「私たちには皆、転職をする権利がある。しかし、自分のポケットを(勤め先の情報で)いっぱいにして、会社を出ていく権利なんて誰にもない。「窃盗」はイノベーションではないのだ[1]。」
これは、グーグルの元幹部が、米国でグーグルの自動運転に関する営業秘密を盗んだ疑いで2019年に連邦検察から起訴されたあと、米国連邦検事が語った言葉です。
企業の営業秘密(トレードシークレット)がライバル企業に漏洩したとして、日米ではそれぞれ2つの事件が話題になりました。
そのうちの一つが、上述した米国の事件です。この事件では、特に、元幹部が退社直前にグーグルとの秘密保持契約を無視して、1万4000件もの機密ファイルをダウンロードしていたことが問題になりました。
元幹部は退職後、自動運転トラックの会社を設立しました。そして、その会社を買収したウーバーが、元幹部と結託してグーグルから自動運転技術を盗み出したとして民事訴訟を受けました。その後、ウーバーは2億4500万ドル相当の株を譲渡して、グーグルと和解しました。
もう一つは、日本における事件です。2021年に、ソフトバンクの元技術者が5Gネットワークに関する営業秘密を盗んだ疑いで、不正競争防止法違反として逮捕されました。元技術者は、在籍の最終日に社内サーバに遠隔ログインして技術資料をダウンロードし、社外にメール転送していました。
元技術者は退職後、楽天モバイルに転職していました。ソフトバンクは、約1000億円の損害賠償請求権を主張し、その一部として楽天と元社員に10億円の支払いを求めた訴訟を東京地裁に提訴しました。しかし、楽天モバイルは「元技術者が持ち出したソフトバンクの営業秘密を使用していない」として争う姿勢です。
このような重大な事件を起こさないようにするために必要なのが、企業における情報セキュリティ対策です。情報セキュリティは企業の競争力を守るものであると同時に、更なる発展のための有効な手法にもなり得ます。
情報セキュリティの歴史を知れば、情報セキュリティの必要性や意義を感じていただくだけではなく、未来のために何をどのように対策していけばよいかを考えるきっかけにもなるはずです。
今回は、コンプライアンスのプロが、情報セキュリティの歴史について、その発端から最新トレンドまで、歴史を変えたエピソードを交えてご紹介します。
無料eBook
コンプライアンスが楽しくなる!
ゲーミフィケーションで実践する教育の仕組みづくり
大手電機メーカーで実際に行われたコンプライアンス施策をもとに教育手法にフォーカスし、131ページにわたり解説しています。
[1] Former Uber Self-Driving Car Executive Indicted For Alleged Theft Of Trade Secrets From Google, Northern District of California. Aug 27,2019. https://www.justice.gov/usao-ndca/pr/former-uber-self-driving-car-executive-indicted-alleged-theft-trade-secrets-google (閲覧日:2021年11月24日)
1. 情報セキュリティの歴史は、産業スパイ対策から始まった
情報セキュリティとは、企業が持つさまざまな情報資産を管理し、安全性を確保することです。
本章では、情報セキュリティがどのように始まり、発展していったのか、歴史を解説します。
1-1. 情報セキュリティの誕生
情報セキュリティは、企業が事業活動のために秘密として管理している営業秘密(トレードシークレット)の保護から始まりました。この営業秘密の保護に関する法律は、1960年代の米国で、産業スパイ対策として誕生しています。ここでは、米国、欧州、そして日本の営業秘密の保護の歴史について、それぞれ紹介します。
1-1-1. 米国
まずは米国です。米国では、元々営業秘密の保護は各州法により個別に行われていました。しかし、スパイ事件の増加を受けて、1966年に初めての連邦法である「経済スパイ法(Economic Espionage Act of 1966:EEA)」が制定されました。
EEAは、営業秘密の不正取得に対して、厳しい懲役や罰金を含む刑事罰を定めた法律です。2016年の法改正では、差止め要件など、営業秘密の民事上の措置が強化されています。
