ニュースなどで報道される情報漏えい事故には、企業に所属する従業員や元従業員、もしくは委託先の内部不正が原因となっているケースも少なくありません。

このような内部不正が発覚すると、社会的な信用が失墜し、取引先に関係を絶たれてしまうなど、企業の存続を揺るがしかねない大打撃となってしまいます。そしてそもそも、内部不正が生じるようなガバナンスの甘さを、経営者は許すわけにはいきません。

この記事では、内部不正はどのような原因から発生してしまうのか、また実際の事例と対策について紹介します。

1 内部不正の事例

まず、内部不正によって発生した代表的な事件の前例を3つ紹介します。

1)【事例1】元社員による営業秘密不正取得

家電量販店A社の元課長が、退職前に事務所のパソコンに遠隔操作ソフトをインストール。競合他社である転職先B社の業務用パソコンから遠隔操作をおこない、A社の営業秘密を入手したり、元部下の協力で情報を得たりしていました。

抜き出したデータは約200件にも及び、A社の住宅リフォーム事業の地域別売上や販売戦略、管理システムのマニュアルなどの内容でした。

このデータをもとにB社が同様の事業を立ち上げたため、A社が元課長とB社を刑事告訴するに至っています。抜き出したデータはB社の社内パソコンにA社の名前そのままのフォルダに保存され、一部は誰でも閲覧できる状態でした。

元課長は不正競争防止法違反(営業秘密の不正取得)容疑で逮捕され、懲役2年(執行猶予3年)・罰金100万円の判決を受け、有罪が確定しています。

調べに対し、元課長は「再就職先で格好をつけたかった」と供述したといい、B社としても中途採用制度がないなか、実績とノウハウを買っての異例の採用だったとのことです。

2)【事例2】職員による個人情報を含む行政文書の不正持ち出し

C県D市職員が、個人情報を含む行政文書約220万件を不正に持ち出し、自宅の個人パソコンで保管していたことが判明したとして、D市が謝罪しました。

同市によると、職員にはセキュリティ機能を搭載したUSBメモリを業務用に貸与しており、それを同職員が私的利用、庁舎のパソコンのデータを自宅のパソコン・ハードディスクにコピーしていたとのこと。

また、紙文書も原本とコピーを自宅に持ち帰っていました。持ち出した行政情報のうち約14万2000件のファイルに個人情報が記載されていました。

同職員によれば、動機は仕事や勉強に使いたかったとのことです。なお、これらの情報の外部流出は確認されていません。

同市では同職員に停職6カ月の懲戒処分を実施、同日付で刑事告発をおこないました。同月末に同職員は依願退職しています。

3)【事例3】委託SEによる個人情報漏えい

E社は、学生・子ども向け通信教育サービスを提供している大手企業です。E社は子会社のF社にダイレクトメールやイベントなどで収集した、個人情報を保管するデータベースの保守を依頼していました。

F社はこれをさらに複数社に再委託しており、このうち1社の委託社員であるシステムエンジニア(SE)が同データベースの保守管理業務に関わり、顧客情報をダウンロード、私用スマートフォンにコピー。

この個人情報を複数の名簿販売業者に売却し、これがさらに転売されて、競合他社である教育関係の企業など多くの事業者に渡り、使用されてしまいました。

流出したデータの内容は、E社に会員登録している子どもと保護者の氏名、住所や電話番号、生年月日や出産予定日などで、漏えい件数は約3504万件にも上りました。

結果、犯人として突き止めた委託SEが刑事告訴され、不正競争防止法違反の疑いで逮捕されました。その後の調べで、個人情報は複数ルートから約10社に漏えいしたことが分かりました。

