コンプライアンスを 学ぶ

情報セキュリティの歴史 産業スパイから最新の脅威への対策まで解説

2022.1.5 更新

「私たちには皆、転職をする権利がある。しかし、自分のポケットを(勤め先の情報で)いっぱいにして、会社を出ていく権利なんて誰にもない。「窃盗」はイノベーションではないのだ[1]。」

これは、グーグルの元幹部が、米国でグーグルの自動運転に関する営業秘密を盗んだ疑いで2019年に連邦検察から起訴されたあと、米国連邦検事が語った言葉です。

企業の営業秘密(トレードシークレット)がライバル企業に漏洩したとして、日米ではそれぞれ2つの事件が話題になりました。

そのうちの一つが、上述した米国の事件です。この事件では、特に、元幹部が退社直前にグーグルとの秘密保持契約を無視して、1万4000件もの機密ファイルをダウンロードしていたことが問題になりました。

元幹部は退職後、自動運転トラックの会社を設立しました。そして、その会社を買収したウーバーが、元幹部と結託してグーグルから自動運転技術を盗み出したとして民事訴訟を受けました。その後、ウーバーは2億4500万ドル相当の株を譲渡して、グーグルと和解しました。

もう一つは、日本における事件です。2021年に、ソフトバンクの元技術者が5Gネットワークに関する営業秘密を盗んだ疑いで、不正競争防止法違反として逮捕されました。元技術者は、在籍の最終日に社内サーバに遠隔ログインして技術資料をダウンロードし、社外にメール転送していました。

元技術者は退職後、楽天モバイルに転職していました。ソフトバンクは、約1000億円の損害賠償請求権を主張し、その一部として楽天と元社員に10億円の支払いを求めた訴訟を東京地裁に提訴しました。しかし、楽天モバイルは「元技術者が持ち出したソフトバンクの営業秘密を使用していない」として争う姿勢です。

このような重大な事件を起こさないようにするために必要なのが、企業における情報セキュリティ対策です。情報セキュリティは企業の競争力を守るものであると同時に、更なる発展のための有効な手法にもなり得ます。

情報セキュリティの歴史を知れば、情報セキュリティの必要性や意義を感じていただくだけではなく、未来のために何をどのように対策していけばよいかを考えるきっかけにもなるはずです。

今回は、コンプライアンスのプロが、情報セキュリティの歴史について、その発端から最新トレンドまで、歴史を変えたエピソードを交えてご紹介します。

無料eBook

コンプライアンスが楽しくなる!

ゲーミフィケーションで実践する教育の仕組みづくり

大手電機メーカーで実際に行われたコンプライアンス施策をもとに教育手法にフォーカスし、131ページにわたり解説しています。

[1] Former Uber Self-Driving Car Executive Indicted For Alleged Theft Of Trade Secrets From Google, Northern District of California. Aug 27,2019. https://www.justice.gov/usao-ndca/pr/former-uber-self-driving-car-executive-indicted-alleged-theft-trade-secrets-google (閲覧日:2021年11月24日)

1. 情報セキュリティの歴史は、産業スパイ対策から始まった

情報セキュリティとは、企業が持つさまざまな情報資産を管理し、安全性を確保することです。
本章では、情報セキュリティがどのように始まり、発展していったのか、歴史を解説します。

1-1. 情報セキュリティの誕生

情報セキュリティは、企業が事業活動のために秘密として管理している営業秘密(トレードシークレット)の保護から始まりました。この営業秘密の保護に関する法律は、1960年代の米国で、産業スパイ対策として誕生しています。ここでは、米国、欧州、そして日本の営業秘密の保護の歴史について、それぞれ紹介します。

1-1-1. 米国

まずは米国です。米国では、元々営業秘密の保護は各州法により個別に行われていました。しかし、スパイ事件の増加を受けて、1966年に初めての連邦法である「経済スパイ法(Economic Espionage Act of 1966:EEA)」が制定されました。

