従業員による情報漏洩どう防ぐ?中国駐在員と本社がおさえるべきリスクと対策
企業の情報漏洩をどう防ぐか。これは世界共通の課題であるが、中国では従業員による内部の犯行が大部分を占めている。製造業にとって極めて重要な機密情報である設計図が標的となる事例も多い。海外駐在員はこうしたリスクにどう対処すればよいのか。中国で製造業をはじめ、多くの企業のインフラセキュリティ構築をサポートしているIIJグローバルソリューションズチャイナ社の山口副総経理と蒋マネージャーに話を聞いた。
【登壇者紹介】
山口貴司氏 IIJグローバルソリューションズチャイナ 副総経理
IT業界経験18年、うち中国IT経験12年。日本国内でITインフラを中心とした、システムエンジニアリング、ITコンサルティング業務を担当。2007年より渡中し、日系企業の中国進出をITの側面から支援。これまで担当した新規工場やオフィスのIT構築、改善案件は百件を超える。
蒋江(ショウコウ)氏 IIJグローバルソリューションズチャイナ アカウントマネージャー
日中両国においてIT分野を経験。2014年に国費留学生として渡日し、大学院を修了。日本国内の上場IT企業で、IoT、クラウド事業を中心としたシステムエンジニアリング業務に従事。2019年に中国に帰国し、現職にて日系企業を中心にITセキュリティ、サイバーセキュリティ法のアセスメントを支援。
聞き手
児玉淳也 B-EN-G上海 副総経理
新卒で入社したメーカー系国際物流会社にて貿易業務や現地法人への倉庫管理システム導入を経験後、 専門商社へ入社し、チェコ支店に駐在。欧州各国で営業・輸出入業務に従事。 帰国後の2006年にB-EN-Gに入社し、ERP・SCM製品のソリューション営業を担当。 2019年よりB-EN-G上海へ出向し、中国全土の日系および現地企業へのデジタル化・変革を支援している。
従業員による情報の持ち出しが最多
児玉淳也(以下、児玉):企業の情報漏洩はニュースでもよく耳にしますが、中国の情報漏洩事情について、お聞かせいただけますか。
山口貴司(以下、山口):情報漏洩は本当に身近な問題ですね。製造業では、設計図が漏洩して安価な類似品が世に出回り、市場のシェアを下げてしまったという話も聞きます。もちろん、設計図にアクセスできるのは限られた人だけですが、製造現場の担当者は担当部分の設計図が見えてしまうわけです。それ自体は全体のごく一部であっても、結果的にそういう情報が寄せ集められて類似品を作られてしまうこともあります。
具体的な数をお伝えしますと、中国では2015年以降、年間約50億レコードの情報漏洩があると報告されています(360社のレポートより)。年によって差はありますが、世界の情報漏洩件数は2020年で約372億レコード(Risk Based Security社のレポートより)でしたから、それなりに大きな割合を中国が占めているのがわかります。また、1件あたりの漏洩レコード数の平均は、世界的にも増加傾向です。
中国では、従業員による情報の持ち出しが多いという特徴もあります。あるJETROの調査では、従業員による情報漏洩が全体の78%を占めるという結果が報告されています。流出した情報のうち経営情報が49%、設計図や工程フローなど技術情報は39%でした。2013年の少し古いレポートですが、現在もそう変わっていないと思います。
児玉:数字で見ると深刻な問題であると改めて実感しますね。
中国では連絡手段としてWeChat(※)が浸透していて、私自身もほぼ毎日使っています。個人でやりとりしやすいWeChatのようなツールが、情報漏洩に利用されることもあるのでしょうか。
※「WeChat(微信・ウィーチャット)」は中国で広く使われる対話アプリ
蒋江氏(以下、蒋):おっしゃる通り、中国では老いも若きもWeChatを使っており、もはや社会インフラの一つです。中国においてWeChatを使わずに営業活動をするのは不可能といっても過言ではありません。企業用のWeChatもありますが、個人用アカウントを教え合うのも一般的です。便利で身近であるがゆえに、情報漏洩の手段に使われてしまうことも多くなっています。
面接に機密情報を持参?
