Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

フューチャーアーキテクト社の営業秘密持ち出し事件を調べてみた

日経新聞が3月8日にITコンサル元役員が競合先企業に営業情報を漏えいされた疑いで逮捕されたとの記事を掲載していました。

www.nikkei.com

■公式発表

 本日の当社元社員に関する報道について (フューチャーアーキテクト社)

 当社元従業員の逮捕について (ベイカレント社)

 

事件の状況 
  • 容疑者は2017年1月~2月にかけて、自宅パソコンからフューチャーアーキテクト社のサーバに接続し、顧客向け金融システムの提案書システムエンジニアプログラマー等の技術者の従業員名簿(約100人分)を不正に得て、一部をベイカレントのパソコンに複製したり顧客向け見積書をベイカレントの社員にメール送信した疑い
  • 容疑者は、ベイカレント社から貸与された端末に名簿を保存
  • 2016年12月以降にフューチャーアーキテクト社からベイカレント社に移籍した従業員は約30人ベイカレント社は容疑者に名簿を持ち出す指示はしてないと説明)
  • 容疑者は「自分で作成した資料なので問題ないと思った」と容疑を否認
  • 「元従業員は当社との二重雇用状態において、当社から職務上付与されたアクセス権限を悪用して当社およびフューチャーアーキテクトの営業秘密等を不正取得等していたことが、調査の結果判明した」(民事訴訟時のフューチャーアーキテクト社の説明)

 

インシデントタイムライン

日時 出来事 情報ソース
2016年12月~2017年5月 ベイカレント社と雇用契約 *ヘッドハンティング
(フューチャーアーキテクト社には知らせてない)
*日経3/8記事
2016年12月以降 フューチャーアーキテクト社からベイカレント社に技術者30人が移籍 *日経3/9記事
2017年1月~2月 自宅PCからフューチャーアーキテクト社のサーバに接続し、提案書や従業員名簿を不正に持ち出したほか、見積書をベイカレント社の社員にメールで送信したり、ベイカレントのパソコンに複製 *日経3/8記事
*日経XTECH記事
2017年4月 フューチャーアーキテクト社が警察庁に被害を相談 *日経3/8記事
2017年5月 フューチャーアーキテクト社が容疑者を解雇 *日経3/8記事
2017年8月 フューチャーアーキテクト社がベイカレント社と元従業員に対して損害賠償を求める民事訴訟を提起 *日経XTECH記事
2018年1月 ベイカレント社を容疑者が自主退社 *朝日新聞記事
2018年3月6日 不正競争防止法違反容疑(営業秘密不正持ち出し)で容疑者を逮捕 *日経XTECH記事

 

◆キタきつねの所感

今回の事件は、ライバル企業にヘッドハンティングされる際に持ち出した営業秘密情報の中身から考えると『産業スパイ事件』と言えそうです。

日本の製造業が技術情報を韓国や中国企業に持ち逃げされた事件は東芝のメモリ情報(新幹線もか・・)などが思い浮かびますが、得意先に高い知見を売る『コンサルティング』ノウハウや技術情報という観点で考えると情報を持ち出されたフューチャーアーキテクト社から見ると、かなりの大事件ではないでしょうか。

 

f:id:foxcafelate:20180310115344j:plain

警察庁赤坂署が開示した押収品(営業情報がコピー/保存されていたと疑われる機器)を見ると、携帯用ハードディスクが入っているようです。つまり、容疑者は(当然)不正に持ち出す強い意図があった思いますし、自分で作成した資料なので問題ないと思ったの言い逃れは無理だと思います。

見積書、技術情報(ノウハウ)が含まれる提案書、日経3/8記事によると「提案書と見積書には金融システムの仕組みの詳細が示され、外部に漏れれば技術が盗用される恐れがあった」とあり、その漏えいが問題である事について・・・企業の元役員がそこまで法律(常識)を知らないという事も無いと思いますし、ヘッドハンティングに実際に使われた”従業員情報”を自分が作成した?というのも無理があります。