EEAは、営業秘密の不正取得に対して、厳しい懲役や罰金を含む刑事罰を定めた法律です。2016年法改正では、差止め要件など、営業秘密の民事上の措置が強化されています。

1979年には、営業秘密に関して全米的に統一された保護を与えることを目的とした「統一営業秘密法(Uniform Trade Secrets Acts:UTSA)」が採択されました。しかし、UTSAはモデル法案でした。米国のモデル法案は、全米に適用される連邦法とは異なり、各州で採択されて初めて効力を持つ法律です。2017年時点で2つの州は同法を採用しておらず、営業秘密は各州法によって保護されています。

ですので、営業秘密の漏えいについて、州を超える重大事件は連邦法であるEEAが、州内の事件については各州法が適用されます。

1-1-2. 欧州

次に欧州です。欧州では、各国が独自の法律で営業秘密を保護していました。そのため、営業秘密の定義や不正取得への措置などについて、共通の基準はありませんでした。しかし、2016年になってEU委員会から「営業秘密の民事的保護に関する指令」が出されました。

この指令に基づき、EU各国は2018年までに国内法を制定することになりました。これにより、初めて営業秘密の定義や不正取得に対する侵害への対応などについて、民事上はEUの共通の基準が採用されるようになりました。

この背景には、「営業秘密は企業の競争力の源泉であるにもかかわらず、EU域内では十分に保護されていないため、企業のイノベーションを阻害する要因になっている」という課題認識がありました。そのため、EUの共通の基準が必要とされるようになったのです。

ただし、刑事罰については対象や罰則の軽重が国ごとに異なっています。刑事罰はほとんどの国で導入されましたが、各国の行政方針が異なるため、それに従い違いがあります。

1-1-3.日本

次に日本です。日本では、1934年に不正な競争を防止するために不正競争防止法が制定されました。その後、1990年の法改正により、営業秘密の保護が追加されました。

当初は、営業秘密の不正取得に対して差止め請求や損害賠償などの民事上の措置が取られていました。しかし、2015年の法改正により、懲役、罰金などの刑事罰が追加されました。刑事罰の導入に際しては、前述した米国経済スパイ法欧州各国で導入されている刑事罰参考にされました。

営業秘密の不正取得・使用等は、日本では10年以下の懲役または1000万円以下の罰金(またはその両方)の刑事罰の対象になります。

不正競争防止法以外にも、情報セキュリティ対策の指針となるものがあります。それは、2015年経済産業省によって提示された2つの指針です。1つ目は、意図せざる技術流出防止のための「技術流出防止指針」であり、2つ目は、企業が営業秘密の管理を強化する戦略的なプログラムを作るための「営業秘密管理指針」です。

これらの指針の背景には、企業の海外進出や人材流出により、営業秘密やノウハウが流出していることへの危機感がありました。技術流出防止指針では、実際の技術流出例を踏まえて、技術ライセンスから海外生産の開始、転職など人材を通じた技術流出などのパターンを類型化して、注意を促しています。

営業秘密管理指針環境の変化を踏まえて提示され、不正競争防止法も合わせて何度も改訂されました。

2018年の不正競争防止法の改正では、ビックデータ、AIにより、情報の活用形態が多様化する状況を踏まえて、クラウドを利用した営業秘密の管理に対するアクセス制御方法などが追加されています。ここには、従来「守り」に徹してきた営業秘密を、ビジネスの戦略に活用する動きが出てきたことを物語っています。詳しくは3章でご紹介します。

ここまで、日本、米国、欧州の情報セキュリティの歴史をご紹介しました。いずれも企業の営業秘密を保護するために始まったものだということをご理解いただけたかと思います。

1-2.情報セキュリティ対策を進める背景となった「IBM産業スパイ事件」

各国が法整備によって情報セキュリティを強化してきた背景には、ソフトウェア産業の発展と、ビジネスのグローバル化があります。米国では1960年代ごろからソフトウェア産業が盛んになりましたが、それに伴って産業スパイ事件も起こり、法整備が進みました。