1979年には、営業秘密に関して全米的に統一された保護を与えることを目的とした「統一営業秘密法(Uniform Trade Secrets Acts:UTSA)」が採択されました。しかし、UTSAはモデル法案でした。米国のモデル法案は、全米に適用される連邦法とは異なり、各州で採択されて初めて効力を持つ法律です。2017年時点で2つの州は同法を採用しておらず、営業秘密は各州法によって保護されています。
ですので、営業秘密の漏えいについて、州を超える重大事件は連邦法であるEEAが、州内の事件については各州法が適用されます。
1-1-2. 欧州
次に欧州です。欧州では、各国が独自の法律で営業秘密を保護していました。そのため、営業秘密の定義や不正取得への措置などについて、共通の基準はありませんでした。しかし、2016年になってEU委員会から「営業秘密の民事的保護に関する指令」が出されました。
この指令に基づき、EU各国は2018年までに国内法を制定することになりました。これにより、初めて営業秘密の定義や不正取得に対する侵害への対応などについて、民事上はEUの共通の基準が採用されるようになりました。
この背景には、「営業秘密は企業の競争力の源泉であるにもかかわらず、EU域内では十分に保護されていないため、企業のイノベーションを阻害する要因になっている」という課題認識がありました。そのため、EUの共通の基準が必要とされるようになったのです。
ただし、刑事罰については対象や罰則の軽重が国ごとに異なっています。刑事罰はほとんどの国で導入されましたが、各国の行政方針が異なるため、それに従い違いがあります。
1-1-3.日本
次に日本です。日本では、1934年に不正な競争を防止するために不正競争防止法が制定されました。その後、1990年の法改正により、営業秘密の保護が追加されました。
当初は、営業秘密の不正取得に対して差止め請求や損害賠償などの民事上の措置が取られていました。しかし、2015年の法改正により、懲役、罰金などの刑事罰が追加されました。刑事罰の導入に際しては、前述した米国経済スパイ法や欧州各国で導入されている刑事罰が参考にされました。
営業秘密の不正取得・使用等は、日本では10年以下の懲役または1000万円以下の罰金(またはその両方)の刑事罰の対象になります。
不正競争防止法以外にも、情報セキュリティ対策の指針となるものがあります。それは、2015年に経済産業省によって提示された2つの指針です。1つ目は、意図せざる技術流出防止のための「技術流出防止指針」であり、2つ目は、企業が営業秘密の管理を強化する戦略的なプログラムを作るための「営業秘密管理指針」です。
これらの指針の背景には、企業の海外進出や人材流出により、営業秘密やノウハウが流出していることへの危機感がありました。技術流出防止指針では、実際の技術流出例を踏まえて、技術ライセンスから海外生産の開始、転職など人材を通じた技術流出などのパターンを類型化して、注意を促しています。
営業秘密管理指針は環境の変化を踏まえて提示され、不正競争防止法も合わせて何度も改訂されました。
2018年の不正競争防止法の改正では、ビックデータ、AIにより、情報の活用形態が多様化する状況を踏まえて、クラウドを利用した営業秘密の管理に対するアクセス制御方法などが追加されています。ここには、従来「守り」に徹してきた営業秘密を、ビジネスの戦略に活用する動きが出てきたことを物語っています。詳しくは3章でご紹介します。
ここまで、日本、米国、欧州の情報セキュリティの歴史をご紹介しました。いずれも企業の営業秘密を保護するために始まったものだということをご理解いただけたかと思います。
1-2.情報セキュリティ対策を進める背景となった「IBM産業スパイ事件」
各国が法整備によって情報セキュリティを強化してきた背景には、ソフトウェア産業の発展と、ビジネスのグローバル化があります。米国では1960年代ごろからソフトウェア産業が盛んになりましたが、それに伴って産業スパイ事件も起こり、法整備が進みました。
ここでは、法整備を進める大きなきっかけとなった、大事件の一つを紹介します。
日本企業が米国で行った産業スパイ活動として、日本企業の社員が逮捕されたことで話題となったのは、1982年の「IBM産業スパイ事件」です。
1982年6月22日、米国において、日立製作所と三菱電機の社員計6名がFBI(米国連邦捜査局)に逮捕されました。容疑は、「米国IBM本社の営業秘密を不正な手段で入手しようとした」というものでした。さらに、FBIは日本の日立製作所と三菱電機の関係者計12名にも逮捕状を出しました。
1960年代から、コンピューターの大型汎用機市場では、IBMが圧倒的な市場シェアを持っていました。一方で、日立製作所や三菱電機はIBMと同等の仕様を持つ互換機を開発・製造していました。この事件は、互換機を巡る技術の問題から発生しました。
