組織を守るために知っておきたい基本知識
1. 内部不正とは?
内部不正とは、組織の従業員や元従業員、業務委託先の担当者など、組織内部の正規の権限を持つ人物(または持っていた人物)によって行われる、機密情報の漏洩、データの改ざん、金銭の着服といった不正行為や犯罪行為のことを指します。
外部からのサイバー攻撃とは異なり、正規のアクセス権を持つ人物が悪意を持って、あるいは不注意によって情報を盗んだり、システムを悪用したりするため、発見が難しく、組織に深刻なダメージを与える可能性があります。
内部不正の2つの側面
内部不正は、大きく以下の2つの側面で語られることがあります。- 意図的な不正行為: 個人的な利益(金銭、恨み、転職先への手土産など)のために、故意に情報を盗んだり、システムを悪用したりするケース。
- 意図しない情報漏洩(過失): 悪意はないものの、不注意やルール違反(例: 機密情報を許可なく持ち出す、私用端末で業務を行う)によって、結果的に情報漏洩などを引き起こしてしまうケース。
2. 内部不正の種類
内部不正には様々な手口や目的があります。代表的な種類を以下に示します。
| 種類 | 説明 |
|---|---|
| 機密情報の漏洩・持ち出し | 顧客情報、個人情報、営業秘密、技術情報などを、USBメモリ、メール、クラウドストレージなどを利用して外部に持ち出す行為。転職先への手土産や、第三者への売却などが目的の場合があります。 |
| データの改ざん・破壊 | 組織のデータベースやシステム内の情報を不正に書き換えたり、削除したりする行為。業務妨害や証拠隠滅が目的の場合があります。 |
| 金銭的な不正 | 経費の不正請求、架空取引、横領など、組織の資産を不正に取得する行為。 |
| システムの不正利用 | 許可されていない目的で組織のシステムやネットワーク、アカウントなどを利用する行為。例えば、私的な目的での利用や、権限を悪用した他者の情報へのアクセスなどが含まれます。 |
| 意図しない情報漏洩(過失) | メールの誤送信、重要書類の紛失、私物デバイスでの業務利用によるウイルス感染など、悪意はないものの不注意やルール違反によって情報を漏洩させてしまうケース。 |
3. 内部不正が起こる原因
なぜ内部不正は起こってしまうのでしょうか。犯罪学の理論の一つである「不正のトライアングル」は、人が不正行為に手を染める際には「動機」「機会」「正当化」の3つの要素が揃うことが多いと説明しています。
① 動機 (プレッシャー)
不正行為に駆り立てる個人的な事情や欲求。
- 借金や金銭的な困窮
- 会社や上司への不満、恨み
- 過度なノルマやプレッシャー
- 個人的な利益追求(より良い条件での転職など)
② 機会
不正行為を実行できる環境や状況。
- アクセス権限の不適切な管理
- 監視体制や内部統制の不備
- 情報管理ルールの形骸化
- テレワークなどによる監視の目の届きにくさ
③ 正当化
不正行為を自分の中で納得させる理由付け。
- 「会社が悪いから当然の権利だ」
- 「一時的に借りるだけですぐ返すつもりだった」
- 「他の人もやっている」
- 「これくらいなら問題ないだろう」
これら3つの要素が揃うと、内部不正が発生するリスクが高まります。したがって、対策を考える上では、これらの要素をいかに減らしていくかが重要になります。
4. 内部不正の事例
実際に、内部不正は多くの組織で発生しています。ここでは、公表されている情報からいくつかの事例を紹介します。
注意: ここで紹介するのは過去の事例であり、特定の企業を非難する意図はありません。内部不正のリスクを理解するための参考としてご覧ください。
- 大手通信教育企業の顧客情報漏洩事件(2014年): 業務委託先の元従業員が、顧客データベースにアクセスし、大量の個人情報を不正に取得して名簿業者に売却しました。アクセス権限の管理不備などが原因とされています。
- 大手回転寿司チェーンの営業秘密持ち出し事件(2021年報道): 競合他社に転職した元役員が、在職中に仕入れ価格などの営業秘密を不正に持ち出したとして、不正競争防止法違反の疑いで逮捕されました。
