情報セキュリティ対策における営業秘密保護の考察目次 0. はじめに 1. 研究の背景とねらい 2. 情報セキュリティ対策と関連法令との関係 ( 問題提起 ) 3. 関連法令要求事項を遵守するための対策の採用 ( 課題 ) (1.~ 3. は前回報告 + 追加変更 ) 4. 営業秘密保護のための

Size: px

Start display at page:

Download "情報セキュリティ対策における営業秘密保護の考察目次 0. はじめに 1. 研究の背景とねらい 2. 情報セキュリティ対策と関連法令との関係 ( 問題提起 ) 3. 関連法令要求事項を遵守するための対策の採用 ( 課題 ) (1.~ 3. は前回報告 + 追加変更 ) 4. 営業秘密保護のための"

せとかひでやま
5 years ago
Views:

1 JSSA 大会情報セキュリティ対策における営業秘密保護の考察 Study of including the protection of the trade secret in the information security management system 年 06 月 03 日情報セキュリティ合同研究会 1

2 情報セキュリティ対策における営業秘密保護の考察目次 0. はじめに 1. 研究の背景とねらい 2. 情報セキュリティ対策と関連法令との関係 ( 問題提起 ) 3. 関連法令要求事項を遵守するための対策の採用 ( 課題 ) (1.~ 3. は前回報告 + 追加変更 ) 4. 営業秘密保護のためのガイドライン ( 調査結果 ) 5. ガイドラインの活用方法 ( 研究 ) (4.~ 5. は秘密情報の保護ハンドブック発行に伴う追加 ) 6. 課題と今後の進め方 2

3 0. はじめに : 情報セキュリティ研究プロジェクトの活動情報セキュリティ専門監査人部会と合同で研究プロジェクトを開催 ( 主査 : 川辺良和氏 ) 研究テーマと概要 : 中小組織を対象に主としてマネジメントの側面に着目して情報セキュリティの諸問題を取り上げセキュリティの確立と強化のために有効な考え方や具体的実施策を提案し利用してもらうことを目標にしている研究対象となる組織 : 以下の IPA 調査報告で示されるような状況にある中小組織出典 :IPA 2015 年度中小企業における情報セキュリティ対策に関する実態調査報告書について (2016 年 3 月 8 日 ) 3

4 1. 研究の背景とねらい 1 1 情報セキュリティ対策と秘密情報流出事件情報セキュリティ対策では一般に 1ISO27001 ISMS 規格に沿ってマネジメントシステムを構築し 2 ISO27001 の付属書 A の管理策及び ISO27002 で推奨されている実施策から選択採用して情報セキュリティ対策の仕組みを整備し運用するしかしこのように整備された情報セキュリティ対策の仕組みの裏を掻い潜って秘密情報を不正持ち出して競合企業や名簿業者等に持ち込むという事件標的型メールなどでウィルスを感染させ個人データを盗むという外部攻撃が繰り返し発生している典型的な例として以下のような大事件が新聞等で報道された半導体研究データが従業者によって持ち出され転職した他国の企業に持ち込まれた事件 (2014 年 3 月容疑者逮捕 ) 顧客データが委託先従事者によって記憶装置に移して持ち出し売却しそれが他社 DM に利用された事件 (2014 年 7 月容疑者逮捕 ) 標的型メール攻撃を受けて従業員のパソコンから年金個人情報が漏洩したという事件 (2015 年 6 月 ) 4

5 1. 研究の背景とねらい 1 2 高まる内部犯行による秘密情報流出への危機感 JIPDEC/ITR の企業 IT 利活用動向調査 2015 の速報結果の発表資料の中で示されている内部犯行による重要情報の漏洩逸失のリスクに対する重視の度合い 2015 年 1 月実施出典 :JIPDEC/ITR の企業 IT 利活用動向調査 2015 速報結果の 2015 年 3 月 24 日の発表 5

