HOME コラム一覧 内部者の脅威!知的財産の窃取をデジタル・フォレンジックで防ぐ(その4 全4回)

内部者の脅威!知的財産の窃取をデジタル・フォレンジックで防ぐ(その4 全4回)

post_visual

 あなたが行う検査によって組織の高い評判を傷つけることがないか確かめなさい。対象となる従業員が職務上、クレジットカード番号や個人を特定できる情報や財務情報といった極めて厳しい守秘が求められる情報へのアクセス権限を与えられているような場合、あなたの行動がコンプライアンス問題になるかもしれない。例えば、クレジットカードの番号や取引データを探し当て、証拠として提出するためにそのコピーを取ったとする。そのような行為は、正当な目的のためとは言え、そのようなデータを会社の制御が効かない環境に持ち出したことによって、あなたが遵守を約束している社内規程ないし行動規範に違反することになるかもしれない。
 対象の従業員が連邦政府に帰属するデータへのアクセス権を持っているようなことがないかを確かめなさい。そのデータがあなたの機密情報取扱権限を越えるものである場合には、それを扱う然るべき資格を有する人の助けを求める必要があるかもしれない。あなたがそのようなデータを調べるつもりはなかったとしても、そのコピーや、それが含まれているシステムへのアクセス権を要求することで、事を荒立てる結果を招くかもしれない。

4. 個人情報保護に関する法令の確認 (Check privacy laws and legislations)

 あなたが発見したものの有効性を毀損するようなことがないように。従業員の不正の検査を始める前に、その地区、地方、国の個人情報保護法制を検討しなさい。法令の適用は、通常、業務が行われた場所を基準とする。例えば、あなたの会社の本店がトロントにあったとしても、ドイツ支店での従業員の行為が検査の対象である場合には、カナダの個人情報保護法は必ずしも適用されない。ドイツの連邦情報保護法 (Bundesdatenschutzgesetz, BDSG) が、職場のシステムに含まれる従業員のデータを会社がどのように扱えるのかにつき、厳格なガイドラインを示すことになる。

5. 検査範囲の特定 (Focus the scope of the investigation)

 顧客は、多くの場合、我々検査人に「関連するものすべて」を発見するように求めるが、事実関係を知る前にそうした要請を受諾することはできない。例えば、もし、ある従業員が組織を離脱しようとしており、厳秘の知的財産を盗取したに違いないと組織が確信しているとすれば、彼が何をどうやって行なったかを明らかにするために必要なデジタル・フォレンジック手法やツールをきちんと準備することができる。
 ネットワークやシステムのログで概括的な行動が読み取れる。一方、従業員が使ったシステムやデバイスの詳細なフォレンジック検査によって彼らの行為の一つ一つが分かる。すばらしい知らせでしょう。立ち向かうべき課題をよく見極めなさい。もし、当該従業員が行ったすべてのことを検査するとしたら、何週間も何カ月も費やさなければならないかもしれない。また、もともとの依頼とは全く関係のない道筋に辿り着いてしまう恐れもある。
 あなたの行う不正検査のすべてについて論理的根拠を持ち、求めるべき証拠を明確に認識しなさい。例えば、知的財産の盗取のケースでは、従業員が持ち去った疑いのあるデータのリスト、及び、それらを盗取した時期を知りたいと考えるだろう。そうしたデータが莫大な量で、データベース、スプレッドシート、電子メールファイルなど一律の形式に収まっているとすれば、当該データに含まれる共通の言葉、句、言葉づかいが何なのか、そして、それらが使われている時間的範囲を知ることができる。
 これらすべてを弁えていれば、検査をスピードアップさせ、法律顧問にあなたがやろうとしていることが魔女狩り(訴訟手続における被告による防御によく用いられる抗弁である)でないことを納得させ、そして、あなたはより効率的に真実を発見することができる。組織があなたに要求する範囲が広すぎると思うのであれば、なぜ目的を絞り込む必要があるのかを説明して、経営陣の協力を求めなさい。

信じることと検証することがIPの喪失を最小限に止める (Trusting and verifying minimizes IP loss)

 以上のような積極的なプログラムを企業文化の中心に据えなさい。セキュリティ、利用規定、その他関連規程を制定しなさい。組織は、システムを常にモニターしており、特に従業員が退職する場合には彼らの行動を厳重に検査するかもしれないということを、透明性をもって、従業員に周知しなさい。このような単純なステップを踏むことにより、あなたが行う検査の姿勢を、事後的なものから事前のものへと切り替え、その結果、民事訴訟に必要となるかもしれない資源を節減することができる。
 以上のことは、本稿の最初に引用したロナルド・レーガンの言葉「信ぜよ、されど検証せよ」を思い起こさせる。従業員を信じることで、才能ある個人を引き付け、会社に留めることができ、それとともに、前向きで協調的な会社の文化が育まれる。しかし、組織がデジタル・フォレンジックの手法を独裁主義指導者による監視策のごとく乱用する可能性はあるとしても、重要かつ多くの場合部外厳秘の情報が退職する従業員と一緒に会社の外に出て行かないように確認しなければならない。



この記事の執筆者

執筆者:
Ryan Duquette, CFE, CFCE
カナダ、オンタリオ州オークビル在のHexigent Consulting Inc.の創設者でパートナーである。
翻訳協力:鈴木幸弘、CFE、CIA
※執筆者の所属、保有資格等は本稿初出時のものである

この記事のカテゴリ

この記事のシリーズ

企業の不正リスク対策

記事の一覧を見る

関連リンク

不正リスク(バックナンバー一覧)

内部通報制度の信頼性を損なう10の主要因 誰も通報しない理由はなぜか(その1 全4回)

汚職と戦う情熱 アレクサンドラ・レイジとのインタビュー(その1 全4回)

非GAAP指標はいつ不正な公表になるのか? 財務報告における新しいリスクの出現(その1 全4回)

内部者の脅威!知的財産の窃取をデジタル・フォレンジックで防ぐ(その1 全4回)

内部者の脅威!知的財産の窃取をデジタル・フォレンジックで防ぐ(その2 全4回)

内部者の脅威!知的財産の窃取をデジタル・フォレンジックで防ぐ(その3 全4回)

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2019/img/thumbnail/img_24_s.jpg
 あなたが行う検査によって組織の高い評判を傷つけることがないか確かめなさい。対象となる従業員が職務上、クレジットカード番号や個人を特定できる情報や財務情報といった極めて厳しい守秘が求められる情報へのアクセス権限を与えられているような場合、あなたの行動がコンプライアンス問題になるかもしれない。例えば、クレジットカードの番号や取引データを探し当て、証拠として提出するためにそのコピーを取ったとする。そのような行為は、正当な目的のためとは言え、そのようなデータを会社の制御が効かない環境に持ち出したことによって、あなたが遵守を約束している社内規程ないし行動規範に違反することになるかもしれない。 対象の従業員が連邦政府に帰属するデータへのアクセス権を持っているようなことがないかを確かめなさい。そのデータがあなたの機密情報取扱権限を越えるものである場合には、それを扱う然るべき資格を有する人の助けを求める必要があるかもしれない。あなたがそのようなデータを調べるつもりはなかったとしても、そのコピーや、それが含まれているシステムへのアクセス権を要求することで、事を荒立てる結果を招くかもしれない。
2019.09.27 16:15:18