情報を得た側となるベイカレント社の言い訳も苦しい気がします。元従業員の業務端末に(名簿)データは保存されており、従業員は提案書の添付されたメールを受領してしまっています。警察庁のPC等の押収品から見ても・・・無関与・無関係も無いと思います。更にヘッドハンティングに使われた情報については、30名の技術者のヘッドハンティングを短期間に行った事実がある訳ですから、どう言い逃れできるのか・・・やはりそれは無理でないでしょうか。

コンサルティングを基幹とする会社で、他社の機密情報を恣意的に持ち出させる、あるいはライバル社が持っていた営業情報を使ってビジネスを行う(と思われる)行為は、それがバレた場合は、(移籍先の)会社の信用を落とすというリスクがあります。ベイカレント社も事件を受けて大きく株価を落としていますが、(日本)市場はそうした手法を許さないと厳しい目で見ていると言えそうです。

では産業スパイをやられた形になる、フューチャーアーキテクト社は、何故内部不正を防げなかったのでしょうか?勿論、競合他社と雇用契約を結んでいる事を知らされて無かったので、対策は難しかったとは思いますが、いくつかの観点で、早期に”気づけた”可能性を感じます。

  1. 報酬に対する不満(評価)
  2. 労働時間の管理
  3. 外部アクセスに対する監視/レビュー

1番目に関しては、ヘッドハンティングを受けた理由について容疑者は「報酬アップのためヘッドハンティングに応じた」(日経3/10記事)と語っていますので、金銭的な不満が顕在化していた可能性があります。お金に困っている、評価されてない、叱責されている・・・等々、何かしらのサインが出ていたのではないでしょうか。

2番目については、2重雇用(ダブルワーク)状態であった事から、フューチャーアーキテクト社から見ると、『労働時間の減少』あるいは(成果主義であれば)『仕事の質が下がる』のどちらかが、会社側から気づけた可能性があるかと思います。容疑者は『執行役員』であったので、みなし労働(成果主義)で、会社側が労働時間をきちんと把握してなかったかも知れませんが、会社全体で労働時間管理(例えばIDゲート記録や社内システムアクセスをベースにした)がしっかりと運用していれば、2社でのワークに対して埋められない労働時間差分が出ていたのではないでしょうか。

最後が、休日や外部からのアクセスに対して監視や(事後)レビューが出来たかも知れない点です。人のあまり居ない時間帯に不正にデータを持ち出すか、外部アクセスでこっそり持ち出す、内部不正にありがちなこの2つのパターンが今回の事件では当たっている気がします。業務に関係が無いデータを多量に持ち出す、あるいは休日に大量のファイルが出ている。普段は不要な人事ファイルが閲覧されている・・等々、監視/レビュー条件はいくつも考えられたと思います。

 

余談ですが、ほとんどの記事で実名が出ておりました。容疑者のFacebookアカウントがあったので少し見てみますと・・・開成>東大のエリートコースを歩んできた人であった事が分かります。この経歴であれば、営業秘密が何であって、競合企業との2重ワークへの問題がないのか、人事情報を不正に他社に渡すのは個人情報保護法も違反・・・そんな事は予め分かっていたのだと思います。

 

f:id:foxcafelate:20180310131230j:plain

恣意的に従業員に内部不正されてしまうリスクについて、海外企業に比べて、日本企業はあまり真剣に考えていないところが多い気がしますが、今までの内部不正事件でよくあった海外国籍の従業員だけでなく、日本国籍の方であっても、そしてたとえ役員であっても不正を起こす可能性がある。そう理解して自社のリスク管理を考えていく必要があるのかも知れません。

 

www.ipa.go.jp

 

 

 

参考:引用元ソース

www.nikkei.com

tech.nikkeibp.co.jp

www.asahi.com

www.nikkei.com

 

スパイの猫のイラスト

 

更新履歴

  • 2018年3月10日AM(予約投稿)