知的財産の窃盗という点で従業員はあまり目立ちませんが、最大の「フレネミー」になる可能性を秘めています。信頼されている従業員が日常的な業務を行うために機密データを持ち運び、共有、公開するのは普通のことです。それどころか、転職先で利用するために機密情報を故意に持ち出す場合さえあります。もちろん、こうした従業員がもともと悪質だということではありません。たいていは、その違法性を自覚していないだけなのです。
知的財産の窃盗をめぐる従業員の行動と態度についてシマンテックが最近実施した調査によると、知的財産の盗難は想像以上に多発しています。従業員の半数は、退職の際に企業データを持ち出したことを認めており、40 パーセントはそのデータを次の職場で使うつもりだと答えています。つまり、重要な情報が競合他社の手に渡るということです。最終的には、知的財産を持ち出す従業員も、知的財産に投資してきた組織も、そして意図せずにそれを受け取ってしまう新しい雇用主も、全員がリスクにさらされます。誰もが責任を問われる恐れがあり、勝者にはなりえません。
特に驚かされるのは、企業データの持ち出しを悪いことだと考えていない従業員がきわめて多いということです。62 パーセントの従業員が、企業データを個人のコンピュータやタブレット、スマートフォン、クラウドのファイル共有アプリなどに転送しても構わないと考えています。しかも、いったん転送されたデータはそこに残り続けます。削除する従業員はほとんどいないからです。
企業データの持ち出しについて従業員の思慮が浅いのは、その損害を知らないためです。以前の職場から持ち出した企業秘密を利用することが犯罪であると考えていない従業員は、56 パーセントにのぼります。その無自覚の根底にあるのは、知的財産の所有者が誰かということの理解の欠如です。調査によると、知的財産の所有権はその作成者に帰すると従業員は考えています。
従業員の所有物と企業の所有物を明確に区別する訓練を企業は実施しておらず、業務情報の保護について従業員の責任と説明責任を促す環境も作られていません。また、前の職場の機密データを利用することが現在の雇用主にとってリスク要因になるという点も教育されていません。
従業員による知的財産の窃盗のリスクを低減するために、企業には何ができるでしょうか。シマンテックは、調査結果に基づいて 3 つの推奨事項をまとめました。
- 従業員の教育:企業は従業員に機密情報を持ち出してはいけないと認識させる必要があります。知的財産の窃盗に関する認識はセキュリティ意識向上トレーニングに不可欠です。
- 機密保持契約(NDA)の徹底:より強力で、より具体的な言葉を従業員との契約に含め、退職者との面接を通じて機密情報を保護し、(どこに保存されていても)企業情報と財産をすべて企業に帰属させるために、従業員と責任について対話する必要があります。ポリシー違反による企業情報の窃盗は自分と将来の雇用主にマイナスの結果を生むことを認識させます。
- 監視技術:知的財産への不適切なアクセスと使用を監視し、機密情報の送信やコピーといった不適切な公開が行われた場合にリアルタイムで自動的に従業員に違反を知らせる情報漏えい防止ソフトウェアを実装することで、セキュリティ意識を高め窃盗を阻止します。
貴重な知的財産の保護を考えるうえで、企業は外部の攻撃者や、金銭目的で盗み出した知的財産を売ろうとする悪質な従業員を警戒するだけでは不十分です。通常の従業員も、企業にとっては同じくらい損害の原因になりえます。今回の調査の教訓はこれで明確になりました。敵は身近に置け、そして「フレネミー」はもっと近くに置け、ということです。
詳しくは、「What’s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk(あなたのものは私のもの: 従業員による企業の知的財産のリスクに関する調査)」と題するレポートをご覧ください。http://bit.ly/XFjYwQからダウンロードできます。