産業スパイの偶然装う接近術と経済安保時代の企業防衛実務最前線

偶然の会話が技術流出リスクに変わる構造

産業スパイという言葉は、映画のような侵入やハッキングを連想させます。しかし企業の技術流出でより厄介なのは、入口があまりに日常的なことです。道を尋ねる、SNSで専門性を褒める、出張先で親切にする、共同研究を持ちかける。こうした接点は、最初から機密情報を要求する形では現れません。

警察庁は、技術流出リスクをサイバー攻撃、スパイ工作、経済・学術活動を通じた流出の三つに整理しています。重要なのは、この三つが別々に動くとは限らない点です。人を通じて関係を作り、後から端末、契約、共同研究、出張先の行動に波及することがあります。

本稿では、公開資料で確認できる警察庁、経済産業省、内閣府、文部科学省、IPAの情報をもとに、産業スパイがなぜ偶然を装うのかを読み解きます。論点は、社員個人の注意喚起にとどまりません。経済安全保障の時代に、企業がどの情報を守り、どの接点を管理し、どこで警察や行政とつながるべきかという経営課題です。

警察庁事例が示す三つの技術流出経路

サイバー攻撃と人脈工作の連動

警察庁の公開資料は、国内の先端技術が国外から狙われる背景を明確に示しています。日本には企業規模を問わず先端技術を持つ企業や大学が多く、その中には軍事転用が可能な技術もあります。技術が流出すれば、企業の競争力だけでなく安全保障にも影響します。

同庁の事例集には、航空宇宙関連組織へのサイバー攻撃を巡り、中国人民解放軍を背景に持つ可能性が高い攻撃集団が関与したと結論づけられた事案が掲載されています。捜査の過程では、同じ攻撃集団が関与した可能性が高いサイバー攻撃が、約200の国内企業などに対して行われていたことも把握されたとされています。

この種の攻撃は、境界防御だけで防げる問題ではありません。攻撃者は、脆弱性、外部委託先、メール、個人アカウント、出張先の通信環境など、標的組織の弱い接点を探します。人脈工作はその前段にも後段にもなります。誰が重要情報を持つのか、誰が出張するのか、誰が共同研究や調達の窓口なのかを知れば、攻撃対象は絞り込まれます。

サイバー攻撃を「IT部門の仕事」と切り離す発想は危険です。経営層、人事、法務、研究開発、海外事業、情報システムが同じ脅威モデルを持たなければ、入口は塞げません。技術流出の現場では、サーバーへの侵入と、人への接近が同じ作戦の別工程になり得るためです。

SNSと酒席で生まれる心理的負債

警察庁は、外国政府機関職員が日本企業の複数の職員に帰宅途中で声をかけ、道を尋ねる口実で接近し、後日酒席に誘っていた事例も紹介しています。ここで注目すべきなのは、最初の接触が情報要求ではないことです。偶然の会話、感謝、食事、専門性への称賛という順番で関係が作られます。

こうした手口は、強制よりも心理的負債を利用します。相手が親切だった、相談に乗ってくれた、食事をごちそうしてくれたという記憶は、後から小さな依頼を断りにくくします。最初は公開情報の解説でも、次に社内の雰囲気、研究テーマ、開発スケジュール、担当者名、設備の所在へと質問が細かくなります。

日本企業では、個人の対人能力や国際交流をプラスに評価する文化があります。それ自体は悪いことではありません。問題は、所属、目的、資金源、依頼内容の境界を確認する仕組みが弱い場合です。高いコミュニケーション能力を持つ相手ほど、警戒心を下げるのがうまいからです。

実際に、通信関連会社の従業員が、無線基地局の実証実験に関する営業秘密を不正に取得し、ロシアの情報機関員とみられる人物へ渡したとして検挙された事案も公表されています。この事例は、機密情報を持つのが必ずしも役員や研究トップだけではないことを示します。現場担当者、実験参加者、運用担当者、外部調整役が標的になる可能性があります。

SNSも同じです。職務経歴、研究発表、展示会参加、保有資格、出張先、同僚との写真は、攻撃者にとって標的リストを作る材料になります。警察庁が、接点のない外国企業からのメッセージや贈り物への注意を促すのは、情報流出が最初から「秘密を渡してほしい」とは始まらないためです。

営業秘密と経済安保制度が求める管理水準

三要件で決まる営業秘密の保護範囲

企業が技術流出を受けたとき、まず問われるのは「その情報を秘密として管理していたか」です。経済産業省は、不正競争防止法上の営業秘密について、有用性、秘密管理性、非公知性の三つの要件を示しています。研究データや製造条件が重要であっても、社内で秘密として扱われていなければ、法的保護は弱くなります。

ここでいう秘密管理性は、単にフォルダ名に「秘密」と付けることではありません。アクセス権限、持ち出しルール、表示、契約、教育、ログ、退職時の確認が一体となって、社員がその情報を秘密だと認識できる状態を作ることです。経産省の営業秘密管理指針は、不正競争防止法で保護を受けるための最低限の水準を示すものとして位置づけられています。

実務で弱点になりやすいのは、情報の価値評価が更新されないことです。開発初期には重要だった設計データが、量産後も同じ権限で残る。退職者や異動者のアクセスが残る。海外拠点との共有フォルダに、契約範囲を超えた資料が置かれる。これらは、攻撃者から見れば人脈工作と組み合わせやすい状態です。

IPAの内部不正防止ガイドラインも、内部者による顧客情報や製品情報の漏えいを事業の根幹を揺るがすインシデントと位置づけています。第5版では、テレワーク、雇用の流動化、法改正などを踏まえ、10の観点と33項目の対策を示しています。産業スパイ対策は、外部者を疑うだけでは足りません。正当な権限を持つ内部者が、外部から働きかけられるリスクを前提にする必要があります。