- 地方銀行における顧客情報の不正閲覧・持ち出し(複数年にわたり発生): 行員が個人的な興味や目的で、本来業務上必要のない顧客情報を不正に閲覧したり、持ち出したりする事例が複数の金融機関で報告されています。アクセス権限の悪用や監視体制の甘さが背景にあると考えられます。
- 製薬会社の元従業員による営業秘密持ち出し(2019年): 退職直前の従業員が、研究開発に関する重要な情報を私物のハードディスクにコピーして持ち出した事例。転職先での利用などが疑われました。
これらの事例からもわかるように、内部不正は企業の規模や業種に関わらず発生する可能性があり、その影響は顧客信用の失墜、損害賠償、競争力の低下など、非常に深刻なものになり得ます。
5. 内部不正への対策
内部不正のリスクを完全にゼロにすることは難しいですが、適切な対策を講じることで、その発生確率を大幅に低減させることができます。対策は大きく「技術的対策」と「人的・組織的対策」に分けられます。
技術的対策
システムやツールを活用した対策です。
| 対策 | 内容 |
|---|---|
| アクセス制御・権限管理 | 従業員の役職や職務内容に応じて、アクセスできる情報やシステムを必要最小限に制限する(最小権限の原則)。定期的な権限の見直しも重要。 |
| ログ監視・分析 | 誰が、いつ、どの情報にアクセスしたか、どのような操作を行ったかのログ(記録)を取得し、不審な動きがないか監視・分析する。異常検知システム(SIEMなど)の導入も有効。 |
| データ暗号化 | 機密情報や個人情報を暗号化し、万が一漏洩しても内容を読み取れないようにする。 |
| 外部デバイス・サービスの利用制限 | USBメモリなどの外部記憶媒体や、個人用クラウドストレージ、フリーメールなどの利用を制限または禁止する。DLP(Data Loss Prevention)ツールの導入も検討。 |
| 印刷・画面キャプチャ制御 | 機密情報の印刷を制限したり、誰が印刷したかのログ(ウォーターマーク含む)を残したり、画面キャプチャを禁止したりする。 |
人的・組織的対策
ルール作りや従業員の意識向上に関する対策です。
| 対策 | 内容 |
|---|---|
| 従業員教育・啓発 | 情報セキュリティに関する研修を定期的に実施し、内部不正のリスクやルール遵守の重要性を周知徹底する。不正行為が発覚した場合の罰則なども明確に伝える。 |
| 規程・ルールの整備と周知 | 情報管理規程やセキュリティポリシーを明確に定め、全従業員に周知する。入社時や異動時に誓約書を取得することも有効。 |
| 内部通報制度の設置 | 従業員が不正行為を発見したり、その兆候に気づいたりした場合に、匿名で相談・通報できる窓口を設置する。不正の早期発見や抑止力につながる。 |
| 雇用・退職時の管理 | 採用時に経歴や信頼性を確認する(リファレンスチェックなど)。退職時には、アクセス権の速やかな削除、貸与PCや情報の返却を徹底する。退職後も有効な秘密保持契約を結ぶ。 |
| 良好な職場環境の維持 | 従業員の不満やストレスは不正の動機になり得るため、風通しの良いコミュニケーションや公正な評価制度など、働きがいのある環境を整備することも間接的な対策となる。 |
独立行政法人情報処理推進機構(IPA)も内部不正に関する情報や対策資料を公開しています。より詳細な情報を知りたい場合は、以下のリンクなどを参照してください。
IPA: 組織における内部不正防止ガイドライン
6. まとめ
内部不正は、組織内部の信頼関係を悪用する形で行われるため、外部からの攻撃とは異なる難しさがあり、一度発生すると甚大な被害につながる可能性があります。
「うちの従業員に限ってそんなことは…」と考えるのではなく、「内部不正はどの組織でも起こりうる」という前提に立ち、技術的な対策と人的・組織的な対策をバランスよく組み合わせ、継続的に見直し・強化していくことが重要です。
この記事が、内部不正のリスクを理解し、自社のセキュリティ対策を見直すきっかけとなれば幸いです。