見出し画像

企業の営業秘密の管理実態(6/9)

IPAセキュリティエコノミクス

今回は、企業の実務者が営業秘密管理について具体的にどのような問題意識を持っているのか等、課題と現状について調査結果から紹介します。

(1) 企業の営業秘密情報の管理に対する現状認識
① 脅威を感じ、対策が必要と考えていること
 最多だったのは自社における「体制の不備や担当者のスキル不足」41.3%(図 2.2 32)でした。

画像1

更に、情報管理に関する成熟度※別に比較分析しました(図 2.2 129)。成熟度の高い企業は「外部からの標的型攻撃」「新たな環境において営業秘密を扱うこと」など未知の要素を含む脅威への対策が必要と考えていた(図中青枠)一方、成熟度の低い企業は「ルールの不備」(赤枠)など、そもそも情報管理を行うための体制や仕組みが未整備であることが上位に位置付けられていました。成熟度中・低に相当する企業においては、新たな脅威にどう対応するかよりも、既知の脅威に対応するための体制や仕組みができていないことそのものが、情報管理上の脅威となっていることがわかりました。

(※本調査において、管理体制や規程・手続等の整備、対策の検討・導入・運用、実践状況の確認と見直し等の取組について、複数の質問をもとに「情報管理に関する成熟度」を定義・数値化し企業を分類したもの。)

画像7

② 企業が課題として認識していること
 「対策の費用対効果を明示しにくい」「従業員にルールを徹底させることが難しい」「対策に要するコストが高額」等、管理上直面する様々な課題が挙げられました(図 2.2 42)。

画像3

成熟度別に分析すると、成熟度高の企業は対策コストや費用対効果に関すること(青枠)、成熟度中・低の企業は従業員へのルール遵守徹底などが相対的に重い課題(赤枠)として認識されており、回答企業において、営業秘密管理の観点で本来やるべきことができていないことが課題として自覚されていることがわかりました(図 2.2 130)。

画像7

(2) 企業における対策実施状況から示唆される課題
成熟度が中・低の企業の体制構築や対策の実施が十分でないことは上述の通り課題であるが、一方で、営業秘密の侵害行為に対する法的救済の観点でみると、不正アクセス等が行われた証拠を確保することも重要です。具体的には、アクセスログの記録及び保管です。「情報システムのログの記録・保管と周知」のみについて企業規模別のクロス集計を行った結果、ログの記録等の実施率は企業規模と正相関の関係にありました。零細企業においてはまったく実施されていない一方、従業員数3,001人以上の企業においては、8割を超える実施率でした(図3.2.1)。

画像5

 この結果は多くの中小規模企業において、必要な取組みが十分に行われていないことを示しています。しかし従業員3,001人以上の大規模企業であっても、2割弱はログの記録を行っておらず不正競争行為に対する適切な法的救済を受けられない恐れがあることを示唆しています。

(3) テレワーク等の新たな働き方の実施に伴うリスク認識
 テレワークを実施している企業を対象に営業秘密の漏えいリスクが増大しているか否かを訪ねた結果、リスクが「大きく増大する」との回答が15.3%「若干増大」が46.7%「ほとんど変わらない」が31.4%でした(図 2.2 111)。認識に差が生じる背景として、次項のような要因が明らかになりました。

画像6

① テレワーク等の環境で厳重に保護すべき情報を扱っていない
 企業インタビューで、リスクがほとんど変わらないと回答した企業に理由を尋ねたところ、テレワーク等の環境で厳重に保護すべき営業秘密を扱うことを認めておらず、仮に情報漏えいが生じても被害が大きくならないことが挙げられました。この場合、業務の遂行に専用の設備を必要とし、テレワーク等での業務は限定されますが、営業秘密漏えいのリスクの増大や対策に要するコストの抑制は可能となります。一方、テレワーク等で実施可能な業務を限定することは、テレワーク導入による効果も限定してしまうことにもなります。実際にテレワーク等の働き方を全面的に導入することが困難な業種や事業形態の企業は多く、こうした企業で限定的にテレワークを行う場合は、取扱可能な情報を限定することも対策の一案といえます。

② テレワーク等の安全確保のために実施すべき対策ができていない
 一方、リスクが大きく増大していると回答した企業の理由を推察する手段として、図 2.2 42で営業秘密情報の保護対策を実践する上で課題と感じる事項を、テレワークのリスク認識をもとにクロス集計をしました(図 3.2 2)。

画像7

テレワークで「リスクが大きく増大している」と回答している群が、それ以外の群と比較して突出して懸念している項目として、次の課題があることがわかりました。
◎ 対策投資に関する経営層の承認を得ることに苦労すること
◎技術的対策に要するコストが高額なこと
◎電子メールで授受される営業秘密の管理が徹底されていないこと
◎ 新たな業務環境における適切な対策の見極めができていないこと
◎従業員に秘密情報管理のルールを遵守させることが難しいこと
◎従業員の私物端末における対策の徹底が難しいこと

これらの課題は、回答者から見て「対策が必要と思っているが、実際には 対応できていない」ものであり、これらが改善されないままテレワークを実施していることから、テレワークのリスクは著しく大きいと感じられていることが考えられます。
 こうした傾向から示唆されるのは、緊急事態宣言の発令等に伴って急遽テレワーク等の働き方を導入した企業では、テレワーク等の業務形態に応じた情報管理対策が講じられないまま運用が継続されている可能性です。リスクが大きく増大すると認識している回答者の比率である15.3%は、こうした状態にある企業がどの程度存在するかの推定にあたって参考にできるデータと考えられます。

次回は、今後企業が取り組むべき適切な営業秘密管理の考え方について紹介します。調査結果のデータなどは以下からダウンロードできます。

概要資料表紙




この記事が気に入ったらサポートをしてみませんか?