みなし輸出とセキュリティクリアランス

技術流出対策は、営業秘密だけでは完結しません。経産省の安全保障貿易管理では、貨物だけでなく技術の提供も管理対象になります。とりわけ「みなし輸出」管理の運用明確化は、国内にいる相手への技術提供であっても、特定の関係性がある場合に管理が必要になり得ることを企業に意識させました。

これは外国籍人材を一律に警戒する制度ではありません。重要なのは、国籍ではなく、技術の性質、提供の相手、外部からの影響、契約関係、兼業や資金提供の状況を手続きとして確認することです。誤った運用は研究開発や採用を萎縮させます。一方で、何も確認しなければ、軍事転用可能な技術が意図せず流れる余地が残ります。

内閣府が所管する重要経済安保情報保護活用法も、同じ文脈で見る必要があります。同法は2024年5月10日に成立し、同月17日に公布されました。経済・技術分野に安全保障の裾野が広がる中で、特に秘匿が必要な重要経済基盤に関する情報を保護し、活用する体制を作ることが目的です。

同法は政府情報の扱いが中心ですが、民間企業にも影響します。政府事業、重要インフラ、先端技術開発、国際共同研究に関わる企業は、情報を受け取る条件、取り扱う人の範囲、委託先管理、監査対応を従来より厳密に求められる可能性があります。経済安保は、法務部が条文を読むだけで済むテーマではなく、事業戦略と人材管理に直結します。

文部科学省の研究インテグリティ・研究セキュリティ施策も、企業に示唆を与えます。同省は、国際連携が科学の発展に不可欠である一方、開かれた研究環境が不当に利用され、研究の不正流用や技術流出につながるリスクが認識されていると説明しています。閉じるだけでは競争力を失います。開く範囲を定義し、相手と目的を確認する管理が必要です。

標的化されやすい企業と研究現場の盲点

産業スパイの標的は、防衛や半導体の大企業だけではありません。内閣府の経済安全保障重要技術育成プログラムを見ると、赤外線センサー、衛星コンステレーション、次世代蓄電池、AIセキュリティ、量子技術、無人機、半導体、先進材料、サイバー防御など、広い領域が重要技術として扱われています。部品、素材、計測、制御ソフト、製造装置を担う中堅企業も、サプライチェーンの中で重要な位置を占めます。

中小企業が狙われやすい理由は、技術が弱いからではありません。むしろ優れたニッチ技術を持つ一方で、法務、輸出管理、情報セキュリティ、人事、海外契約を少人数で回しているためです。攻撃者から見れば、完成品メーカーよりも、特定工程を支える企業の方が接近しやすい場合があります。

海外出張も盲点です。展示会、商談、工場監査、学会、現地政府との面談では、通常業務として名刺交換や会食が発生します。ホテルのWi-Fi、貸与端末、通訳、移動車両、現地パートナーの会議室がすべて安全とは限りません。業務用パソコンや資料をどこに置くかだけでなく、誰が会議に同席し、議事録がどこに保存され、帰国後に何を報告するかまで決めておく必要があります。

共同研究と採用も、単純な善悪で判断できない領域です。優秀な外国人研究者や海外大学との連携は、日本企業にとって不可欠です。しかし、資金提供元、兼業、研究成果の帰属、輸出管理条項、再委託、データ保存場所が曖昧なまま進むと、後から止めにくい流出経路になります。警察庁の事例集には、大学間の人材交流プログラムで、再作成された合意書から輸出管理条項が説明なく削られていたケースも紹介されています。

今後のリスクは、生成AIによってさらに見えにくくなります。社員が社外サービスに研究メモや設計条件を入力すれば、機密データは人の会話を経ずに外へ出ます。AI翻訳、コード生成、議事録作成は便利ですが、営業秘密や輸出管理対象技術を扱う部署では、利用可能なサービス、入力禁止情報、ログ保存、例外申請を明確にしなければなりません。

経営者が今期点検すべき技術流出対策

経営者が最初にすべきことは、守るべき情報の棚卸しです。特許で公開する技術、営業秘密として閉じる技術、政府事業や輸出管理に関わる技術、共同研究で共有する技術を分けなければ、現場は何を守るべきか判断できません。秘密管理性は、管理台帳とアクセス権限と教育が結びついて初めて機能します。

次に、人への接近を報告しやすい制度を作ることです。不審なSNS連絡、過度な接待、所属が曖昧な共同研究提案、契約条項の不自然な削除は、個人の警戒心だけに頼ると埋もれます。社員が相談しても不利益を受けない窓口と、警察や行政に相談する基準を整えるべきです。

最後に、出張、退職、異動、共同研究開始、海外委託、生成AI利用の五つを重点点検することです。産業スパイは、組織図の中心だけを狙うとは限りません。偶然を装う接近に気づくには、現場の違和感を経営の情報に変える仕組みが必要です。経済安全保障は抽象論ではなく、社員一人の会話から始まる技術防衛の実務です。

参考資料:

• 技術流出の防止に向けて
• 技術流出防止に関する事例
• サイバー攻撃対策
• 営業秘密～営業秘密を守り活用する～
• 不正競争防止法
• 技術流出防止指針
• 安全保障貿易管理
• 安全保障貿易管理ガイダンス［入門編］
• みなし輸出管理
• 技術管理強化のための官民対話スキーム
• 経済安全保障
• 重要経済安保情報保護活用法
• 先端的な重要技術の開発支援に関する制度
• 研究インテグリティ・研究セキュリティ
• 組織における内部不正防止ガイドライン