2024.11.29
「内部不正」
目次
サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。
これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。
本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。
今回のテーマは、「内部不正」です。
セキュリティインシデントと聞くと、外部からのサイバー攻撃などの脅威を連想しがちです。しかし、情報漏えいといったインシデントは、内部関係者の不正行為によって発生するケースもあるのです。独立行政法人 情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威2024(組織編)」では、内部不正による情報漏えい等の被害が第3位にランクインしています。
内部不正による情報漏えいは、具体的な被害に遭うだけでなく企業イメージの損失に繋がりかねないため、組織は内部不正が起きないよう対策を施す必要があります。
内部不正とは
「内部不正」とは、従業員や委託先など組織の関係者が自己の利益等を目的に、企業の機密情報や資産を不正に持ち出したり、不正に利用したりする行為です。
例えば、顧客情報の無断持ち出しや漏えい、情報システムの破壊などが挙げられます。故意に不正をはたらくケースはもちろん、従業員が意図せず誤って情報漏えいを引き起こしてしまうケースも内部不正の一種になります。
内部不正の事例
実際にあった事例には、次のようなものがあります。いずれの事例も、内部不正をはたらいた個人の利益を目的に引き起こされました。
事例 | 企業 | 時期 | 実施者 | 漏えい情報とその使い道 |
---|---|---|---|---|
1 | NTT 西日本 | ‘23年10月 | 業務委託先グループ企業に 勤務していた派遣社員 | 900万件の顧客情報を名簿業者に売却 |
2 | 兼松 | ‘23年9月 | 従業員 | 新製品情報等の営業秘密を転職時に 持ち出し |
3 | 平塚市 | ‘19年8月 | 市議会に立候補した元職員 | 市民3万人分の個人情報を持ち出し、 有権者にハガキを送付 |
4 | ベネッセ | ‘14年6月 | 業務委託先グループ企業に 勤務していた派遣社員 | 3500万人の会員情報を名簿業者に販売 |
5 | 東芝 | ‘14年3月 | 提携先企業の従業員 | 研究データ(営業秘密)を持ち出し、 転職先に提供 |
事例4において、株式会社ベネッセコーポレーション(ベネッセ)は自社の会員に対し、1人当たり500円(単純計算で175億円)を支払いました。
また事例5では、情報を持ち出された株式会社東芝(東芝)は元従業員の転職先の企業に対して損害賠償を請求する訴訟(損害額1千億円以上)を起こしています。
内部不正が起こる要因
内部不正の多くは、システムへのアクセス権等もともと正当な権限を持っている人が業務の中で行う行為のため、不正行為を防ぐことが非常に難しくなっています。
人が不正をしてしまう仕組みをモデル化した「不正のトライアングル」理論では、内部不正は「機会」「動機・プレッシャー」「正当化」の3つの要素が組み合わさることで発生するとされています。
要素 | 内容 | 具体的状況の例 |
---|---|---|
機会 | 不正ができてしまう環境・制度があること | ・長期間、個人の専任業務になっている ・一人で簡単に情報が入手できる |
動機・ プレッシャー | やむなく不正をしなければならない理由が あること | ・多額の借金がある ・達成困難な目標がある ・その情報が転職後に優位にはたらく |
正当化 | 不正行為を行う本人が、その行為を正当化 する理由を持っていること | ・自分は適切に評価されていない ・周りも同じことをやっている ・影響は小さい |
上記からわかるように、人の心理がきっかけとなりやすい内部不正は、サイバー攻撃への対策とは別のアプローチによる対策が必要となります。
内部不正を防ぐために
内部不正を防ぐ鍵は、上記の表の「具体的状況の例」にあるような状況を作りださないような仕組みづくりにあります。具体的な対策として、以下のようなものがあります。
【不正を行わせないシステム】
特定の従業員がすべてのプロセスを長期間担当することを避け、一定の期間ごとに担当者を変更する・業務を分割する・複数人で分担することが有効です。また、重要な情報へのアクセスや持ち出しを伴う作業は、申請・承認のワークフローを必須化するなど、不正を行いにくくするルールの策定も効果的です。
【労働環境の整備】
組織として個人と十分なコミュニケーションをとり、過度なストレスや組織の不満に対する策を講じます。定期的な個別面談(1on1など)により、業務過多になっていないかや、個人的な困りごとであっても組織として把握し、手助けできるような良好な関係性や組織風土・職場環境を築く必要があります。
良好な関係性であっても、組織に不利益をもたらすようなことへの処罰を明確化し、厳罰に処する毅然とした組織風土を醸成することも重要です。
職場環境が悪い・風通しが悪い企業では個人の不満が増幅し、内部不正を引き起こす要因を作り出してしまいます。
組織に関わる個々人の業務に対する満足度を上げていくことが「内部不正」対策への重要な施策と考えられています。
※内部不正については、こちらの記事でもご紹介しています。こちらもご覧ください。
中小企業におけるセキュリティ脅威への対策強化 〜内部不正による情報漏えい等の被害 から対策を学ぶ〜【基礎から学ぶセキュリティ#10】
参考文献
1.(事例1)お客さま情報の不正流出に関するお詫びとお知らせ(西日本電信電話株式会社)
https://www.ntt-west.co.jp/news/2310/231017a.html
お客さま情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向けた取組みについて(西日本電信電話株式会社)
https://www.ntt-west.co.jp/news/2402/240229a.html
2.(事例2)大手商社「双日」元社員を逮捕 前職「兼松」から機密情報を不正に持ち出した容疑(ITmedia NEWS)
https://www.itmedia.co.jp/news/articles/2309/28/news139.html
3.(事例3)元職員による個人情報等の持ち出しについて(平塚市)
https://www.city.hiratsuka.kanagawa.jp/joho/page06_00025.html
4.(事例4)事故の概要 (ベネッセお客様本部)
https://www.benesse.co.jp/customer/bcinfo/01.html
5.(事例5)東芝技術流出事件と営業秘密管理 (デルタエッジコンサルタント株式会社)
https://deltaedge.co.jp/2014/04/01/%E6%9D%B1%E8%8A%9D%E6%8A%80%E8%A1%93%E6%B5%81%E5%87%BA%E4%BA%8B%E4%BB%B6%E3%81%A8%E5%96%B6%E6%A5%AD%E7%A7%98%E5%AF%86%E7%AE%A1%E7%90%86/
6.「不正のトライアングル」を理解して、組織の不正を未然に防ぐ方法とは( UPGRADE)
https://www.corner-inc.co.jp/media/c0200/