6 1. 研究の背景とねらい 1 3 秘密情報流出の脅威 IPA の最近の情報セキュリティ 10 大脅威にみる秘密情報流出の脅威 1 0 大脅威大脅威大脅威大脅威位クライアントソフトの脆弱性を突いた攻撃標的型メールを用いた組織へのスパイ諜報活動インターネットバンキングやクレジットカード情報の不正利用インターネットバンキングやクレジットカード情報の不正利用 2 位標的型諜報攻撃の脅威不正ログイン不正利用内部不正による情報漏えい標的型攻撃による情報流出 3 位スマートデバイスを狙った悪意あるアプリの横行ウェブサイトの改ざん標的型攻撃による諜報活動ランサムウェアを使った詐欺恐喝 4 位ウイルスを使った遠隔操作ウェブサービスからの利用者情報の漏えいウェブサービスへの不正ログインウェブサービスからの個人情報の窃取 5 位金銭窃取を目的としたウイルスの横行オンラインバンキングからの不正送金ウェブサービスからの顧客情報の窃取ウェブサービスへの不正ログイン 6 位予期せぬ業務停止悪意あるスマートフォンアプリハッカー集団によるサイバーテロウェブサイトの改ざん 7 位ウェブサイトを狙った攻撃 SNS への不適切な情報公開ウェブサイトの改ざん 8 位パスワード流出の脅威紛失や設定不備による情報漏えいインターネット基盤技術を悪用した攻撃審査をすり抜け公式マーケットに紛れ込んだスマフォアプリ内部不正による情報漏えいとそれに伴う業務停止 9 位内部犯行ウイルスを使った詐欺恐喝脆弱性公表に伴う攻撃巧妙悪質化するワンクリック請求 10 位フィッシング詐欺サービス妨害悪意のあるスマートフォンアプリ脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加出典 :IPA の情報セキュリティ 10 大脅威 2016 (2016 年 3 月 31 日 ) 6

7 1. 研究の背景とねらい 1 4 情報セキュリティ対策でどう営業秘密を守るかこれら悪意ある意図的な情報漏洩事件では不正競争防止法の営業秘密に対する不正取得行為などで検挙されている ( 新聞報道などによる ) ISO27001 ISMS 規格に沿ったマネジメントシステム及び ISO27001 の付属書 A の管理策と ISO27002 の実施策ガイドを参考に選択採用した対策でこれらの犯罪行為から秘密情報を守る必要があるしかし ISO27001 の付属書 A の管理策と ISO27002 の実施策ガイドを参考に情報セキュリティ対策を選択採用しようとしても営業秘密とか不正競争防止法とかいう言葉は現れてこないので営業秘密保護が不完全になりやすいのではないかと考えられるそこで ISO27001/ISO27002 に沿った情報セキュリティ対策で有効な営業秘密の保護対策を講じるにはどうすればよいかを研究し考察した 7

8 2. 情報セキュリティ対策と関連法令との関係 ( 問題提起 ) 2-1 ISO27001/ISO27002 情報セキュリティ管理策による法令対応 A.18 順守 A.18.1 法的及び契約上の要求事項の順守 A 適用法令及び契約上の要求事項の特定 1 関連法令規制契約上の要求事項と 23 これらの要求事項を満たすための組織の取組みを特定関連法令一覧個人情報保護法不正競争防止法不正アクセス禁止法迷惑メール防止法労働基準法労働者派遣法消防法消防法施行令著作権法特許法知的財産基本法 : 利用目的取得提供開示営業秘密差止請求損害賠償 id/pw 盗用禁止アクセス制御管理特定メール適正化迷惑メール禁止制裁制限秘密を守る義務防火設備防火管理著作物ソフトウエアライセンス特許意匠商標 A 知的財産権ソフトウエアのライセンス管理 A 記録の保護記録の法的保管期限保管方法の管理 A プライバシー及び個人を特定できる情報 (PII) の保護管理策個人情報保護法番号法対応 3対策手順化& 情報セキュリティ研究プロジェクト 2015 年度研究成果報告 2対策手順化情報セキュリティ専門監査人部会 1 関連法令と要求事項を特定周知 8

