

IPA「組織における内部不正防止ガイドライン」第4版、経済産業省「秘密情報の保護ハンドブック」の公開後5～6年の間に実施された内部不正防止に関わる法制度の改正／制定については、次のようなものがある。

• 令和2年改正個人情報保護法
  個人の権利利益を害するおそれがある個人データ漏えい時（故意の内部不正によるものを含む）の報告義務を規定。内部不正の事後対応に影響が生じる。
• 平成30年改正不正競争防止法
  限定提供データの新設。これに伴い、限定提供データが内部不正の新たな対象となった。
• 下請中小企業振興法 振興基準（令和3年7月）
  下請事業者からの要請に応じ、委託元がセキュリティ対策の助言・支援を行うことを推奨。
• 平成30年改正産業競争力強化法／技術等情報漏えい防止措置の実施の促進に関する指針
  技術情報管理認証制度の創設。

また、過去5～６年の間に制定された内部不正防止に関わるガイドラインの改訂／公開については、例えば次のようなものがある。

• 各省庁・関連団体が制定したテレワークに関するセキュリティ対策指針等
  →テレワーク時の情報漏えい対策につき、参考とできる記載あり。
• 経済産業省「渉外事案の適用関係の概略と民事訴訟における考えられる主張ポイント集」の制定（令和2年6月）
  →退職した役職員が海外において重要情報を不正に開示するような事態が生じた場合に取り得る対策や、適用しうる訴訟戦略について記載あり。