第12回 悪意を持った社外関係者による情報漏えいに注意せよ：会社を強くする経営者のためのセキュリティ講座（1/2 ページ）

社内には従業員以外にもさまざまな外部関係者が出入りしています。その中に悪意を持った人物がいたとすれば……。今回はそのようなリスクを備えるためのポイントを解説します。

[萩原栄幸，ITmedia]

　会社にはさまざまな外部関係者が日常的に出入りしています。ビジネスパートナーやガードマン、清掃員など、「関係者だが従業員ではない人」がいます。本連載では、以前に悪意を持った人物によるリスクを解説しました。今回は経営者視点で取り組むべきポイントについて紹介します。

当社が委託している方は“いい人”ですよ

　数年前に某中堅企業で事件が起きました。同社の警備員（A氏）はいつも笑顔で相手に接し、“やさしい初老のおじさん”という印象を与えるような人でした。女子社員にも人気があったようです。しかしその会社の役員室では、ある事件についての議論が秘密裡に行われていました。

CIO（情報担当役員）　わが社の特許情報の非公開部分をライバル企業が入手していたというのは本当か！

技術部長　確認を取りました。まさしく当社の情報であることに間違いありません。入手経路は分かっていませんが、特許情報データベースにある社外秘情報のアクセス状況を過去1年に遡って調査していますので、間もなく結果が判明するはずです。

　すると、技術部第一課長が汗だくになりながら入室し、次のように話しました。

第一課長　過去1年に4回の不審なアクセスの痕跡を発見しました。いずれも木曜日の深夜1時ごろに情報のコピーがされていました！

技術部長　なぜ今まで気が付かなかったのか。おかしいではないか！

　技術部長が声を荒くしながら第一課長を叱責すると、

第一課長　それは無理ですよ。2年前の取締役会の決議で、CIOが“今まで行っていた定期的なログ分析は後ろ向きのイメージがするので好ましくない。しかも、そのために年間3000万円以上もの直接的な費用がかかっている。ログ分析を止めれば費用の削減にもなるし、廃止する（ログ収集だけは監督官庁からの指示もあり継続していた）”とお決めになったではありませんか……。

CIO　……。（無言）

　その後ファイルをコピーしていたPCのフォレンジック調査を行ったところ、警備員のまとめ役であった警備会社の担当課長、つまりA氏が関与したとしか思えない証拠が見つかりました。いつも笑顔でいかにも人の良さそうなA氏がなぜ――関係者は一様に首を傾げざるを得ませんでした。

　しかし、さまざまな状況証拠がありました。

1. 犯行が4回とも木曜日深夜に行われ、その日の宿直はいずれもA氏であった
2. 犯行時間の午前1時ころはガードマンの巡回時間に当たる
3. 巡回は通常2人で行うが、巡回日誌上ではこの4回に限って片方の1人がトイレや近隣のボヤ騒ぎなどの事件に対応しており、巡回をしたのは片方の1人だけだった

　これらの証拠を積み重ねてみると、A氏が関与していたことに疑う余地はなかったのです。そこで会社は警備会社と密かに連絡をとり、両社の合意の上でA氏のPCをフォレンジック調査しました。すると、コピーしたと思われるファイルが発見されました。その後、A氏には相当の借金があり、2000万円にも膨れ上がっていたことが明らかになりました。

　米国の一部会社では複数の警備会社を採用し、相互に牽制させることで犯罪を防ぐようにしていますが、日本でそのようにしている会社はほとんどありません。セキュリティの視点でみれば、警備を1社だけにしていると、その会社が不正をすれば後は“底なし沼”の状態に陥ってしまう可能性があります。