9 2. 情報セキュリティ対策と関連法令との関係 2-2 ISO27001/ISO27002 管理策で対策が手順化されない法令要求 ( 例 ) A 適用法令及び契約上の要求事項の特定 1 関連法令規制契約上の要求事項の特定関連法令一覧個人情報保護法不正競争防止法不正アクセス禁止法迷惑メール防止法 3 これらの要求事項を満たすための組織の取組みを特定労働基準法労働者派遣法利用目的取得提供開示営業秘密差止請求損害賠償 id/pw 盗用禁止アクセス制御管理特定メール適正化迷惑メール禁止制裁制限秘密を守る義務法令関連の管理策のガイドの A 適用法令及び契約上の要求事項の特定消防法消防法施行令防火設備防火管理によって作成した関連法令一覧では不正競争防止法とその要求事項である著作権法著作物ソフトウエアライセンス営業秘密差止請求損害賠償などが特定され特許法知的財産基本法特許意匠商標 : 周知の対象になる 1 周知 9

10 2. 情報セキュリティ対策と関連法令との関係 2-2 ISO27001/ISO27002 管理策で対策が手順化されない法令要求 ( 例 ) A 適用法令及び契約上の要求事項の特定 1 関連法令規制契約上の要求事項の特定関連法令一覧個人情報保護法不正競争防止法不正アクセス禁止法迷惑メール防止法 3 これらの要求事項を満たすための組織の取組みを特定労働基準法労働者派遣法利用目的取得提供開示営業秘密差止請求損害賠償 id/pw 盗用禁止アクセス制御管理特定メール適正化迷惑メール禁止制裁制限秘密を守る義務法令関連の管理策のガイドの A 適用法令及び契約上の要求事項の特定消防法消防法施行令防火設備防火管理によって作成した関連法令一覧では不正競争防止法とその要求事項である著作権法著作物ソフトウエアライセンス営業秘密差止請求損害賠償などが特定され特許法知的財産基本法特許意匠商標 : 周知の対象になるがそれ以上具体化されることはあまりないのが実情である問題未実施 1 周知 3対策手順化法令要求事項に対する対策の追加と手順化が行われていない 10

11 3. 関連法令要求事項を遵守するための対策の採用 ( 課題 ) 3 1 関連法令要求から遵守するための対策を想定するのは困難 1 関連法令と要求事項を特定する法令要求事項から必要な対策を直接想定して手順化することは困難 3 対策を手順化する 1 法令 How? 3 対策手順化 11

12 3. 関連法令要求事項を遵守するための管理策の採用 3 2. 関連法令に関するガイドラインを利用して管理策を把握 1 関連法令の要求事項を特定する 2 法令を遵守するために要求推奨された対策を把握するこれが重要 3 必要な対策を選択し手順化する How 1 法令 2 ガイドライン法令を遵守するために要求推奨された対策を把握 3 対策手順化多くの組織でこの手順を踏まないため法令を遵守するための適切な対策が手順化されない 12

13 3. 関連法令要求事項を遵守するための管理策の採用 3 3. 関連法令要求事項を特性分類に沿って把握するワークシート ( 解決案 1) 関連法令要求事項を特性分類に沿って把握するワークシートで法令の要求事項をマネジメントシステムの視点による特性分類で整理してみた不正競争防止法 ( 営業秘密 ) 及び営業秘密管理指針を基に要求事項を特定してみた次スライド他に以下についても試行してみた個人情報保護法 /JIS Q 個人情報保護マネジメントシステム不正アクセス禁止法 JSSA 大会 ISMS 情報セキュリティ対策における営業秘密保護の考察情報セキュリティ合同研究会 13