また、重複分も含めて同SEは合計20回にわたり、延べ2億300万件もの個人情報を売却していたことが判明しています。

2 内部不正が発生する原因

では、内部不正はどのような原因から発生してしまうのでしょうか。実際のケースなどをもとに見ていきます。

1)内部不正の要因

内部不正には「技術的要因」に分けられます。人的要因とは文字通り人に起因することであり、技術的要因はそれを可能にしてしまうシステムの弱点などをいいます。

以降では、内部不正が発生してしまう人的要因に関して解説していきます。

2)内部不正した人・流出先の傾向

情報処理推進機構(IPA)が発表した2017年のデータによると、内部不正をした人、その流出先は次のようなケースが多いです。

内部不正した人の実態・情報流出先の実態を示した画像です

この結果によると、現職従業員等のミスや中途退職者(正規社員)による漏えいがワースト2となっており、その流出先は競業他社が最も多くなっています。

また、内部不正も情報の持ち出しのみならず、メールの転送や背任行為、システムの破壊といった妨害行為をおこなうケースも増加しているといいます。

3)内部不正を働く動機

故意に内部不正をおこなった人は、どのような動機でその行為に至ったのでしょうか。同じくIPAの公表したデータによると、次のような結果となっています。

●不正行為への気持ちを高める要因
1位:不当だと思う解雇通告を受けた 34.2%
2位:給与や賞与に不満がある 23.2%
3位:社内の人事評価に不満がある 22.7%
4位:職場で頻繁にルール違反が繰り返されている 20.8%
5位:システム管理がずさんで顧客情報を簡単に持ち出せることを知っている 20.1%

(出所:IPA「組織内部者の不正行為によるインシデント調査 調査報告書」より一部抜粋)

ワースト3を占めたのは、いずれも会社や上司への不満となっており、その報復として内部不正に至るケースが多いようです。

4)発生率を高める3要因

アメリカの組織犯罪研究者、ドナルド・R・クレッシーによると、内部不正は「動機・プレッシャー」「機会」「正当化」という3要因がそろったときに発生するといわれます。

内部不正の発生率を高める3要因を示した画像です

動機・プレッシャー

不正行為を実行しようと思うきっかけ、原因となるもの。
例:人事・処遇への不満、金銭的な問題がある、高いノルマを課されたことへの不満やプレッシャー

機会

技術や組織のルール面などで、不正が容易におこなえる環境にあること。
例:システムの管理権限がある、長期間同じ業務を担当している、情報を持ち出せる環境にある

正当化

自分勝手な理由づけや都合のよい解釈、責任転嫁をすること。
例:正当に評価されない、自分の境遇は会社が悪いと思う

3 内部不正の対策

つづいて、内部不正を発生させないための対策について、基本的な原則を解説していきます。

1)内部不正を防ぐには3要因の低減が重要

前述のように3要因がそろったとき、内部不正が発生してしまいがちです。つまり、抑止するためにはこれらの3要因を低減することが重要です。

組織として能動的に低減させられるのが動機・プレッシャーと機会の2要因であり、例えば次のような対策をおこなうという方法があります。

「動機・プレッシャー」の低減

  • 職場環境の整備
  • 従業員の不満解消など

「機会」の低減

  • アクセス、操作ログの管理や暗号化など
  • 従業員のモニタリング、通報制度など
  • 内部統制、法令順守の強化など

「正当化」の低減

  • 誓約書や署名などを提出させる

2)IPAが定める3要因を低減するための5原則

IPAでは、犯罪学者のCornish&Clarkeが提唱した犯罪予防の理論をもとに、3要因を低減するための5原則を次のように定めています。

1. 犯行を困難にする、やりにくくさせる

対策を強化し、不正を難しくする

2. 見つかるリスクを高める→「機会」低減

監視・管理を強化することで、不正発覚のリスクを高める

3. 犯行のメリットを減らす、割に合わなくする

標的を隠す、排除するなどすることで、利益を得にくくする

4. 犯行をおこなう気にさせない→「動機」低減

犯行をおこなう気持ちにさせないことで抑止する

5. 犯行の弁明、言い訳をさせない→「正当化」低減

犯行をおこなう者が自らの行為を正当化する理由を排除する

(出所:IPA「組織における内部不正とその対策」を基に作成)


メールマガジンの登録ページです

4 【内部不正の対策】3つのケース別に紹介

つづいて、内部不正が発生しやすい具体的なケースをもとに、それぞれどう対策を講じるべきかを解説していきます。

1)【ケース1】システム管理者による不正行為

多くの権限を所有するシステム管理者は、不正行為をおこなった場合の影響が大きく、重大事故になりかねません。特に、次のような場合はハイリスクといえるでしょう。

  • 権限が1人に集中している
  • 重要情報へアクセスしているシステム管理者が特定できない
  • システム管理者の操作ログなどの監視をおこなっていない
  • 権限が必要以上に多くの従業員に付与されている(制限がない)

