企業で起きる情報漏えいの原因として真っ先に浮かぶのはサイバー攻撃による被害ですが、外部からの攻撃だけでなく内部不正による情報漏えいの被害も多く発生しています。2024年1月24日にIPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威2024」の報告書によると、2023年に発生した情報セキュリティへの脅威の中で社会的に影響が大きかった事案の法人向けランキングで第三位に選ばれたのが『内部不正による情報漏えい等の被害』です。このランキングはIPAが選出した脅威候補の中から、情報セキュリティ分野の研究者や企業の実務担当者などが審議・投票をしたうえで決定したもので、「内部不正」は2016年の情報セキュリティ10大脅威で初めて選出されて以降、9年連続ランキング入りしているほど問題視されています。
万が一、自社で内部不正による情報漏えいが発生した場合、社会的な信用が失われるだけでなく、企業の存続自体が危ぶまれる危険性もあるため組織は内部不正の脅威を認識し、内部不正対策を講じる必要があります。
今回は内部不正による情報漏えいが起こらないよう、内部不正が発生する原因や事例、内部不正を防止するための対策について解説します。
まず、内部不正の実態と大きく4つに区分した内部不正の種類について解説します。
内部不正とは、中途退職者・現職従業員・業務委託先など組織の関係者や元関係者による不正行為のことを指します。違法行為だけでなく、重要なデータや情報システム等の情報資産の「持ち出し・窃取・漏えい・消去・破棄・破壊・悪用・流出」などの不正行為だけでなく、意図せず引き起こしたミスによる流出なども内部不正に含まれます。
2020年にIPAが行った調査によると営業秘密の漏えいルートで最も多いのが中途退職者(役員、正規社員)で36.3%、次に多いのが現職従業員で21.1%でした。内部不正防止は、いかに「故意」による内部不正を減らす・未然に防ぐかが重要になります。
① 社内セキュリティの対策が施されていない
サイバー攻撃など外部からの攻撃には対策を行っているものの、内部不正へのセキュリティ対策を行っていないケースです。アクセス権限を設定していない・管理していないため、従業員がいつでもアクセスして機密情報を閲覧・編集できる環境下にあります。また、操作ログが記録されていないことで誰が・いつ・どの情報にアクセスしたかの履歴を確認することができません。
② アカウントの悪用
中途退職者がアカウントを悪用するケースです。退職者のアカウントを削除せずに放置していることで、退職後も不正アクセスして機密情報を窃取できる環境下にあります。
③ 内部不正の持ち出し
機密情報を印刷する・USBメモリーやクラウドストレージにデータをコピーすることで社外に持ち出すケースです。社内トラブルや不満など、故意的に情報を持ち出すケースや厳格なルール・罰則がないために安易に情報を持ち出すケースなどが該当します。
④ ヒューマンエラー
意図せず従業員が誤操作・置き忘れしてしまうことで起こるケースです。メールやFAXなどの宛先間違いや重要資料の置き忘れ、ファイルやUSBの紛失・盗難・破棄、誤ったシステムの操作などの人為的ミスが該当します。
次に、実際に起こった内部不正の事例についてパターン別にご紹介します。
【被害内容①】
システム管理者が社長のPC設定を変更し、社長宛に送信されたメールを自身のメールアドレスに転送して読んでいた。
【原因】
システム管理者が1名体制だったため内部不正が発覚しづらい環境だった。
【被害内容②】
システム管理者が機密情報を繰り返し持ち出し換金していた。また、内部不正を繰り返すたびに機密情報の持ち出し行為がエスカレートしていた。
【原因】
システム管理者の操作を監視する規則だったが、担当者が確認を怠っていたため機密情報が繰り返し持ち出しされた。また、管理者の権限を分散せず、1人に権限が集中していたため発覚しづらい環境だった。
【被害内容③】
長期間ノートPCが机の上に山積み状態で放置されている環境の中で知らない間にノートPCが紛失していた。その後の調査によってノートPCが売却されていることが発覚したものの、犯人は特定できなかった。
【原因】
ノートPCの管理がされておらず、フロアに入れる従業員であれば誰でも持ち出しが可能だった。
【被害内容④】
在宅勤務をしている従業員が自宅のPCからインターネットを介して企業の情報システムに接続し、機密情報を窃取して換金していた。
【原因】
在宅勤務など社外でインターネットを介して利用する情報システムや機密情報へのアクセスに制限を設けていなかった。また、アクセスログの監視も行っていなかった。
【被害内容⑤】
新会社の立ち上げを考えて一斉に退職した複数名の従業員が退職する際に、新会社で利用する目的で顧客情報を持ち出した。
【原因】
機密情報を不正に持ち出して使用する行為が不正競争防止法違反にあたるという認識が乏しかった
【被害内容⑥】
中途退職者が、退職後にシステム内の機密情報に不正アクセスしていた。
【原因】
業績不振を理由に解雇されることに不満があった。また、退職後に共有アカウントのパスワードを変更していなかった。
【被害内容⑦】
業務提供先の元従業員が企業の研究データを不正に持ち出して転職先の海外企業に提供していた。
【原因】
待遇への不満があった。また、内部不正を防ぐために記録媒体の利用制限や機密情報へのアクセスログの監視を行っていなかった。
【被害内容⑧】
元従業員がUSBを利用して社用PCから個人のPCに顧客情報をコピーし、不正に持ち出していた。
【原因】
記録媒体の利用制限を行っていなかった。
【被害内容⑨】
説明会のリマインドメールを送信する際に、Bcc欄に入れるべき参加者のメールアドレスを誤ってTo欄に入れて一斉送信してしまった。
【原因】
一斉送信前の二重チェックなど、ヒューマンエラーへの対策を行っていなかった。
【被害内容⑩】
教育機関において、職員が生徒の情報が保存されているUSBメモリを持ち出した際に盗難に遭い、情報が漏えいしてしまった。
【原因】
生徒の情報を暗号化していなかった。