14 3. 関連法令要求事項を遵守するための管理策の採用 3 4. 不正競争防止法 ( 営業秘密 ) / 営業秘密管理指針の情報セキュリティ要求事項を 3.3で提案したワークシートで整理した結果前回報告はここまで要求分類組織経営者管理責任者従業者体制整備営業秘密管理意思体制内部監査マネジメントレビュー改善 -- 情報保護管理手続事項罰則の適用営業秘密の特定秘密管理性有用性非公知性及び不正取得行為に関するリスクマネジメント規程手順の整備見直し改善営業秘密管理意思規定手順の周知徹底不正取得行為に対する訴え差止損害賠償請求の手続の策定刑罰があることの周知社内の罰則の制定周知契約誓約取得違反者への罰則適用目的自身の役割を理解開催教育研修に出席ルールの認識遵守異常等の報告 -- 刑罰についての認識社内罰則の合意の誓約契約処罰受入損害賠償 JSSA 大会 ISMS 情報セキュリティ対策における営業秘密保護の考察情報セキュリティ合同研究会 14

15 4. 営業秘密保護のためのガイドライン ( 調査結果 ) 4.1 営業秘密に関する法令とガイドラインの関係不正競争防止法 ( 営業秘密関係 ) 2 条定義 15 項 6 号この法律において営業秘密とは秘密として管理されている生産方法販売方法その他の事業活動に有用な技術上又は営業上の情報であって公然と知られていないものをいう 4 条損害賠償請求権 5 条損害額不正使用の推定 7 条侵害行為立証時の書類提出命令 10 条民事訴訟時の保護 21 条懲役罰金不当収益没収営業秘密管理指針営業秘密として法的保護を受けるために必要となる最低限の水準の対策を示す 2. 秘密管理性について (1) 秘密管理性要件の趣旨 (2) 必要な秘密管理措置の程度 (3) 秘密管理措置の具体例 ( 媒体別 ) (4) 社内外で営業秘密を共有する場合の秘密管理性の考え方 3. 有用性の考え方 4. 非公知性の考え方最近発行されたので追加検討した ( 注 ) 営業秘密だけではなくより幅広い秘密情報としてガイドされている秘密情報 ( 注 ) の保護ハンドブック秘密情報を決定する際の考え方やその漏えい防止のために講ずるべき対策例万一情報が漏えいした場合の対応方法等を示す第 2 章保有情報の把握評価秘密情報決定第 3 章 3 1 秘密情報の分類 3 2 分類に応じた情報漏洩対策選択 3 3 秘密情報の取扱方法等ルール化 3 4 具体的な情報漏えい対策例第 4 章秘密情報管理の社内体制のあり方第 5 章他社の秘密情報に係る紛争への備え第 6 章漏えい事案への対応法令不正競争防止法 ( 昭和 9 年法律第 14 号平成 27 年 7 月 10 日法律第 54 号全面改正 ) 適用ガイドライン営業秘密管理指針 ( 平成 15 年 1 月 30 日制定平成 25 年 8 月 16 日改訂平成 27 年 1 月 28 日全面改訂 ) 保護策ガイドライン秘密情報の保護ハンドブック ~ 企業価値向上に向けて ~ ( 経済産業省平成 28 年 2 月 8 日発行 ) 15

16 4. 営業秘密保護のためのガイドライン 4.2 秘密情報の保護ハンドブックとは場所状況環境に潜む機会が犯罪を誘発するという犯罪学の考え方なども参考保護策ガイドライン秘密情報の漏えい要因となる事情を考慮 5 つの対策の目的を設定出典 : 経済産業省秘密情報の保護ハンドブック ~ 企業価値向上に向けて ~ の P18 の図表 3(1)5 つの対策の目的を引用 16