IBMは自社開発の設計技術の一部を、周辺メーカーを育てるために公開していました。その公開技術を用いて開発・製造していたのが、日立製作所や三菱電機のような互換機メーカーでした。
しかし、互換機により自社の市場シェアが下がったことを受けて、IBMは1981年に特殊な構造を採用するなど、互換機が作りにくい設計の新しいモデルである「3081K」を発表しました。これにより、日立製作所と三菱電機は、このモデルの設計技術に関するソフトウェアを不正に取得しようとしたのです。
日立製作所と三菱電機は、IBMとの互換性を維持するために、「3081K」のインターフェイスの技術情報を取得しようとしたと言われています。
この事件は、当時の米国司法長官とFBI長官による記者会見で発表されました。この際、FBIがIBMの協力を得て、おとり捜査により日立製作所と三菱電機の社員が逮捕されたことも話題になりました。刑事事件はFBIとの司法取引により1983年に解決し、民事事件はIBMとの和解により1988年に解決しました。
この事件により、ソフトウェアが企業にとって重要な情報資産であること、また、その情報資産の不正取得は、刑事事件に発展することが認識されました。情報セキュリティ対策をさらに推進させる上での、歴史的を変えるような大きな事件であったと言えます。
ここまで、情報セキュリティの誕生から、法整備の拡大について説明してきました。営業秘密を産業スパイから守るために法律が作られてきたこと、そして技術の発展や漏洩事件を受けて法整備が進められてきたことを、ご理解いただけたかと思います。
2. 情報セキュリティの最新トレンド、インターネットセキュリティ
1990年代になると、インターネットの登場によって企業の情報セキュリティは大きく変化しました。本章では、インターネットセキュリティについて紹介します。
2-1.リスクマネジメントという考え方の登場
多くの営業秘密が電子データで管理されるようになり、管理と活用の利便性は向上しました。しかし、一方では不正アクセスやウィルス侵入により、営業秘密の電子データが漏洩する危険にさらされるようになったのです。
インターネットセキュリティ対策としては、ID・パスワード管理やウィルス対策などの方法があります。しかし、高度な技術を持ったハッカーによるサイバー攻撃などもあります。残念ながら、いずれの企業でも、営業秘密が漏洩しないセキュリティ対策を行うことは不可能です。
そのため、リスクマネジメントが重要になります。リスクマネジメントは、リスクを制御しようとするアプローチである「リスクコントロール」と、リスクに資金的な手当をしようとするアプローチである「リスクファイナンス」から構成される経営戦略の手法です。
ID・パスワード管理やウィルス対策によるリスクコントロールを行った上で、それでも生じる損害に対して、リスクファイナンスの手法として保険によるセーフティーネットを作っておくのです。
完璧な情報セキュリティ対策ができない以上、リスクマネジメントは必須であると言えるでしょう。
2-2. インターネットセキュリティ対策の歴史を変えた「サイバー保険」
米国では、他国と比較して保険制度が発達していたため、不正アクセスやウィルス侵入から生じる損害を補填するサイバー保険がいち早く提供されていました。
米国の「サイバーリスク保険(cyber risk insurance)」または、「サイバー賠償責任保険(cyber liability insurance)」と呼ばれるサイバー保険は、1980年代に提供されたITリスクを補填する保険を起源としています。
その後、「2000年になるとコンピューターが誤作動する可能性がある」とされたY2K問題(ミレニアム・バグ)の発生予測がきっかけとなり、1997年にAIGが最初のサイバー保険の販売を開始しました。
補償対象は、不正アクセスやウィルス感染から始まりました。その後、被害調査やID詐欺などへの補償まで拡大しています。米国では多くの保険会社がサイバー保険を提供しており、世界最大のサイバー保険市場になっています。
日本では、2015年の東京海上日動火災保険を第一号として、複数の保険会社がサイバー保険の販売を開始しています。情報漏えいやサイバー攻撃などに対して、損害賠償や事故対応費用に加えて、事故調査、コールセンター設置、記者会見などの対応費用まで補填する保険が販売されています。
さらに、保険会社がセキュリティコンサル会社と提携し、企業に対して保険とセットでインターネットセキュリティ対策のコンサルティングを行うサービスなども始まっています。
