営業秘密関連ニュース

2020年2月14日
・ソフトバンク元部長を起訴 ロシア外交官に機密漏えい―東京地検(JIJI.COM)
・ソフトバンク情報漏洩 元社員を起訴 PC画面をデジカメ撮影(産経新聞)
・ソフトバンク元社員を起訴 機密情報の不正取得疑い(KYODO)
・ロシア外交官「ラインX」所属か 機密漏えい事件、科学技術を収集(KYODO)

2020年2月14日
・米検察、ファーウェイを企業秘密窃取の疑いで追起訴 北朝鮮とも取引(REUTERS)
・米、ファーウェイを追起訴 企業秘密窃取など16の罪で(AFPBB)
・米、ファーウェイを追起訴 北朝鮮との取引隠蔽の疑い(日経新聞)

2020年2月11日
・“機密情報”で見返り ロシア通商幹部から数十万円(テレ朝NEWS)
・SB元社員、別の機密情報も持ち出し(TBS NEWS)

2020年2月10日
・他の機密情報も不正取得か ソフトバンク元社員を追送検(共同通信)
・SB元部長の情報流出相手か ロシア通商幹部、出国へ(テレ朝NEWS)
・ソフトバンク情報漏洩 別時期にも機密情報持ち出しか 元社員追送検(産経新聞)
・ロ外交官、出頭応じず出国 教唆容疑で書類送検へ―ソフトバンク機密漏えい・警視庁(JIJI.COM)
・ソフトバンク機密情報漏洩 露幹部職員が出国か 元社員は自宅からサーバーにアクセス疑い(産経新聞)
・露幹部職員出国で全容解明困難も「覚知遅れれば、もっと情報取られていた」 ソフトバンク漏洩(産経新聞)

2020年2月7日
・ソフトバンク宮内社長、ロシアと関係のあった元社員が持ち出したのは「基地局設置の手順書」(ケータイ Watch)
・ソフトバンク元社員「損害出るとは」 ロシア人“スパイ”に漏えいか(FNN PRIME)
・「ロシアの古典的スパイに…」 ソフトバンク社長が謝罪(朝日新聞)

2020年2月6日
・ロシア諜報機関のスパイか ソフトバンクの元社員情報漏えい(FNN PRIME)

2020年2月5日
・“ロシア人スパイ”を書類送検へ ソフトバンク元社員 情報漏えい(FNN PRIME)

2020年1月28日
・ロシア人の男に「ほかにも資料渡した」 ソフトバンク元社員(FNN PRIME)
・ロシア、日本人男性を一時拘束 昨年12月、機密情報取得図った疑い(産経新聞)
・情報渡すたびに露側から数万円、ソフトバンク元社員 機密漏洩事件(産経新聞)>
・ロシア、昨年末に邦人記者を追放 「軍事機密入手を画策」=RIA(REUTERS)
・ソフトB元社員「新橋あたりで声かけられ」(日テレNEWS24)
・SB元社員 露側と2~3か月に1度接触か(日テレNEWS24)
・「最初は誰でも入手できる情報を要求」(TBS NEWS)
・情報漏えい、低過ぎた危機意識~元ソフトバンク社員の陥った古典的なスパイ手口(日本放送NEWS)

2017年11月24日金曜日

米企業ウーバーの個人情報流出事件から考えること

先日、米企業のウーバーが保有する5700万人もの個人情報がハッカーによって 不正取得され、あろうことかそれを隠ぺいするためにハッカーに10万ドルを支払っていた、という驚きの報道がありました。まさに、盗人に追い銭!!

ウーバーが保有していた個人情報は、当然、秘密管理されていたものでしょうから、ハッカーによる個人情報の不正取得は、日本の不競法でいうところの営業秘密の不正取得に他ならないでしょう。

すなわち、ウーバーは営業秘密を不正取得された被害企業であるにもかかわらず、考えられる得る限り、最悪の対応をしたと思われます。

なお、日本において個人情報を保有する企業は、個人情報の保護に関する法律(個人情報保護法)に基づいて、適切に管理する義務を有しているようです。

<個人情報保護法>
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

このため、個人情報が漏洩した企業は、個人情報保護法に基づいて管理義務違反にも問われるようです。

また、たとえ、ハッカーによる不正行為といえども、個人情報を漏洩させたことは当該企業にとっては、道義的にもその管理責任を問われることになる問題かと思います。
このため、国内外の企業にかかわらず個人情報の漏えいがあった場合には、その理由の如何を問わず、即座に公表して対応することは、素人でも分かることです。
その典型的な事例がベネッセの個人情報流出事件でしょう。



ところで、ウーバーはなぜ個人情報漏洩に関して、このような最悪と思われる手段を取ったのでしょうか?そのような悪手を止めることが誰もできなかったのでしょうか?

ウーバーは何かとお騒がせな企業というイメージもありますし、下記の報道には「ウーバーは法令を軽視し、事業展開の速さを優先する企業文化で急成長してきたが、そのツケを払わされている格好だ。14年の個人情報流出時も開示が遅れ罰金を科されていた。」ともあります。企業の体質なのでしょうか?
・ウーバー、5700万人分個人情報流出の隠蔽発覚 16年 (日本経済新聞)

また、「14年の個人情報流出時も開示が遅れ罰金を科されていた。」とのことですから、そもそも、情報流出時の対応が予め策定されていないのかとも思います。
その結果、一部の者の判断でハッカーに追い銭を渡すなどという普通では考えられない対応を取るに至ったのでしょうか?
「サイバーセキュリティー担当トップら幹部2人を解任」ともありますので、一部の者の勝手な判断なのでしょか?
それとも、こらはトカゲのしっぽ切りであり、会社としての判断だったのでしょうか?

ここで、どんな対策をしようが、営業秘密等の情報流出を100%防ぐことは不可能です。ミスによる流出もありますし、従業員による悪意のある流出やハッカーによる流出もあります。
しかしながら、情報流出が起きた場合に、どのような対応を取るかを予め決めておけば、個人の勝手な判断等、誤った判断を防ぐことも可能かと思います。
そもそも、情報流出は普通であれば頻繁に生じることではありません、そのため、対応策を予め策定しておかなければ、情報流出が起きた場合の対応を迅速に取ることはできないとも思えます。特に、個人情報の流出の場合には、例えばカード情報等が流出した場合には、一刻を争う事態です。
言うなれば、情報流出の対応策は、防災対策のようなものとも考えられます。

情報は、企業にとって資産でもありますが、情報の流出可能性を考えると逆にリスクにもなり得るかと思います。例えば、企業が管理する個人情報が流出した場合は顧客に対する対応に費用や労力を要するというリスクになり、技術情報が流出した場合は他社に自社技術を模倣されて自社の価値が毀損するというリスクになるかと思います。
また、不正に取得された他者の情報が流入する場合も、自社の信用を失墜というリスクがあるとも考えられます。

このようなことを考えると、営業秘密管理とは情報管理とリスク管理の組み合わせとも思えます。