児玉:ますます他人事とは思えないですね。従業員による情報漏洩が多いということですが、背景にはどのような事情があるのでしょうか。
山口:要因は二つあると思います。一つは情報資産への意識が低いこと。2000年代前半までは上海の街中でも偽物のDVDやソフトウェアを見かけることがありました。近年は改善していますが、地方都市ではまだ意識が低いこともあるでしょう。
児玉:確かに情報資産への意識の差は感じます。最近でも、国内でトップシェアの中国製ERPソフトの偽物を使っている会社の話を聞いて驚きました。
山口:もう一つは、中国の平均離職率が17.7%(JETRO調べ)と非常に高く、就業期間も新卒なら平均13カ月ほどと短いことです。日本のように終身雇用が当たり前ではなく、独立志向も高めです。
児玉:離職率が高いのは中国に限った話ではないですよね。離職率と情報漏洩はどう関係しているのでしょうか。
山口:中国で働いていると、企業と顧客のつながり以上に営業担当者と顧客のつながりが強いと感じることが多いですね。「御社だから契約するのではなく、あなただから契約する」という感覚です。よい部分もありますが、離職時においては営業担当者が転職すると、顧客ごと離れてしまうという事態に陥りがちです。転職者自身もそれを理解しているので、顧客リストを転職活動に利用する人もいます。実際に、私が面接した人でも「これだけ自分のお客様がいます」と、現職の顧客リストを持ってきた人がいました。持参しないまでも、口頭でそういう話をする人は当たり前のようにいます。
児玉:それで採用してしまったら、自社でも同じことをしそうですよね。転職活動としては逆効果にも思えます。
蒋:こうした転職者を擁護するわけではないですが、ニーズがあるから成り立つという側面はあると思います。日系企業の場合、面接で重視するのは経験や能力ですが、面接だけで正しく評価するのは簡単ではありません。営業職であれば、採用後にどれだけ取引先を拡大できるかは顧客リストを見ればイメージしやすいですよね。中国企業であっても大手やIT業界では意識が変わってきましたが、中小企業なら歓迎されるところもまだ少なくないのです。
児玉:日系企業の中には同業他社への転職を禁じることを就業規則に入れ込んでいる会社もありますが、独立する場合もありますよね。
山口:転職や独立の最大の目的は給与を上げることですから、給料を上げて従業員に長期間勤務してもらうことも、長い目で見れば情報漏洩対策になります。近年は日系企業の給与の上がり幅が中国企業に比べて小さく、転職されやすい状況といえます。ただ、情報漏洩の問題は日系企業に限りません。最近では中国の大手企業が、独立した従業員による模倣品に悩まされるケースも増えています。
法整備により駐在員の負担は増加
児玉:こうした状況に国としてはどのような制度や対策を取っていますか。
蒋:情報漏洩に関する法律が三つ整備されました。まず2017年にサイバーセキュリティ法が制定され、2021年には個人情報保護法とデータセキュリティ法が制定されました。
データ三法の関連性イメージ(蒋氏作)
このうち設計図など企業の技術情報の流出に関係してくるのは、サイバーセキュリティ法の等級保護2.0制度です。問題が発生したときの影響度合いによって五つの等級に区分し、企業が取るべき対策を規定しています。中国独自の観点として、国外に転送するときの越境転送のルールもあります。国際規格のISMSといえばイメージしやすいでしょうか。
ただ、ISOと違いこちらは法律ですから、守らなければ法律違反です。大企業はほぼ対応済みですが、中小企業はこれからというところも少なくありません。企業が遵守することで情報漏洩の可能性が減るため、国も積極的に推進しています。
児玉:法律が施行されても、運用が追いつかないということもありますが実態はどうですか。
蒋:当局は順次、監査を進めており、2019年度には約7万8000件の違反を摘発しました。新型コロナの流行で取り締まりは一時的に緩みましたが、2021年度から再び厳しくなっており、企業の対応は急務です。
児玉:日本人駐在員にとっては、国が対策に乗り出して安心できる反面、実務の負担は増えそうですね。
蒋:その通りです。たとえば等級2であれば、物理環境、ネットワーク、ハードウェア、ソフトウェア、データバックアップ等のセキュリティ要求が合計133項目にも上ります。内容が細かく、ITの専門家でなければ読み解くのは難しいでしょう。日系企業は中国にITの専門人員がいないケースが多く、我々への対応依頼も増えています。
