企業や組織の内部にある人間が重要な情報を盗み出すなどの不正行為を行う「内部不正」。
情報漏えい事故のうち、件数ベースでみると内部不正が原因のものは多くありません。しかし、一度発生してしまった場合、事故1件あたりの影響が非常に大きいことが特徴です。情報資産を持つ組織は、外部からの脅威だけでなく、内部の脅威にも対策が求められます。
ここでは内部不正の実態とそれを防ぐための具体的な対策について考察していきます。
目次
1. 内部不正の実態
1-1 内部不正の被害は甚大になる傾向がある
内部不正は、組織内の関係者が業務としてアクセスできる重要情報を盗み出すため、1回の漏えい事故における漏えい件数や損害額が非常に大きくなる傾向があります。
以前、企業の技術者が退職前に、業務提携先の企業の研究データを持ち出し、退職後に海外の競合企業にデータを提供する見返りに、好待遇で転職していたケースがありました。転職先の企業はデータをもとに新製品を発売し、データを持ち出された提携先の企業の損害額は1000億円を超えるというケースがありました。
さらに、内部不正の被害に遭った企業は、こうした損害に加え、銀行やステークホルダーなどの信頼を失ったり、ブランド失墜による顧客離れなど、深刻な打撃を受けてしまいます。
1-2 内部不正犯罪は外から見えにくい
情報漏えい事故がしばしばニュースになりますが、特に犯人が内部の関係者である場合は大きく報道されることもあります。犯罪者が内部にいたというのは話題性があり、多くの人が興味を持つ傾向にあり、企業のイメージにも大きな影響を与えます。
しかし、内部不正による情報漏えいが発生しても、漏えいした情報が個人情報でない場合は、公表されないケースもあります。理由としては、公表義務がないことや、公表することで企業などのブランドイメージが失墜することを怖れてしまうことなどが挙げられます。
このため、ニュースになる内部不正は氷山の一角であると考えられ、リスクマネジメントの観点からは実際はもっと発生している前提で対策を講じたほうが良いでしょう。
3. 誰がどこに漏えいさせるのか
実態については、経済産業省が発表している「人材を通じた技術流出に関する調査研究報告書」からうかがうことができます。
3-1 誰が漏えいさせるのか
「内部」の定義は難しいところですが、犯罪を行う主体は一般的に従業員や元従業員、派遣社員、さらに業務委託先や業務提携先、グループ会社、協力会社、海外子会社まで含まれます。
内部不正を行う主体では、「中途退職者(正社員)」が50.3%と最も多く、「金銭目的等の動機を持った現職従業員」(10.9%)、「中途退職者(役員)」(6.2%)なども目立ちます。
3-2 どこに漏洩させるのか
内部不正は情報の持ち出しだけでなく、背任行為やメールの転送やグループウェアの悪用、システム破壊などの妨害行為まで含むケースが多くなっています。そして、情報の漏えい先は「国内の競合他社」が 46.5%と突出して高く、「外国の競合他社」も10.8%あります。
※出典:経済産業省「人材を通じた技術流出に関する調査報告書」
4. 内部不正は何故発生するのか
内部不正が発生してしまう代表的な要因として、人的要因・技術的要因の側面がありますが、ここでは人に焦点を当てて、人的要因を中心に解説します。
4-1 人的要因
4-1-1 不正の動機
不正はそもそも人が行うものですので、そこには不正を働こうとする動機があります。
そして、内部不正を行う動機を高める要因のTOP3は、「不当だと思う解雇通告を受けた(34.2%)」「給与や賞与に不満がある(23.2%)」「社内の人事評価に不満がある(22.7%)」となっており、組織に対して何らかの不満を抱いていることがきっかけになっていることが伺えます。
※出典:IPA「組織内部者の不正行為によるインシデント調査 調査報告書」
4-1-2 不正の発生確率が高まる「不正のトライアングル」
人はなぜ不正を起こすのでしょうか?不正の発生要因を理解する考え方として、「不正のトライアン グル」という考え方があります。これは、米国の組織犯罪研究者ドナルド・R・クレッシーが体系化したもので、要因分析によく活用されます。