1.対策方法① 適切な権限管理

  • 権限が1人に集中しないよう分散する

システム管理者が1人の場合、管理者以外が操作ログの確認をおこなう。

  • システム管理者ごとにIDを割り当て、特定できるようにする

共有アカウントを使用しない。

  • 特権を用いる操作をできるだけおこなわない

特権が必要な場合に対象作業の申請、承認プロセスを厳密化、特権IDを一時的に発行するなど。

  • 相互にシステム管理者が監視をおこない、不正ができない環境にする

作業は複数人で立ち会う、別の管理者が作業内容・日時の記録された報告を確認するなど。

  • 必要最低限のメンバーに権限を付与する

2.対策方法② システム管理者の監視

  • システム管理者によるアクセス・操作ログを記録し、定期的にシステム管理者以外が監査

定期作業外の操作、作業申請外のアクセスがないかなど、システム管理者の上司や総括責任者、委託元の責任者などが確認。

  • 操作ログが記録されていることが確認できたら、業務担当者に連絡

2)【ケース2】退職に伴う情報漏えい

経済産業省「人材を通じた技術流出に関する調査研究」のデータでは、営業秘密を漏えいした者で最も多かったのが中途退職者です。従業員の「転職」「契約期間の満了」の前後は特に注意する必要があります。

1.対策方法① 退職前の監視強化

従業員のパソコンなどを退職の数週間前からシステム管理部門などの管理下に置く。「監視されている」と意識させることが不正の抑止力になる。

  • 退職の数週間前から重要情報へのアクセス権、USBメモリなどの利用に制限を設ける
  • 退職する従業員のメールのやり取り、印刷やUSBメモリのコピーなど、情報の持ち出しに関する操作ログを監視する

2.対策方法② 退職時の手続き

従業員が退職後に重要情報を持ち出せないようにし、競業他社に営業秘密などが漏えいしないための対策を講じる。

  • すみやかにアカウント情報、管理権限などを削除する
  • パソコンなど貸し出し機器、入館証の返却
  • 自社の情報を他社に漏らさないよう「秘密保持契約」や誓約書などを取り交わす(どの情報が契約対象になるか明確化が必要)
  • 重要な情報を扱う従業員とは「競業避止義務契約」を締結する手段もある(ただし職業選択の自由を侵害しない範囲)

3)【ケース3】職場環境に起因する不正行為

従業員が不正行為をおこなう動機になる不満を与えないためには、職場環境の整備が重要になります。まず前提として、危険要因となるのが次のような不満です。

  • 人事評価に関して不満がある
  • 単独での作業が多い
  • 特定の従業員が特定の業務を長期間担当している
  • 特定の従業員のノルマが過大になっている
  • 業務の悩みが誰にも相談できない環境、孤立

1.対策方法① 公平な人事評価

  • 人員配置・配置転換を適切におこなう
  • 客観的かつ公平な人事評価の制度を設け、その内容を従業員が納得できるように説明をおこなう

2.対策方法② 適正な労働環境

  • 業務負荷が特定の従業員に対して極端に大きい状態を改善する
  • 勤務時間・ノルマを適正化する

3.対策方法③ 良好なコミュニケーション

  • 業務の支援や上司・同僚とコミュニケーションを取りやすい環境に整備し、気軽に悩みなどを相談できる状態となるよう推進していく

5 まとめ

内部不正は「動機・プレッシャー」「機会」「正当化」の3つが主な要因となり、これらを低減することで、内部不正が起こりにくい環境にできるということを解説しました。

しかし、従業員は何が引き金となって、不正行為を実行に移してしまうか分かりません。日ごろから社内の状況を把握できるようにし、自社に合う適切な制限・監視などをおこない、対策を講じていくことが非常に重要といえるでしょう。

以上

※上記内容は、本文中に特別な断りがない限り、2019年3月27日時点のものであり、将来変更される可能性があります。

※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。

【電子メールでのお問い合わせ先】inquiry01@jim.jp

(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)

ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です