内部不正の実態と情報漏えいを防止する対策
2022年4月にデジタル化推進に伴い個人情報保護法が改正され、同年5月には国民生活への必要物資の安定供給から経済安全保障推進法が成立するなど情報管理の意識が高まり、ますます情報漏えい対策が重要視されています。コンプライアンスやガバナンス強化の面からも、組織内部における情報管理の重要性は高まっていますが、見落としがちなのが、「内部不正」による情報漏えいです。この記事では、実際にあった事例から見る内部不正防止の重要性や対策方法についてご紹介します。
目次
内部不正とは何か
内部不正とは、内部関係者による機密情報や情報資産の盗用や漏えい、また破壊や廃棄などの不正行為のことです。企業の役員や従業員にとどまらず、業務委託先や取引先の担当者、退職者なども内部関係者とされます。
また、故意による不正行為だけではなく、内部関係者が誤って情報を流出させてしまうなどの人的ミスによって損害が発生した場合も内部不正とみなすことがあります。
内部不正のなかでも実害が少ないものについては、当該関係者の罰則を伴わず、組織内の処分でとどまるケースも見受けられます。しかし悪意を持って故意に行い、かつ被害が甚大な不正行為の場合は、刑事事件に発展することや大々的に報道される場合もあります。
内部不正によって発生する被害
内部不正による被害は、外部からのハッキングやスパムメールなどのサイバー攻撃によるものと比べて被害が大きくなる傾向にあります。具体的には、直接的な損害のほか、取引停止などの信用問題によるものや内部調査にかかる費用などが含まれます。また、内部不正の実行者が処分などに至った場合の人的損失や、業務上のダメージを回復するための措置に関する負担なども挙げられます。
被害額が大きい上に、知名度の高い大企業などで内部不正が明るみに出た場合の風評による損失も加味すると、企業の存続にかかわる大問題へと発展する場合もあります。また、信用の損失を恐れて企業側が明らかにしていない内部不正の事例も数多くあるといわれています。
今後は経済安全保障推進法により保護される特定重要技術やその研究に関連する機微な情報、秘密特許についても情報漏えい対策が必要となります。
法律と情報漏えい対策
昨今の情報漏えいに関するニュースでも、内部不正によって情報漏えいに至るケースが多々報告されています。冒頭でもご説明したように改正個人情報保護法の改正や経済安全保障推進法の成立など、法律面からも情報漏えい対策はますます重要となっています。ここでは、法律と情報漏えい対策についてご紹介します。
改正個人情報保護法
2022年4月1日に改正個人情報保護法が施行されました。従来は個人情報漏えい事故発生時の報告や本人への通知は推奨とされていましたが、改正により個人情報漏えい時の報告が義務化され、違反時の罰金を以前の最大百万円から最大一億円まで増額するといった罰則の強化も行われ、ますますの対策が必要となっています。
出典:個人情報保護委員会
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
経済安全保障推進法
経済安全保障推進法は、先端技術研究の研究推進や非公開特許についての法律です。先端技術研究の研究推進では、研究のために共有される機微な情報について適切な情報管理と守秘義務が求められます。非公開特許では、特許の手続きにおける機微な技術の公開や情報流出を防止しなければなりません。対象となる情報を取り扱う企業では情報漏えい対策が重要になります。
出典:内閣府 経済安全保障
https://www.cao.go.jp/keizai_anzen_hosho/index.html
組織における内部不正の実態
IPAが公表した「企業における営業秘密管理に関する実態調査2020」によると、営業秘密が競合他社へ流出した原因として、中途退職者(役員・正規社員)による漏えいが36.3%、現職従業員等のミスによる漏えいが21.2%、現職従業員等のルール不徹底による漏えいが19.5%、金銭目的等の動機をもった現職従業員等による漏えいが8.0%となっています。
また、同報告書において、過去5年間で営業秘密の漏えい事例があったと回答した企業のうち、流出した可能性のある情報の種類は「顧客情報」が77.1%と最も多く、次いで「サービス提供上のノウハウ」が38.9%、「製造に関するノウハウ」が29.6%と続いています。
グラフからも分かるとおり、中途退職者・現職従業員によって営業秘密の漏えいがもたらされている実態となっており、社内外含めた情報漏えい対策が必要といえるでしょう。
内部不正の変化
実際にあった内部不正の事例として過去に多かったものは、顧客名簿や機密文書など紙文書の持ち出しによるものでした。しかし近年ではIT化が進んだ影響で、USBなどの外部記憶媒体によるデータ持ち出しや遠隔操作ソフトによる盗用といった内部不正が主体になっています。
内部不正の発生原因
人的要因
人的要因による内部不正とは、人が原因となって不正が起こることを指します。
内部不正は、内部不正を行う動機や不正を正当化する理由が顕在化したときに発生しやすいとされています。
例えば、「自分はもっと評価されるべきなのに、評価しない会社が悪い」といった倫理観の欠如や行動を正当化する姿勢など、不正することに対して心理的抵抗が低い状態になると起こります。
内部不正が意図的に行われる場合の動機は、「会社への待遇不満」や「会社から不当な要求を受けたこと」、「杜撰な管理体制につけ込み、発覚しないと思ったこと」などが主体となっています。それだけでなく、委託先による情報漏えいや、システム管理者による不正行為といったものも情報の杜撰な管理が要因で起こる内部不正です。
実際に、2019年に起きた平塚市元職員による情報持ち出しは、退職者に対するアクセス制限を行っていなかったという杜撰な管理体制につけこまれた事件となります。
出典:平塚市元職員情報持ち出し
https://www.city.hiratsuka.kanagawa.jp/joho/page06_00025.html