17 4. 営業秘密保護のためのガイドライン 4.3 秘密情報の保護ハンドブック 5 つの対策の目的とは物理的な防御心理的な抑止( 企業の生産性向上や効率的な経営の実現などの観点からも重要 ) (1) 接近の制御目的 : アクセス権限がない者を秘密情報に近づけないようにする (2) 持出し困難化目的 : 秘密情報を無断で複製したり持ち出すことを物理的技術的に阻止する (3) 視認性の確保目的 : 秘密情報への接触が記録されたり他人に目撃されたり事後的に分かるような環境によって漏えい行為が見つかると認識させる (4) 秘密情報に対する認識向上 ( 不正行為者の言い逃れの排除 ) 目的 : 情報漏えいを行う者に秘密情報社外持出禁止だと知らなかったというような言い逃れができないようにする (5) 信頼関係の維持向上等目的 : 秘密情報の管理に関する意識を向上させる保護策ガイドライン出典 : 経済産業省秘密情報の保護ハンドブック ~ 企業価値向上に向けて ~ 17

18 4. 営業秘密保護のためのガイドライン 4.4 秘密情報の保護ハンドブック 5 つの対策例保護策ガイドライン (1) 接近の制御 : アクセス権限がない者を秘密情報に近づけないようにする対策例 :1 当該情報について知るべき者にだけアクセス権を与える正式なルールを策定 2 秘密情報に対するアクセス権者の範囲を適切に設定 3 施錠管理入退室制限等の区域制限等 (2) 持出し困難化 : 秘密情報を無断で複製したり持ち出すことを物理的技術的に阻止する対策例 :1 秘密情報が記載された会議資料等の回収 2PC の固定 3 記録媒体の複製制限 4 従業員の私物メモリの持込み利用を制限 (3) 視認性の確保 : 漏えい行為が見つかると認識させる対策例 :1 職場のレイアウトの工夫 2 資料ファイルの通し番号管理 3 録画機能付き防犯カメラの設置 4 入退室の記録 5PC のログ確認等 (4) 秘密情報に対する認識向上 : 知らなかったというような言い逃れができないようにする対策例 :1 秘密情報の取扱い方法等に関するルールの周知し 2 秘密情報が記録された媒体へ秘密表示等 (5) 信頼関係の維持向上等 : 秘密情報の管理に関する意識を向上させる対策例 :1 情報漏えいと結果について事例を周知 2 働きやすい職場環境の整備や適正な評価等による企業帰属意識の醸成モチベーションの向上 3 職場のモラルや従業員等との信頼関係を維持向上出典 : 経済産業省秘密情報の保護ハンドブック ~ 企業価値向上に向けて ~ 18

19 4. 営業秘密保護のためのガイドライン 4.5 秘密情報の保護ハンドブック対策の ISMS 管理策との比較参考資料 1 の情報漏えい対策一覧で示されている対策を ISMS と比較した保護策ガイドライン参考 : 経済産業省秘密情報の保護ハンドブック ~ 企業価値向上に向けて ~ ISMS 管理策には無いような対策が秘密情報の保護ハンドブックにはあり秘密情報の保護のために秘密情報の保護ハンドブックの活用が必須といえる 19

20 5. ガイドラインの活用方法 ( 研究 ) 5.1 秘密情報の保護ハンドブックの活用方法の検討結果特活用方法マネシメントシステム 1 秘密情報の保護ハンドブック単体で秘密情報保護の仕組みを構築する独自保護策ガイドライン徴管理策 / 実施策当該ハントフック 2 ISO31000 リスクマネジメントで秘密情報の保護を目的に秘密情報の保護ハンドブックを参考にリスクと管理目標リスク対応選択肢を決定 3 ISO27001 の ISMS で主たる管理策ガイドラインとして秘密情報の保護ハンドブックを参照 4 ISO27001 の ISMS で管理策ガイドラインとして ISO27001 管理策 /ISO27002 実施策に加えて秘密情報の保護ハンドブックを参照 ISO31000 リスクマネシメント ISO27001 ISMS ISO27001 ISMS 当該ハントフック当該ハントフック ISO27001 管理策 ISO27002 実施策 + 当該ハントフック 20