一方、サイバー保険は進化するサイバー攻撃に対するリスクの変化や過去データの不足などが、今後の普及課題となっています。
このように、インターネットセキュリティは、最近の情報セキュリティにおける重要課題です。必要なのはリスクマネジメントの考え方であり、保険商品等で対策を取ることができます。ぜひ注目してみてください。
3. 情報資産の戦略的活用
情報セキュリティは、情報の漏えいや不正取得への対策という守りの面が強調される傾向にあります。しかし、第1章で説明した通り、情報セキュリティは守りのみではなく、重要な情報資産を安心して活用するという攻めの取り組みでもあります。
IoTやAIによるデジタル革命では、特に、デジタルデータの情報資産は、さらに重要性が増します。
例えば、情報通信白書2020年版では、5年前と比較してPOSデータ(POSレジで取得する販売管理情報)やeコマースによる販売記録、MtoM(機械同士が行う情報取得)を含む自動取得データの活用が大きく進展しています。
今後、企業は、営業秘密を重要な情報資産として守ると共に、安全に管理することにより、戦略的に活用することが求められています。
「情報セキュリティ」をeラーニングで社員教育
eラーニングコース:情報漏えいから組織を守る!「情報セキュリティ」対策コース
各社員のセキュリティ感度を上げ、事故を未然に防ぐ
企業においては、たった1人の不注意が情報漏洩の大事故につながります。万が一情報漏えい等が起きた場合には、会社の情報資産が流出するだけでなく、社会的に信用を失うことになり、被害は甚大なものになる可能性もあります。
こちらのeラーニングコースでは、「情報セキュリティのエッセンス」「ISMSのエッセンス」「情報セキュリティのエッセンス(サイバー攻撃対策)」等を学習し、セキュリティに関する基礎的な知識を網羅的に習得していただけます。 ビジネスのあらゆる領域でDX化が推進されている現代社会において、必須の知識となりつつある情報セキュリティ教育を、是非ご検討ください。
4. まとめ
情報セキュリティは、企業が事業活動のために秘密として管理している営業秘密(トレードシークレット)の保護から始まりました。
米国では、連邦法として経済スパイ法が制定され、営業秘密の不正取得に対して、厳しい罰則を設けています。また、欧州は、各国が独自に営業秘密の不正取得に対する法律を制定していました。しかし、EU指令に基づき、民事的上の措置について共通の基準が導入されるようになりました。
日本でも、不正な競争を防止する不正競争防止法が改正され、営業秘密を保護する条件が追加されました。最初は、不正取得については、民事上の措置だけが取られていました。しかし、その後の法改正により刑事罰が追加されています。また、さらにIoTやAIによるデジタル革命に合わせて、クラウドを利用した営業秘密管理などの条件が追加されています。
営業秘密を不正取得するいわゆる産業スパイ活動は、古くから存在していますが、日本企業が米国企業の技術情報を不正取得しようとして、社員が逮捕されたIBM産業スパイ事件は、不正取得のリスクとともに、ソフトウェアの情報資産としての価値を認識させる事件でした。
インターネットの登場により、営業秘密は電子データで管理されることにより、利便性が向上しました。しかし一方では、不正アクセスやウィルス侵入のリスクにさらされることになりました。完全に不正取得を防ぐ方法はありませんが、セーフティーネットとして、サイバー保険が登場しました。
サイバー保険は、米国で始まった不正アクセスやウィルス侵入により企業に生じた損害を賠償する保険です。調査費や記者会見の費用まで補填されています。サイバー保険には、進化するサイバー攻撃への防御や過去データの不足など課題はあります。しかし、保険会社とセキュリティコンサルティング会社が提携して保険とセットにしたサービスが始まるなど、今後の普及が期待されています。
営業秘密やノウハウなどの電子データは、不正取得から守るものであるとともに、自社の事業活動に生かすための重要な情報資産です。つまり、情報セキュリティとは、情報資産を守ることであるとともに、有効活用するためのマネジメントでもあるのです。
今回ご紹介した情報セキュリティの歴史と歴史を変えたエピソードから、情報セキュリティ管理を実践する意義をご理解の上、自社の最適なコンプライアンスの実現に取り組んでください。
- 立石泰則『覇者の誤算 日米コンピューター戦争の40年』,講談社,1997.
- Sharon K.SANDEEN「米国営業秘密法ーその発展と適用ー」,『知的財産法政策学研究』, Vol.47, 2015.
