【ITニュース解説】Weekly Report: IPAが「企業における営業秘密管理に関する実態調査2024」を公開
ITニュース概要
IPAが企業の「営業秘密」管理に関する調査結果を公開した。技術情報などの重要データが、退職者などを経由して漏洩するリスクや、その対策状況が報告されている。情報セキュリティの現実的な課題がわかる内容だ。
ITニュース解説
独立行政法人情報処理推進機構、通称IPAは、日本のIT分野における国家的な機関の一つである。このIPAが、国内の企業が自社の重要な情報をどのように管理しているかについての実態調査を行い、その結果を「企業における営業秘密管理に関する実態調査2024」として公開した。ここで言う「営業秘密」とは、企業の競争力の源となる非常に重要な情報全般を指す。例えば、新製品の設計図、独自の製造技術、顧客リスト、販売戦略などがこれにあたる。これらの情報がもし外部に漏れてしまえば、企業の競争力は著しく低下し、経営に深刻な打撃を与える可能性がある。そのため、企業は営業秘密を厳重に管理する必要がある。今回の調査報告書は、この重要な営業秘密の管理が、日本企業で実際にどの程度行われているのか、そしてどのような課題を抱えているのかを浮き彫りにするものである。 調査結果から見えてくるのは、多くの企業が営業秘密の重要性を認識し、何らかの対策を講じているものの、その取り組みには大きな差があるという実態だ。特に、人的・金銭的リソースが限られがちな中小企業において、対策が十分に進んでいない傾向が見られる。情報漏えいの経路として企業が最も懸念しているのは、「中途退職者による情報の持ち出し」である。これは、従業員が競合他社へ転職する際に、在職中に得た技術情報や顧客情報を不正に持ち出してしまうケースを指す。このほか、従業員の操作ミスによる意図しない情報公開や、サイバー攻撃による外部からの不正アクセスも、依然として大きな脅威として認識されている。漏えいの原因を深掘りすると、システムの脆弱性といった技術的な問題だけでなく、従業員の不注意やルール違反といった「人的要因」が大きな割合を占めていることがわかる。これは、どれだけ高度なセキュリティシステムを導入しても、それを使う人間の意識やリテラシーが低ければ、情報漏えいのリスクはなくならないということを示している。また、近年急速に普及したテレワークも、新たな課題を生んでいる。従業員が自宅など社外のネットワーク環境から会社の重要な情報にアクセスする機会が増えたことで、管理の目が届きにくくなり、情報漏えいのリスクが高まっている。特に、個人が所有するパソコンやスマートフォンを業務に利用する、いわゆるBYOD(Bring Your Own Device)の環境では、セキュリティ対策が不十分な端末から情報が漏れる危険性が指摘されている。さらに、最新の動向として、生成AIの利用に関するリスクも大きな懸念事項として挙げられている。従業員が業務効率化のために生成AIサービスを利用する際、無意識のうちに営業秘密にあたる情報を入力してしまい、それがサービス提供者のサーバーに送信・学習されてしまう可能性があるためだ。多くの企業では、こうした新しい技術の安全な利用に関するルール作りが追いついていないのが現状である。 この調査結果は、将来システムエンジニアを目指す人々にとって非常に重要な示唆を含んでいる。企業の営業秘密を守るという課題は、法務や総務だけの問題ではなく、情報システムの設計・構築・運用を担うシステムエンジニアが中心的な役割を果たす領域だからだ。例えば、退職者による情報持ち出しを防ぐためには、「誰が、どの情報にアクセスできるか」を厳密に管理するアクセス制御の仕組みが不可欠である。システムエンジニアは、役職や部署に応じてファイルサーバーやデータベースへのアクセス権限を細かく設定するシステムを構築する。また、万が一データが外部に持ち出されても、その内容を読み取られないようにするための「暗号化」技術も重要だ。重要なファイルはすべて暗号化し、正規の利用者しか復号できないようにするシステムの導入は、エンジニアの専門知識が求められる。さらに、不正なアクセスの兆候をいち早く検知するためには、「誰が、いつ、どのファイルにアクセスしたか」という操作履歴、すなわちログを記録し、監視するシステムが欠かせない。このログを分析し、異常な振る舞いを自動で警告する仕組みを構築するのもシステムエンジニアの仕事である。近年では、DLP(Data Loss Prevention)と呼ばれる、重要なデータがメール添付やUSBメモリへのコピーなどによって社外へ送られそうになった際に、それを自動的に検知しブロックするシステムの重要性も増している。こうした専門的なセキュリティ製品の導入や設定も、エンジニアが担当する。テレワーク環境のセキュリティを確保するためには、社外から社内ネットワークへ安全に接続するためのVPN(Virtual Private Network)の構築や、クラウドサービスの設定を適切に行い、不正アクセスや情報漏えいを防ぐ技術的な対策が求められる。生成AIのリスクについても同様で、企業が定めたガイドラインに基づき、特定の機密情報を含む文字列がプロンプトとして入力されるのをシステム的にブロックする仕組みを開発・導入するなど、技術的な側面からのアプローチが必要となる。 このように、企業の生命線である営業秘密を保護するためには、社内ルールを整備するだけでなく、それを実効性のあるものにするための情報システムが不可欠である。システムエンジニアは、アクセス制御、暗号化、ログ監視、ネットワークセキュリティといった多様な技術を駆使して、サイバー攻撃や内部不正といった脅威から企業の重要な情報を守るという、社会的に極めて重要な責務を負っている。今回のIPAの調査報告書は、現代の企業が直面しているセキュリティ上の課題を具体的に示しており、これから技術者として社会に貢献しようとする人々にとって、どのようなスキルや知識が現場で求められているのかを理解するための貴重な資料と言えるだろう。