次に、内部不正が起こる原因について解説します。
「人」が原因で起こる内部不正です。人的要因には故意による不正とヒューマンエラーによる不正があります。故意よる内部不正は私怨やプレッシャーなど、人の心理的な要素が大きく関係しており『動機』『機会』『正当化』の3要素が揃うことで不正が起こりやすくなると言われています。また、ヒューマンエラーによる内部不正は機密情報やシステムを利用する際の誤操作、ファイルやUSBの紛失など、当事者の知識不足・情報リテラシーの低さ・キャパシティーを超えた業務を請け負っていることなどにより起こりやすくなると言われています。
< 動機・機会・正当化の例 >
■ 動機:不当な解雇処分を受けた、給与や賞与に不満がある、不当な評価を受けた、多額の借金を抱えているなど
■ 機会:機密情報やシステムを1人で管理している、ログの監視や内部帰省が確立されていないなど
■ 正当化:「データを持ち出しても誰も気づかないから困らないだろう」「自分も不当な評価を受けているのだからやり返しても問題ない」など
「技術」が原因で起こる内部不正です。機密情報に従業員や業務委託先の従業員が誰でも・いつでもアクセスできる状態の場合、内部不正が起こりやすくなります。また、アクセスログの履歴が記録されていない場合、内部不正が発覚しても経路の検出や犯人の特定などが困難になります。
次に、IPAより公開されている内部不正防止のガイドラインについてご紹介します。2013年に初版が公開されており、これまでに改訂版第5版(2022年4月)が公開されています。(参照元:IPA「組織における内部不正防止ガイドライン」)
内部不正防止のガイドラインは、組織での内部不正を防止するための考え方や運用方法が記載されています。また、対策に努めたものの内部不正が発生してしまったケースを考慮し、内部不正後の「早期発見」と「拡大防止」も視野に入れて作成されています。
内部不正に関連する事故は、風評被害が発生する恐れや関係者との調整がつかないなどの理由により組織内部で処理されるケースが多く、内部不正に関する情報が共有されないため、組織は自社の経験等をもとに個々で対策を講じています。
しかし、組織ごとに対策を講じることで「自社で内部不正が発生することはないだろう」などと内部不正を軽視し、対策の必要性に気づかれない恐れがあります。
内部不正防止のガイドラインを活用することで、組織が共通の効果的な内部不正対策を整備することが可能です。
ガイドラインでは、状況的犯罪予防(2003年に犯罪学者のCornish & Clarkeが提唱した都市空間における犯罪予防の理論)の考え方を応用した基本原則5つが適用されています。
「機会」の低減
1. 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
2. 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
3. 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
「動機・プレッシャー」の低減
4. 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
「正当化」の低減
5. 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
最後に、社内のセキュリティ対策についてご紹介します。
■ アクセス・ログの監視
①個人情報など機密情報へのアクセス権限は限定した従業員にのみ付与し、定期的に利用状況を確認する。
②業務に必要なデータのみアクセスを許可するよう従業員ごとにアクセスできる範囲を設定する。
③特定の従業員に権限が集中していると内部不正の発覚が遅れる危険性が高まるため、アクセス権限を分散・管理者を複数人設け、相違監視の体制を構築する。
④内部不正を試みた人物がいた場合、すぐに発見できるよう入退室の記録・端末の持ち出し記録・アクセスログの管理を徹底しておく。
■ 持ち出し時に関するリスクに備える
①記憶媒体やクラウドサービスは社内で許可されているもの以外利用を禁止する。
②データなどの持ち出しに関して違反時の罰則がない場合や持ち出しやすい環境の場合、持ち出すことへの心理的障害が低くなります。不用意な持ち出しができないように端末などの持ち出し記録を管理し、万が一ルールに違反した際の罰則を策定し、社内全体に周知しておく。
■ 雇用終了時の手続き
①記憶媒体やクラウドサービスは社内で許可されているもの以外利用を禁止する。
②データなどの持ち出しに関して違反時の罰則がない・持ち出しやすい環境の場合は、持ち出すことへの心理的障害が低くなります。そのため、不用意な持ち出しができないように端末などの持ち出し記録を管理し、万が一、ルールに違反した際の罰則を策定し、社内全体に周知しておく。
■ 従業員の教育
①定期的に機密情報の取扱い手順などを含めたセキュリティリテラシーの社内教育を実施し、内部不正を正当化できないような環境を整える。
②業務の忙しさ・人事・評価・給与などの処遇・解雇などの不満や人間関係のトラブルは内部不正が発生する引き金になります。そのため、社内での円滑なコミュニケーションを大切にする・労働環境の改善を行う・公正な人事評価を行い、内部不正を行う気持ちにさせない。
以上、内部不正が発生する原因や事例、内部不正を防止するための対策について解説しました。
― 内部不正の実態
― 実際に起こった内部不正の事例
― 内部不正が起こる原因
― 内部不正防止のガイドライン
― 内部不正を防ぐための対策
内部不正を防止するためには、内部不正の引き金となる『動機』『機会』『正当化』の3つの要素を揃わないようにすることやログの監視・アクセス制限・円滑なコミュニケーション・従業員への教育などを実施し、不正やミスが起きにくくなる環境を整えましょう。さらに外部からの攻撃にはUTM、メールバスターなどのセキュリティ対策ツールを導入して内部要因と外部要因それぞれの情報漏えい対策を行いましょう。
< セキュリティ対策ツールに関する記事はこちら>
