※この記事は2001年3月12日に投稿したものです。

企業秘密の流出は8割以上が組織内から

1999.05.02号のWEB110メールマガジンで、「職場における私用メールを上司が検閲することの良否」を取り上げたことがある。アメリカでは、職場内での私用メールを理由に解雇を言い渡された事案が裁判に発展した例もある。「個人的に所有するメールアカウントで、就業時間外にやりとりしたメッセージまで検閲するのはプライバシーの侵害ではないか?」当初は、そういう意見もあった。しかし、今日、企業はネット上での従業員の行為を監視する必要に迫られている。 何故ならばネットワークに対する脅威のうち、推定84%が組織内からもたらされているというからだ。急速にIT化が進む中、多くの企業では外部からの派遣社員を雇用し、また、在宅勤務制度の導入も盛んだ。意図的であるかどうかを別 としても、商品開発などの重要な情報が社外に持ち出される機会が高まっている。もちろん、産業スパイが潜入している危険性も十分考えられる。つまり、外部からの不正アクセスによる情報流出よりも、内部からの人的な流出事故が圧倒的に上回っているのである。

これらの事態を重く見て、企業が事前にネット上の検閲を行うことを告知している場合において、それは職務上の正当な権利の行使であるとの見方で固まっている。 もちろん、検閲をするにあたっては平等に行われる必要があり、プライバシーに関する情報を業務外の目的で悪用することは問題外である。このことは職場内でセクハラが行われていないかを積極的に監視する上でも有効な手段なのかも知れない。

そうは言っても、ついつい勤務中に個人的なメールのやり取りを行ったり、仕事に関係のないウェブサイトを閲覧してしまうのが人情ってものである。現に、ある新聞社の調査によると女性社員のメールの8割が私用メールであったそうな。しからば、会社のメールアドレスを使わずにウェブメールを使用すれば、その内容までを検閲されることはなかろう。あるいは、ウェブの閲覧履歴をその都度消しておけば他人にはばれないだろう。少し知恵を付けた社員はそう考えるに違いない。現に、私もつい最近までは、その方法なら会社にネットのプライバシーを覗かれる事はないと助言していた。あるものの存在を知るまでは。

企業の秘密兵器 『サイレントランナー』

2001年3月1日のWired Newsで、とんでもないツールがあることを知ってしまった。それが米レイセオン社の『サイレントランナー』だ。サイレントランナーは、1400種類以上ものプロトコルを認識する。ウェブページや電子メール、デジタル画像や音声ファイル、スプレッドシート、文書、FTP(ファイル・トランスファー・プロトコル)、インスタント・メッセージ、パスワード…ざっと挙げるだけでも、これだけのものをすべて検出し分析できるのだ。このシステムを導入している企業は、従業員に気づかれずに、どんな内容の電子メールを送っているか、どんなウェブサイトを見て回っているか、どんなものをプリントアウトしたか、データベースにアクセスしたり変更を加えたりしたかなど、実質上ネットワークで行なわれるすべての行動を見ることができる。無論、パスワードで保護されたウェブメールの内容まで把握することが可能になる。

企業内ネットワークのパケット監視ツールとして「スニッファー」と呼ばれるものがあるが、サイレントランナーとは比較にもならない。250の端末を持つネットワーク上の全データをほぼ20分で集められ、アルゴリズムを用いて25種類の異なる方法でデータを分析する。たとえば、悪意の社員が内部情報を長時間にわたって電子メールでやりとりしていれば、コンピューターの画面が光ってそれを教えてくれる。文章の見本を1つ与えておくだけで、同じ言語もしくはコードで書かれている限り、同一人物が書いた別のドキュメントもすぐに特定する。

だがサイレントランナーなんて聞いたことがないという人がほとんどだろう。それもそのはず、2000年12月にセキュリティー・サービス企業の米トゥルーセキュア社がこのプログラムを購入したことを明らかにした他は、サイレントランナーを使っている企業や行政機関は、このプログラムを使って従業員や職員の不正を追跡していた事実を秘密にしていたからだ。 しかしレイセオン社はすでにサイレントランナー140本を民間企業や政府機関に販売している。

何故、企業はその存在を隠すのか?その理由の一つは、この製品が持つ軍事レベル並の強力な情報収集機能にある。つまり「サイレントランナーを使っているというと、その企業に何か問題があると解釈されかねない。 」ということのようだ。もうひとつの理由は、「職場でのプライバシー侵害にうるさい各団体の追及から逃れることができる」というものだ。日本でははたして何件の団体が導入しているのだろう。

検閲実行権者のモラルは保てるか?

さて、こうした強力な監視ツールが暗に存在するとなると、社員として気になるのはプライバシーの問題である。今までは、FBIの「カーニボー」や英国諜報機関の「エシュロン」でなければなし得ないと思われていた情報収集活動が、特定のネットワーク内部では現実のものとなりつつあるのである。 現状では、企業がネット上での従業員の行動を監視するにあたってそのことを明示する義務はあるものの、どのような手法によって、どこまでの内容を監視するのかという説明をする義務はない。この記事を目にした幸運なあなたは、自分の勤める会社が「サイレントランナー」を導入しているかも知れないという自覚のもと、会社でのネット利用に注意を払えばよいが、その存在を知らない社員は、無防備にプライバシーを漏らしてしまう危険性がある。そして、もしネットワーク管理者が個人の思わぬ 秘密を知ってしまったときに、果たしてその秘密を他人に公言せずにおけるものだろうか?はたまた、秘密をネタに強請をかけてくるような危険性はゼロといえるだろうか?

幸か不幸かサイレントランナーの価格は完全版で6万5000ドル、少し機能を落としたライト版でも2万5000ドルになる。中小企業が簡単に購入できる価格ではない。しかし米オムニ・コンサルティング・グループ社が世界の企業3180社を対象に行なった調査結果 をもとに概算したところによると、ネットワークの安全対策が不十分だったために世界の企業が被った損失額は、1999年には推定43億ドルだったのに対し、2000年には推定116億ドルにまではね上がったという。このことを考えると、大手企業が危機管理のために 6万5000ドルを投じることは何の疑問も抱かせない事実であろう。