営業秘密漏えいが5年で7倍増という衝撃の事実
情報処理推進機構(IPA)が2025年8月に公開した調査結果は、多くの企業関係者に衝撃を与えました。なんと、過去5年以内に営業秘密が漏えいした事例を認識している企業が35.5%に達し、2020年度の5.2%から実に7倍も増加していることが判明したのです。
この数字は単なる統計ではありません。現役のCSIRT(Computer Security Incident Response Team)として数多くのインシデント対応に携わってきた経験から言えば、これは氷山の一角に過ぎない可能性があります。実際には、漏えいに気づいていない企業や、気づいていても公表していない企業が相当数存在すると考えられます。
外部サイバー攻撃が急増、内部不正も依然として深刻
今回の調査で特に注目すべきは、営業秘密漏えいの原因として「外部からのサイバー攻撃」が最多の36.6%を占めていることです。2020年度の調査では僅か8.0%だったことを考えると、5年間でサイバー攻撃による被害が急激に増加していることがわかります。
しかし、忘れてはならないのが内部不正の存在です。「従業員のルール不徹底」(32.6%)、「金銭目的などの動機」(31.5%)、「誤操作や誤認」(25.4%)といった内部要因も上位を占めており、企業は外部と内部の両面からの脅威に対処する必要があります。
実際のフォレンジック事例:中小企業A社のケース
私が担当した事例の一つに、従業員数50名程度の製造業A社があります。同社では、退職予定の開発担当者が自身の個人メールアドレスに大量の設計図面を転送していました。フォレンジック調査の結果、この行為は退職の3ヶ月前から継続的に行われており、競合他社への転職が決まった後に実行されていたことが判明しました。
このケースでは、メール送信ログの解析や削除されたファイルの復元作業を通じて証拠を固めましたが、既に重要な営業秘密が社外に流出した後でした。事前の対策があれば防げた可能性が高いインシデントでした。
生成AI利用が新たなリスク要因に
調査では生成AIの業務利用についても言及されており、企業の52.0%が何らかのルールを策定していることが明らかになりました。「利用を許可」が25.8%、「利用禁止」が26.2%となっており、企業間での対応が分かれています。
特に注目すべきは、外部公開されている生成AIツールに公開情報のみを入力可能としている企業が14.8%、社内専用ツールであれば秘密情報も含めて利用を認めている企業が11.0%という点です。
生成AI利用における営業秘密漏えいリスク
フォレンジック調査の現場では、従業員が無意識のうちに機密情報を外部の生成AIサービスに入力してしまうケースが増加しています。これらの情報は学習データとして活用される可能性があり、結果的に競合他社に有益な情報を提供してしまうリスクがあります。
企業が今すぐ実装すべき具体的な対策
1. 技術的対策の強化
まず最も重要なのは、アンチウイルスソフト
の導入と適切な運用です。単にソフトウェアをインストールするだけでなく、定期的な更新と設定の見直しが不可欠です。また、従業員の在宅勤務が増加している現在、VPN
を活用して通信経路を暗号化することも重要な対策の一つです。
2. 内部統制の徹底
技術的対策だけでは不十分です。従業員に対する定期的なセキュリティ教育や、アクセス権限の適切な管理、業務プロセスの見直しなど、組織全体でのセキュリティ意識向上が求められます。
3. Webサイトの脆弱性対策
多くの企業がWebサイトを通じて営業活動を行う現在、Webサイト脆弱性診断サービス
は必須の投資と言えるでしょう。外部からの攻撃の多くはWebサイトの脆弱性を悪用するため、定期的な診断と対策が重要です。
フォレンジック調査で明らかになった被害の実態
私が関わった別の事例では、ある中堅商社で顧客データベースが外部に流出した際、初期の被害想定は数千件程度でした。しかし、詳細なフォレンジック調査を実施した結果、実際には10万件以上の個人情報が漏えいしていたことが判明しました。
この事例が示すように、初期の影響評価は往々にして過小評価されがちです。適切なログ管理と監視体制があれば、被害の拡大を早期に発見し、対応することが可能になります。
中小企業でも実現可能な現実的な対策
「大企業じゃないから本格的な対策は無理」と諦める必要はありません。中小企業でも段階的に対策を強化することで、大幅にリスクを軽減できます。
まずは基本的なアンチウイルスソフト
の導入から始め、従業員の教育を並行して実施しましょう。次に、重要なデータへのアクセス制限や、定期的なバックアップ体制の構築を進めます。リモートワークを導入している場合は、VPN
による通信の暗号化も優先度の高い対策です。
今後の展望と継続的な対策の重要性
サイバー攻撃の手法は日々進歩しており、一度対策を講じたからと言って安心することはできません。定期的な脆弱性診断や従業員教育の更新、最新の脅威情報の収集など、継続的な取り組みが求められます。
また、万が一インシデントが発生した場合に備えて、対応手順の策定や外部専門家との連携体制を整えておくことも重要です。早期発見・早期対応が被害の最小化につながります。
まとめ:今すぐ行動を起こすことの重要性
IPAの調査結果は、営業秘密漏えいが決して他人事ではないことを明確に示しています。7倍という増加率は警鐘と受け止め、今すぐ具体的な対策に着手することが重要です。
技術的対策と組織的対策の両面から包括的にアプローチし、継続的な改善を図ることで、大切な営業秘密を守ることができます。コストを理由に対策を先延ばしにしていては、より大きな損失を被るリスクが高まるばかりです。