- 「米国におけるサイバー保険の動向」、牛窪賢一、損保総研レポート、第120号 2017.7
- 加藤&パートナーズ法律事務所「ソフトバンクVS楽天モバイル事件に見る社員による情報漏洩対策の重要性」,2021年1月13日,https://www.kp-lo.jp/law-info/vs.html (閲覧日:2021年11月25日)
- 日本経済新聞「ソフトバンク、楽天と元社員を提訴 情報持ち出し巡り」,2021年5月6日,https://www.nikkei.com/article/DGXZQOUC063X50W1A500C2000000/ (閲覧日:2021年11月25日)
- 日本経済新聞「知財流出に厳格対応 米検察、グーグル元幹部起訴」,2019年8月28日,https://www.nikkei.com/article/DGXMZO49089420Y9A820C1TJ2000/ (閲覧日:2021年11月25日)
- 日本経済新聞「ウーバーが落ちた「知財窃盗」のワナ 自動運転にリスク」,2019年9月4日,https://www.nikkei.com/article/DGXMZO49200970Q9A830C1I10000/ (閲覧日:2021年11月25日)
- NHK NEWS WEB「米中新冷戦 激化する攻防~産業スパイの実態」,2019年2月6日,https://www3.nhk.or.jp/news/special/45th_president/articles/column/article/2019-0206-00.html (閲覧日:2021年11月25日)
- 「【電子産業史】1982年:IBM産業スパイ事件」,『日経クロステック』,2008年8月14日,https://xtech.nikkei.com/dm/article/COLUMN/20080807/156203/ (閲覧日:2021年11月25日)
- 帖佐隆「不正競争防止法における営業秘密と刑事罰」,『パテント』,Vol.73,No.3,2020.https://system.jpaa.or.jp/patent/viewPdf/3504 (閲覧日:2021年11月25日)
- 平成28年度不正競争防止法委員会第1小委員会米国グループ「米国の営業秘密保護の現状について」,『パテント』,Vol.70,No.9,2017.https://system.jpaa.or.jp/patent/viewPdf/2892 (閲覧日:2021年11月25日)
- 鈴木薫「営業秘密の保護に関するEU指令案」,『パテント』,Vol.68,No.8,2015. https://system.jpaa.or.jp/patents_files_old/201508/jpaapatent201508_099-108.pdf (閲覧日:2021年11月25日)
- 浅井敏雄「EU営業秘密指令の概要」,『パテント』,Vol.74,No.1,2021.https://system.jpaa.or.jp/patent/viewPdf/3728 (閲覧日:2021年11月25日)
- 経済産業省「営業秘保護法制(各国比較)」,https://www.meti.go.jp/shingikai/sankoshin/chiteki_zaisan/eigyo_himitsu/pdf/003_s01_00.pdf (閲覧日:2021年11月25日)
- 経済産業省「営業秘密~営業秘密を守り活用する~」,https://www.meti.go.jp/policy/economy/chizai/chiteki/trade-secret.html (閲覧日:2021年11月25日)
- 経済産業省「技術流出防止指針」,平成15年3月14日,https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/030314guideline2.pdf (閲覧日:2021年11月25日)
- 経済産業省「営業秘密管理指針」,平成15年1月30日(最終改訂:平成31年1月23日),https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf (閲覧日:2021年11月25日)
- 弁護士法人 法律事務所ホームワン「営業秘密―従業員が営業秘密や情報を漏洩した場合の対応方法」,
- https://www.home-one.jp/kigyouhoumu/compliance/eigyouhimitsu.html (閲覧日:2021年11月25日)
- 「消えたPC-98、Mac互換機―「互換機ビジネス」の末路を追う」,『ITmedia』,2008年12月6日,https://www.itmedia.co.jp/enterprise/articles/0812/06/news013.html (閲覧日:2021年11月25日)
- 日本損害保険協会「サイバー保険とは」,https://www.sonpo.or.jp/cyber-hoken/about/ (閲覧日:2021年11月25日)
- 損保ジャパン「サイバー保険」,2015年9月4日,https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2015/20150904_2.pdf?la=ja-JP (閲覧日:2021年11月25日)
- TMIプライバシー&セキュリティコンサルティング「サイバーセキュリティ保険領域での保険代理業開始と東京海上日動火災保険との保険代理店契約締結のお知らせ」,『PR TIMES』,https://prtimes.jp/main/html/rd/p/000000020.000051651.html (閲覧日:2021年11月25日)
- Deloitte「サイバー保険の全貌」,https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/financial-services/ins/jp-fi-demystifyingcyber.pdf (閲覧日:2021年11月25日)
- 中沢潔「米国におけるサイバー保険の現状」,『JETRO ニューヨークだより』,2017年11月,https://www.jetro.go.jp/ext_images/_Reports/02/2017/92c65a1f1a9f3ddc/ny11201711.pdf (閲覧日:2021年11月25日)
- 「サイバー保険開発者が語る日本企業のセキュリティ裏事情」,『Tokio Cyber Port』,2020年1月28日,https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/column-detail15 (閲覧日:2021年11月25日)
- 総務省「デジタルデータ活用の現状と課題」,令和2年版 情報通信白書 第1部 第2節,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/pdf/n3200000.pdf (閲覧日:2021年12月2日)