ここでは、法整備を進める大きなきっかけとなった、大事件の一つを紹介します。

日本企業米国で行った産業スパイ活動として、日本企業の社員が逮捕されたことで話題となったのは、1982年「IBM産業スパイ事件」です。

1982年6月22日、米国において、日立製作所と三菱電機の社員計6名がFBI(米国連邦捜査局)に逮捕されました。容疑は、「米国IBM本社の営業秘密を不正な手段で入手しようとした」というものでした。さらに、FBIは日本の日立製作所と三菱電機の関係者計12名にも逮捕状を出しました。

1960年代から、コンピューターの大型汎用機市場では、IBMが圧倒的な市場シェアを持っていました。一方で、日立製作所や三菱電機はIBMと同等の仕様を持つ互換機を開発・製造していました。この事件は、互換機を巡る技術の問題から発生しました。

IBMは自社開発の設計技術の一部を、周辺メーカーを育てるために公開していました。その公開技術を用いて開発・製造していたのが、日立製作所や三菱電機のような互換機メーカーでした。

しかし、互換機により自社の市場シェアが下がったことを受けて、IBMは1981年に特殊な構造を採用するなど、互換機が作りにくい設計の新しいモデルである「3081K」を発表しました。これにより、日立製作所と三菱電機は、このモデルの設計技術に関するソフトウェアを不正に取得しようとしたのです。

日立製作所と三菱電機は、IBMとの互換性を維持するために、「3081K」のインターフェイスの技術情報を取得しようとしたと言われています。

この事件は、当時の米国司法長官とFBI長官による記者会見で発表されました。この際、FBIがIBMの協力を得て、おとり捜査により日立製作所と三菱電機の社員が逮捕されたことも話題になりました。刑事事件はFBIとの司法取引により1983年に解決し、民事事件はIBMとの和解により1988年に解決しました。

この事件により、ソフトウェアが企業にとって重要な情報資産であること、また、その情報資産の不正取得は、刑事事件に発展することが認識されました。情報セキュリティ対策をさらに推進させる上での、歴史的を変えるような大きな事件であったと言えます。

ここまで、情報セキュリティの誕生から、法整備の拡大について説明してきました。営業秘密を産業スパイから守るために法律が作られてきたこと、そして技術の発展や漏洩事件を受けて法整備が進められてきたことを、ご理解いただけたかと思います。

2. 情報セキュリティの最新トレンド、インターネットセキュリティ

1990年代になると、インターネットの登場によって企業の情報セキュリティは大きく変化しました。本章では、インターネットセキュリティについて紹介します。

2-1.リスクマネジメントという考え方の登場

多くの営業秘密が電子データで管理されるようになり、管理と活用の利便性は向上しました。しかし、一方では不正アクセスやウィルス侵入により、営業秘密の電子データが漏洩する危険にさらされるようになったのです。

インターネットセキュリティ対策としては、ID・パスワード管理やウィルス対策などの方法があります。しかし、高度な技術を持ったハッカーによるサイバー攻撃などもあります。残念ながら、いずれの企業でも、営業秘密が漏洩しないセキュリティ対策を行うことは不可能です。

そのため、リスクマネジメントが重要になります。リスクマネジメントは、リスクを制御しようとするアプローチである「リスクコントロール」と、リスクに資金的な手当をしようとするアプローチである「リスクファイナンス」から構成される経営戦略の手法です。

ID・パスワード管理やウィルス対策によるリスクコントロールを行った上で、それでも生じる損害に対して、リスクファイナンスの手法として保険によるセーフティーネットを作っておくのです。

完璧な情報セキュリティ対策ができない以上、リスクマネジメントは必須であると言えるでしょう。

2-2. インターネットセキュリティ対策の歴史を変えた「サイバー保険」

米国では、他国と比較して保険制度が発達していたため、不正アクセスやウィルス侵入から生じる損害を補填するサイバー保険がいち早く提供されていました。

米国の「サイバーリスク保険(cyber risk insurance)」または、「サイバー賠償責任保険(cyber liability insurance)」と呼ばれるサイバー保険は、1980年代に提供されたITリスクを補填する保険を起源としています。

