金融、コンサル、外資系の転職・求人なら人材紹介【アスパイア】

無料転職支援・
相談のお申し込み

簡単登録
(入力1分)
信頼度NO.1の人材紹介エージェント
  • pic

    Facebook CEO Mark Zuckerberg

  • pic

    Amazon in Silicon Valley, San Francisco bay area

IT&デジタル業界最新業界

IT&Digital Industry Latest Information

従業員の不正、AIで監視 フォレンジック利用4割、平時のメール調査も 2022/01/31

企業が従業員のメールやパソコンの操作記録をAI(人工知能)などで分析し、不正を予防する動きが広がっている。デジタル・フォレンジックというデータ分析技術で、在宅勤務で上司の目が届きにくくなったことも普及を後押しした。一方で「行きすぎた監視」と批判される恐れもあり、運用ルールの丁寧な説明などが求められる。

デジタル・フォレンジックは、AIを使って膨大な電子データを瞬時に分析できるのが特徴だ。東芝の株主総会運営を巡る問題の調査で、メールなど77万件以上の内容を調べたことで注目された。不正が発覚した際の社内調査など「有事」の利用が主流だが、ここ数年、普段の従業員のメールなどをチェックし不正の兆候を察知する「平時」の利用も広がり始めた。

「不正な情報の持ち出しを事前に防げないか」。米国の不正検知サービス「エクサビーム」の販売を手掛ける半導体商社のマクニカには大手企業からの問い合わせが増えた。同サービスは各従業員がどんなサイトやデータファイルによくアクセスするかなど、ネット上での行動データを数カ月単位で蓄積。普段と違う不審な振る舞いをすれば、素早く検知する仕組みだ。

例えば、ある従業員が普段の業務とは関係のない社内の機密情報に頻繁にアクセスするようになると、社内の担当者に「情報の持ち出しをするかもしれない」などの警告を出す。職場の上司やIT(情報技術)部門の担当者が、その従業員の詳しいアクセス状況を調べるなどして不正を未然に防いだり、持ち出し後でも早期に対応して被害を少なく抑えたりできるという。

こうしたサービスは「予兆検知」と呼ばれる。データ解析支援のFRONTEO(フロンテオ)やデータ復旧・管理事業を手掛けるAOSデータ(東京・港)も独自の検知システムを提供。「高度な知的財産を扱うバイオや先端技術分野などの企業需要が高まっている」(AOSデータ)

コロナで需要増
日本経済新聞が21年10月に国内主要524社に実施した「企業法務税務・弁護士調査」で、デジタル・フォレンジックの活用を聞くと、回答した210社の4割にあたる82社が「使ったことがある」とした。うち18社は「平時でも利用」とし、不正予防への利用の広がりがうかがえる。

新型コロナウイルスの感染拡大も予兆検知の普及を後押しする。在宅勤務でセキュリティーが弱い自宅から会社のサーバーにアクセスする従業員も増え、不正やサイバー攻撃の被害の危険が高まったためだ。

18年からエクサビームを世界55カ国・地域の拠点に導入したNTTデータは、新型コロナ禍で警戒度を高めた。サイバーセキュリティ統括部の矢竹清一郎氏は「リモートワークで従業員の行動によるリスクが高まり、対応が必要なアラートの量が増えた」と話す。約14万人の従業員を検知対象とし、取得するログ(操作記録)が1千億件を超える月もある。不正やサイバー攻撃など、毎日1千~2千件のアラートが出されるという。

ただAIを使う予兆検知は、「行きすぎた従業員監視」として従業員らの反発を招くリスクもはらむ。

過去の複数の裁判例は、企業が不正行為の疑いのある従業員のメールを本人に無断で読むことは、会社の正当な業務の範囲内とし「問題なし」と認める。ただこれらの判例の大半は、まだ高度なデータ分析技術が発達していなかった20年近く前のものだ。

大井哲也弁護士は「取得できるデータが質、量ともに増えると、プライバシーの侵害リスクも増してしまう。オフィスの管理権が企業にあるからといって、常に企業が社員を監視することが正当化されるわけではない」と指摘する。

日経による「企業法務税務・弁護士調査」でも、デジタル・フォレンジックを活用する際のデメリットとして、「従業員の監視と受け止められかねない」と答えた企業が14社あった。

曖昧な法規定
企業には、どこまで従業員の情報収集が許されるのか。個人情報保護法や民法、憲法にも関わる問題だが、いずれの法にも具体的な基準はない。各企業は収集するデータの種類や従業員への説明状況などに合わせ個別に判断する必要がある。フォレンジックに詳しい井上朗弁護士は「グローバル企業の場合(各国で働く従業員の)メールやパソコンの操作情報をサーバーに移す可能性もあるが、個人情報の越境移転を厳しく制限する国もあるため注意が必要だ」と指摘する。

エクサビームを導入したNTTデータは法務担当も含めて運用ルールや内容を検討した。特に個人情報保護ルールが厳しい欧州では、労働組合を通じて追加で従業員の同意を得た。

不正防止の取り組みが、かえって会社側と従業員とのトラブルを招くことを避けるためにも、従業員への十分な説明や運用ルールの工夫が重要になる。

危機管理に詳しい深水大輔弁護士は「情報の不正利用や調査が必要になる場合を想定し、あらかじめルールや同意書面を整理しておくといい」と話す。業務用のパソコンやスマホを普段からフォレンジックにかけることについて、入社時に同意を取ることなどを勧める。私用のパソコンなどを業務で使う場合も、同様の同意手続きが有効という。

(世瀬周一郎、サイバーセキュリティーエディター 岩沢明信)

(日本経済新聞)

menu