山口:法整備によって日本人駐在員の負担は増えていますが、長期的に見ると、いい流れもあります。サイバーセキュリティ法はシステムごとに適応されるので、部門ごとにバラバラだったシステムを統一しようという企業が増えています。オンプレミスで物理的なサーバを管理するのをやめてクラウド化したり、SaaSを積極的に使ったりしようという流れもあります。
児玉:当社の多くのお客様は製造業ですが、設計図などの機密情報を扱っているので、どちらかというと保守的です。それでも最近は「クラウド利用を前提に提案してほしい」と言われることが増えました。法律に対応することは短期的には大変ですが、システム統合などが実現すれば、長期的には業務効率化につながっていきそうですね。
本社によるガバナンス強化とサポートが大事
児玉:企業が取れる具体的な情報漏洩対策の方法をいくつかご紹介いただけますか。
蒋:情報漏洩の防止の手段は大きく三つあります。一つ目は、情報漏洩に使われてしまうツール、WeChatなどの業務での使用を禁止すること。ただ、先ほどもお話したように、中国ではWeChatなしでは業務はまわりません。二つ目に、ログを取ること。こちらの方が現実的でしょう。WeChatやメールのログを取っておき、何かあったときに後から調べられるようにするとよいです。三つ目は、透過式暗号化といって、社外のパソコンにファイルが送られるときに自動的に暗号化する方法です。業務で必要な相手に送る場合は上司の承認を得る、あるいはホワイトリストに設定しておくなどで対応できます。
こうした対応はセキュリティツールを導入することで簡単に設定できます。当社が提供する「IP-guard」をはじめ、さまざまなツールがあるので比較検討して選ぶことをおすすめします。中国ではWeChatに対応できることが選定理由になることも多いですね。
設計図のような重要な情報はファイル形式で流出することがほとんどなので、ファイルの暗号化を採用する企業が多くなっています。ほかにも外部記憶媒体への読み書き権限を設定する機能や、印刷物にコンピュータ名を自動で入れるなどの印刷管理機能もよく使われます。メール管理機能では、上司を強制的にCCに入れたり、添付ファイルのサイズを制限したりすることもできます。
児玉:ツールは情報漏洩の防止だけでなく、従業員に対する心理的な抑止効果もありますよね。日本本社側でできるサポートはありますか。
蒋:海外拠点単位ではなく、グループ全体として意識を統一することも大事です。駐在員の負担が増えている状況ですので現地法人に任せるより、日本の本社で戦略を練って専任の担当者を本社から派遣したほうがよいでしょう。統制が取りやすく、より高い効果が期待できると思います。
山口:中国にRHQ(Regional Headquarter・地域統括会社)を設定している規模の企業であれば、比較的対策はできています。RHQがなければまとめるのは大変ですが、だからといってほったらかしていては情報漏洩のリスクは高まるばかりです。また、RHQがあっても財務部門のみ集約されていてIT部門はバラバラという企業が意外に多いので、本社主導でIT部門をしっかり集約していただきたいですね。現地法人の不正が原因で倒産した日本企業もありますから、現地法人へガバナンスを利かせることは非常に重要です。
児玉:最近は中国に開発拠点を置く企業が増えています。コロナ禍で日本人駐在員が減っている企業は、経営の現地化も進んでいますから、本社による機密情報の管理や情報統制はますます重要になりそうですね。
山口:法整備が進んでセキュリティ意識が高まる中で、中国法人のセキュリティ対策ニーズは増加の一途でしょう。ITシステムのクラウド化にはネットワークが必須であり、セキュリティの重要性も増していきます。ここまで読んでくださった方が日本本社の方であれば、一度自社の中国法人の体制を確認してみてください。
2012年1月、IIJグローバルソリューションズの子会社として設立。インターネット接続サービスをはじめ、クラウドやセキュリティなどのアウトソーシングサービス、多拠点を安全に結ぶWANサービス、システムインテグレーションまで、あらゆるお客様ニーズに応える、信頼性と付加価値の高いソリューションサービスを、グループ会社一体となって展開。日本で培ったインターネットやクラウドのソリューションと、豊富な国際ネットワークの導入運用経験をもつエンジニア集団とのシナジーにより、国際ネットワークから中国内でのシステムインテグレーションなど多彩なソリューションを包括的に提供している。
https://www.iij.ad.jp/global/overseas/ja/china/company/index.html
text by Emiko Furuya / photo by Masato Nagafune
※本インタビューは2022年2月現在の内容です。