その後、「2000年になるとコンピューターが誤作動する可能性がある」とされたY2K問題(ミレニアム・バグ)の発生予測がきっかけとなり、1997年にAIGが最初のサイバー保険の販売を開始しました。

補償対象は、不正アクセスやウィルス感染から始まりました。その後、被害調査やID詐欺などへの補償まで拡大しています。米国では多くの保険会社がサイバー保険を提供しており、世界最大のサイバー保険市場になっています。

日本では、2015年東京海上日動火災保険を第一号として、複数の保険会社がサイバー保険の販売を開始しています。情報漏えいやサイバー攻撃などに対して、損害賠償や事故対応費用に加えて、事故調査、コールセンター設置、記者会見などの対応費用まで補填する保険が販売されています。

さらに、保険会社がセキュリティコンサル会社と提携し、企業に対して保険とセットでインターネットセキュリティ対策のコンサルティングを行うサービスなども始まっています。

一方、サイバー保険は進化するサイバー攻撃に対するリスクの変化過去データの不足などが、今後の普及課題となっています。

このように、インターネットセキュリティは、最近の情報セキュリティにおける重要課題です。必要なのはリスクマネジメントの考え方であり、保険商品等で対策を取ることができます。ぜひ注目してみてください。

3. 情報資産の戦略的活用

情報セキュリティは、情報の漏えいや不正取得への対策という守りの面が強調される傾向にあります。しかし、第1章で説明した通り、情報セキュリティは守りのみではなく、重要な情報資産を安心して活用するという攻めの取り組みでもあります。

IoTやAIによるデジタル革命では、特に、デジタルデータの情報資産は、さらに重要性が増します。
例えば、情報通信白書2020年版では、5年前と比較してPOSデータ(POSレジで取得する販売管理情報)やeコマースによる販売記録、MtoM(機械同士が行う情報取得)を含む自動取得データの活用が大きく進展しています。

今後、企業は、営業秘密を重要な情報資産として守ると共に、安全に管理することにより、戦略的に活用することが求められています。

「情報セキュリティ」をeラーニングで社員教育

eラーニング教材:情報セキュリティのエッセンス

企業を守るための情報セキュリティの基礎知識を身につける

コンピュータ社会ならではのトラブルから企業を守るためには、一人ひとりが高いセキュリティ意識を持つことが大切です。そのためには、この記事にあるように、ポイントを押さえた効果的な教育が必要です。
本教材では、ビジネスパーソンとして知っておくべきコンピュータに関する情報セキュリティの基本的な知識と、具体的な対策法について学習します。

本教材をeラーニングとして配信することで、効率的に「情報セキュリティ」の社員教育をすることが可能です。

教材の詳細を見る

4. まとめ

情報セキュリティは、企業が事業活動のために秘密として管理している営業秘密(トレードシークレット)の保護から始まりました。

米国では、連邦法として経済スパイ法が制定され、営業秘密の不正取得に対して、厳しい罰則を設けています。また、欧州は、各国が独自に営業秘密の不正取得に対する法律を制定していました。しかし、EU指令に基づき、民事的上の措置について共通の基準が導入されるようになりました。

日本でも、不正な競争を防止する不正競争防止法改正され、営業秘密を保護する条件が追加されました。最初は、不正取得については、民事上の措置だけが取られていました。しかし、その後の法改正により刑事罰が追加されています。また、さらにIoTやAIによるデジタル革命に合わせて、クラウドを利用した営業秘密管理などの条件が追加されています。

営業秘密を不正取得するいわゆる産業スパイ活動は、古くから存在していますが、日本企業が米国企業の技術情報を不正取得しようとして、社員が逮捕されたIBM産業スパイ事件は、不正取得のリスクとともに、ソフトウェアの情報資産としての価値を認識させる事件でした。