21 5. ガイドラインの活用方法ガイド 5.2 秘密情報の保護ハンドブックの活用方法毎の適用組織の検討結果ライン適用組織保護策活用方法マネシメントシステム管理策 / 実施策 1 秘密情報の保護ハンドブック単体で独自当該ハントフック秘密情報保護の仕組みを構築する企業リスクマネジメント (ERM) も ISO27001 ISMS も構築予定のない組織向き 2 ISO31000 リスクマネジメントで秘密情報の保護を目的に秘密情報の保護ハンドブックを参考にリスクと管理目標リスク対応選択肢を決定 3 ISO27001 の ISMS で主たる管理策ガイドラインとして秘密情報の保護ハンドブックを参照 4 ISO27001 の ISMS で管理策ガイドラインとして ISO27001 管理策 /ISO27002 実施策に加えて秘密情報の保護ハンドブックを参照 ISO31000 リスクマネシメント ISO27001 ISMS ISO27001 ISMS 当該ハントフック企業リスクマネジメント (ERM) 構築済み又は予定のある組織向き当該ハントフック将来 ISO27001 ISMS 構築予定のある組織向き ISO27001 管理策 ISO27002 実施策 + 当該ハントフック ISO27001 ISMS 構築済みの組織向き 21

22 6. 課題と今後の進め方 < 当研究の深化 > (1) さらなる詳細検討を進め研究の深堀と検証特に ISO27001 ISMS を前提としないで例えば秘密情報の保護ハンドブックを企業のリスクマネジメント (ERM) の一環として取り組む場合又は対策だけ採用する場合の詳細検討など (2) この研究を研究論文として纏める < 新テーマ研究 > (3) 経産省 -IPA のサイバーセキュリティ経営ガイドラインの中小組織への活用の研究 ( 発行 ) 従来からサイバー攻撃への対策は色々検討されているがサイバー攻撃は防ぎきれないと認めてサイバー攻撃を受けた場合に備えて早期発見初動対応顧客取引先への通知等を含めた緊急時の体制整備の項目を洗い出す経営者がこれらを認識して取組み適切な公表通知を行うことは訴訟リスクの面からも重要 (4) ISO27017クラウドセキュリティ管理策の中小組織への活用の研究ビジネス変化への迅速な対応やITコスト低減のために今やクラウドコンピューティングの利用は必須の状況フットワークの良い中小組織こそ利用しやすいとも言えるしかし予期せぬ停止やデータの喪失などのリスク想定とそれに備えた対応をすることが重要でありこれを分かりやすくガイドすることが必要など < 共通 > (5) これら研究を進めるための研究プロジェクトメンバー募集 22

23 情報セキュリティ合同研究会 <2015 年度研究会参加メンバー > 川辺良和齋藤敏雄山本孟高橋孝治芳仲宏インターギデオン : 主査日本大学 MHO アシストラボ高橋孝治公認会計士事務所東京地方裁判所長野加代子ピーアンドアイ黒川信弘高野美久植野俊雄ご清聴ありがとうございました研究会はさらに情報セキュリティとシステム監査の有効性と効率性を深堀りします研究会への参画をお待ちしております黒川技術士行政書士事務所 NECソリューションイノベータ ISU : 発表者 23

内部不正を防止するために企業は何を行うべきなのか

内部不正を防止するために企業は何を行うべきなのか 2015/2/26 株式会社日立ソリューションズハイブリットインテグレーションセンタプロダクト戦略部第 2 グループ部長代理中川克幸 Contents 1. 最近のセキュリティ事件事故 2. 経済産業省からの周知徹底要請 3. 内部不正を防ぐための管理のあり方 4. 参考になりそうなガイドライン 1 1. 最近のセキュリティ事件事故最近のセキュリティ事件