AI開発競争が世界中で激化するなか、内部関係者による情報流出リスクが深刻な課題となっています。米国の裁判所は先日、Googleの元ソフトウェアエンジニアに対し、AI関連の機密情報を盗み出し、中国のスタートアップ企業へ提供したとして有罪判決を言い渡しました。この事件の詳細は、米ニュースサイトの「AI機密を盗んだ元Googleエンジニアに有罪判決」などで報じられています。
元エンジニアの被告は、Google独自の機械学習用チップであるTPU(Tensor Processing Unit)やGPU、ネットワーク処理を高速化する技術「SmartNIC」に関する機密にアクセスできる立場にありました。被告は2022年からの約1年間で、1,000件以上のファイルを個人のGoogleクラウドアカウントへアップロード。社内データをメモアプリにコピーした後、PDFに変換して転送することで、監視システムの検知を巧妙に回避していました。
流出の背景には、中国企業からの巨額な報酬提案がありました。北京のスタートアップ企業から年換算で約2,740万円に上るオファーを受けたほか、被告は自らも上海に会社を設立。投資家に対し、Googleの技術を再現・改良した「計算パワープラットフォーム」の開発をアピールし、中国の政府関連組織などへの売り込みを画策していたとされています。
物理的な偽装工作:同僚に入退室を身代わりさせる
今回の事件で衝撃を与えたのは、世界屈指のテック企業が物理的な偽装工作によってセキュリティの穴を突かれた点です。被告は中国に滞在して投資家と面会している間、米国内の同僚に自身の入退室カードをスキャンさせることで、あたかもオフィスに出勤しているかのように装っていました。
Googleは入退室記録とネットワークアクセスの不整合を検知する仕組みを導入していましたが、権限を持つ人間による組織的な工作を即座に防ぐことは困難でした。最終的に、中国滞在中に行われた不自然なアップロードから不正が発覚。裁判所は、外国政府に関連する組織に利益をもたらす意図があったと認め、営業秘密の窃盗や経済スパイなど14の訴因すべてにおいて有罪を言い渡しました。
日本企業が備えるべき内部不正のリスク
この事件は、日本企業にとっても決して他人事ではありません。デジタルの防壁をいかに固めても、信頼された内部人間による持ち出しを完全に防ぐことの難しさが浮き彫りになりました。技術流出は企業の競争力を削ぐだけでなく、国家の安全保障を揺るがす事態に直結します。
日本のAI関連企業やメーカーが自社を守るためには、以下のような多角的なアプローチが不可欠です。
- アクセス権限の最小化:従業員の役割に応じて、アクセス可能な情報を必要最小限に制限する
- ログ監視と物理データの照合:システムログと入退室記録などの動線を突き合わせ、矛盾を検知する体制を整える
- 法的リスクの周知:厳しい罰則例を共有し、不正に対する抑止力を高める
経済産業省も指針を通じて技術流出への対策を促していますが、守るべき最後の砦は「人」と「組織文化」です。高度なシステムと、不正を許さない組織体制の両面を強化することが、今まさに求められています。