インターネットの登場により、営業秘密は電子データで管理されることにより、利便性が向上しました。しかし一方では、不正アクセスやウィルス侵入のリスクにさらされることになりました。完全に不正取得を防ぐ方法はありませんが、セーフティーネットとして、サイバー保険が登場しました。

サイバー保険は、米国で始まった不正アクセスやウィルス侵入により企業に生じた損害を賠償する保険です。調査費や記者会見の費用まで補填されています。サイバー保険には、進化するサイバー攻撃への防御や過去データの不足など課題はあります。しかし、保険会社とセキュリティコンサルティング会社が提携して保険とセットにしたサービスが始まるなど、今後の普及が期待されています。

営業秘密やノウハウなどの電子データは、不正取得から守るものであるとともに、自社の事業活動に生かすための重要な情報資産です。つまり、情報セキュリティとは、情報資産を守ることであるとともに、有効活用するためのマネジメントでもあるのです。

今回ご紹介した情報セキュリティの歴史と歴史を変えたエピソードから、情報セキュリティ管理を実践する意義をご理解の上、自社の最適なコンプライアンスの実現に取り組んでください。

Written by

一色 正彦

金沢工業大学(KIT)大学院客員教授(イノベーションマネジメント研究科)
株式会社LeapOne取締役 (共同創設者)
合同会社IT教育研究所役員(共同創設者)

パナソニック株式会社海外事業部門(マーケティング主任)、法務部門(コンプライアンス担当参事)、教育事業部門(コンサルティング部長)を経て独立。部品・デバイス事業部門の国内外拠点のコンプライアンス体制と教育制度、全社コンプライアンス課題の分析と教育制度を設計。そのナレッジを活用したeラーニング教材の開発・運営と社内・社外への提供を企画し、実現。現在は、大学で教育・研究(交渉学、経営法学、知財戦略論)を行うと共に、企業へのアドバイス(コンプライアンス・リスクマネジメント体制、人材育成・教育制度、提携・知財・交渉戦略等)とベンチャー企業の育成・支援を行なっている 。
東京大学大学院非常勤講師(工学系研究科)、慶應義塾大学大学院非常勤講師(ビジネススクール )
主な著作に「法務・知財パーソンのための契約交渉のセオリー(改訂版民法改正対応)、「第2章 法務部門の役割と交渉 4.契約担当者の育成」において、ブレンディッド・ラーニングの事例を紹介」(共著、第一法規)、「リーガルテック・AIの実務」(共著、商事法務:第2章「 リーガルテック・AIの開発の現状 V.LMS(Learning Management System)を活用したコンプライアンス業務」において、㈱ライトワークスのLMSを紹介 )、「ビジュアル 解説交渉学入門」、「日経文庫 知財マネジメント入門」(共著、日本経済新聞出版社)、「MOTテキスト・シリーズ 知的財産と技術経営」(共著、丸善)、「新・特許戦略ハンドブック」(共著、商事法務)などがある 。

まるでゲームを攻略するように
コンプライアンス教育に
取り組めるよう、
無料のeBookを作りました。

コンプライアンスを学ぶ

コンプライアンス違反に起因する倒産は年間200社以上におよぶとされています。 コンプライアンス対策の前提として、まずは「なぜ違反が起こるのか」を理解しましょう。

コンプライアンスを教える

コンプライアンス対策は、教育をいかにするかがカギです。 ここでは、社員教育を効果的にするためのノウハウをご紹介します。

コンプライアンスを整える

コンプライアンスへの対応は、知識を持つだけではなく、具体的に対策や体制作りに活かしていくことが大切です。 実践に向けて、ぜひこちらの記事をご参考にしてください。

コンプライアンスが
楽しくなる!

ゲーミフィケーションで実践する
教育の仕組みづくり

カードを集めながらストーリーを進めるだけで身に付く、新感覚な解説書。社員教育にもおすすめな一冊。