不正は「動機・プレッシャー」「機会の認識」「正当化」の3つの要因が揃うと発生率が高まります。「動機・プレッシャー」は業務や待遇に対する不満、納得のいかない叱責、業務や責任の心理的負担など、不正の契機です。「機会の認識」は不正を行うことが可能な物理環境やルールの穴など、 不正行為が可能 な状況を認識していることです。「正当化」は不正行為の実行を勝手に肯定しようとする思考です。この3つの要因が揃ったときに、人は不正を働くといわれています。
例えば、個人的に借金を抱えてしまったという「動機」があり、会社の口座管理を担当しているためお金を引き出せるという「機会」があり、引き出しても後で返せばバレないから大丈夫という「正当化」が口実となり、横領という不正を働く確率が高まります。
4-2 技術的要因
不正のきっかけとしては不満などの人の感情がありますが、実際に行動に移したとしても、不正を行えないシステム環境などを整えてあれば不正を防止することも可能です。
データを簡単に持ち出せないようにするなど技術的な対策(セキュリティ対策)が取られていないと、不正が発生する確率も高くなります。
5. 不正のトライアングル成立を予防する
内部不正は「不正のトライアングル」が揃ったときに起きると言いますが、逆に言えばトライアングルが揃わないようすれば、内部不正の発生確率を抑えることができると言えます。
5-1 行動を記録し、監視されていることを意識させる
不正のトライアングルのうち、動機は個人の感情なのでコントロールは難しいですが、正当化の兆候を検知したり、機会を与えないようにしたりすれば、内部不正を未然に防げる可能性が高くなります。また、そうした不正を防ぐための対策を行っていることを本人に認識させれば、それが抑止効果になることも期待できます。
具体的には、予算の起案者と承認者は同一人物にしない、現預金の計算はダブルチェック体制にする、パソコン利用状況のログを取っていることの明示など不正の機会を与えない・隙がないと意識してもらう対策が必要です。
5-2 内部不正の兆候を把握する
内部不正行為は、衝動的に行われるケースは少ないといいます。日頃から不満などを感じるごとに、「このデータを持ち出して活用したら」と考えますが、そうそう実行するものはありません。しかし、そうした不満が溜まっていくと、持ち出す際の方法を考えてみたり、実際に準備を始めたりするようになります。
上司からのプレッシャーやトラブルなどがきっかけになることも多いため、従業員満足度調査を通した不満の察知やインタビューを通した課題の特定など会社の風土を良くしていく取り組みも動機の芽を摘むためには必要です。
5-3 法令順守の意識を高める
コンプライアンスの視点では企業文化として不正は許さないというメッセージの発信や内部通報制度の強化、従業員教育や懲戒制度の導入などによりルールは守らなければならない・不正は行ってはいけないという意識を醸成していくことが必要です。
6. 内部不正は、システム対策と体制構築も必要
内部不正を行えないようなシステム的な対策も有効です。メール送信、Web への投稿、印刷、クリップボードへのコピー、クラウドへのアップロードなど、危険を伴う操作を監視したり、重要なデータを自動的に検出し、社外へ持ち出せないようにしたり、たとえ社外に持ち出すことができても中身を見ることができないようにするDLP(Data Loss Prevention)なども有効です。
また、体制構築には企業のセキュリティ戦略やガバナンスの策定、そして教育やトレーニング体制の整備が必要です。
7. まとめ
内部不正は人の感情がきっかけとなりますので、まずは人が不正を働かないようにするために不正のトライアングルを阻止するような対策を検討し、不正を働く動きが出てしまった場合であっても技術的なセキュリティ対策により重要情報を持ち出せない体制を構築することで、多層的に対策を講じ発生確率を最小化していくことが必要です。
著者:マカフィー株式会社 マーケティング本部