また、従業員が人事評価に納得していなかったり、不満があったり、業務の悩みを誰にも相談できず、孤立していたり、特定の従業員の業務量が過大している職場環境も、内部不正につながりやすいです。
そのほか、意図的に実行される不正のほか、メールの誤送信や設定ミスなど人為的なミスによる不正も内部不正に含まれます。
人為的なミスによる内部不正の例として、2022年8月、厚生労働省が管理する国家指定の難病患者のデータファイルを研究者に提供する際、人為的なミスにより本来削除されるべき5,640名分の個人情報を記載してしまった事件が挙げられます。
出典:厚生労働省 指定難病患者データの研究利用のための第三者提供における個人情報の流出及びその対応について
https://www.mhlw.go.jp/stf/newpage_27386.html
人的要因から発生する内部不正は、明確な悪意を持った不正行為だけでなく、単純なミスや本人に悪気がなかった場合も多くあります。
技術的要因
動機やミスなどの人的要因があっても、それを実行できてしまう技術的な要因がそろっていなければ漏えいには発展しません。内部不正が実行される主な技術的要因としては、先にも述べた「杜撰な管理体制」が挙げられます。
たとえば、USBメモリを容易に持ち出せてしまい、USBメモリにパスワードなどのセキュリティ対策が施されていないことや、メール送信時のチェック体制が甘いなどのケースがあるでしょう。
技術的要因をなくすには、容易にデータの持ち出せないよう対策したり、メールの誤送信を防ぐためのシステムや体制を整えたりするなどの対策が有効です。
外的要因
機微な技術を持つ企業の場合、その情報を狙った外部の人間が従業員に対し情報提供を要求することがあります。通常の経済活動や研究活動の中で金品や飲食の提供等過剰な便宜供与があるなど、不審なアプローチがあった場合は、個人ではなく組織での対応を心がけましょう。
さらに、人材リクルートを通じて技術や情報の取得を試みることもあるため、日頃から従業員へ教育しておくことも重要です。
人的要因である「動機」と「不正の正当化」、そして技術的要因に起因する「不正の実行機会」の3つを「不正のトライアングル」と呼ぶことがあります。この3要素がそろうと不正が行われることを意識し、内部不正の発生を防ぐ対策に取り組みましょう。
内部不正防止対策の基本
内部不正の発生を防ぐには、事前の対策と事後の対応の双方を想定して対策を講じておくことが必要です。
内部不正を未然に防ぐための対策
先に述べた「不正のトライアングル」である「動機」「不正の正当化」「実行機会」を発生させないために、特に不正そのものを実行できない状態にする「実行機会」の阻止は重要になるでしょう。システム上での管理・監視体制を整え、不正に至らないよう対処しておくことで発生を防ぐことができます。
また、情報漏えいが起きてしまった場合、調査のためにログを調査する必要があるので、事前にログを保存するシステムを導入しておくとよいでしょう。
内部不正発生後の対応
内部不正が起こってしまったときは、最優先に被害の拡大防止と再発を防ぐ取り組みを行うことが必要です。発生要因の具体的な特定を行って、その要因を社内から取り除くために人的・技術的両側面から実効的な対処をします。
もし個人情報を漏洩してしまったときは、改正個人情報保護法に定められた「個人情報保護委員会など監督官庁への報告」を最優先に行う必要があります。
また、不正を起こしても得られるものはなく、失うもののほうが多いということを内部関係者に知ってもらうための指導・教育の見直しなども行わなければなりません。
内部不正対策の注意事項
内部不正対策として、普段の情報の取り扱いにも注意する必要があります。その情報が「秘密情報」だと従業員が認識していないと「社外に出してはいけないと思わなかった」といった言い逃れをするかもしれません。重要な情報は、秘密であることを明記したうえでルールの周知徹底を行いましょう。また、従業員が入社する際には秘密保持契約書を締結し、従業員が退職した後も誓約書が一定期間有効であることなどもしっかり定めましょう。
内部不正を防止するためには
対象となる情報資産や必要となる対策は、業種や取引先との取り決めなどによりさまざまですが、いくつかポイントを挙げてご紹介します。
リスクアセスメント
まずは、自社の情報管理状況をチェックするリスクアセスメントが重要です。リスクアセスメントとは、職場の潜在的な危険性または有害性を見つけ出し、これを除去、低減する手法のことをいいます。
社内や出入口に防犯カメラや出入管理システムの設置職場の安全な環境づくりや不正防止などを目的に、社内や出入口に防犯カメラを設置することは有効です。カメラの存在により犯罪や不正行為の抑止につながります。また、防災や屋内でのトラブルの予防・解決にも役立てることができます。
また、出入り口にカメラを利用した顔認証の出入管理システムを設置するのも、内部不正の防止対策におすすめです。機密情報を取り扱う場所に出入管理システムを導入すれば、関係者以外立ち入り禁止にすることができます。
パソコン管理の徹底
会社で購入したパソコンの台数やインストールしているソフトウェアのバージョンを把握することは、あらゆる情報漏えい対策の基本となります。専任のIT管理者がいない場合や本社以外の拠点がある場合には、ネットワーク上のパソコンを一元管理できるツールが便利です。
ALSOKの関連商品
未知の脅威への対策の徹底
不正行為を未然に防ぐには、不正に至る可能性を含んだ異常な振る舞いから発生を予測し、怪しいと思われるシステムの動作やその特徴を検知する対策も有効です。これは「振る舞い検知」と呼ばれ、近年のセキュリティシステムにはパッケージ化されているものも増えています。
サイトアクセスの実態の把握
改ざんされたサイトにアクセスすると、閲覧するだけでマルウェアに感染したり、個人情報の搾取を目的とした偽サイトに誘導されたりするケースがあります。業務上不要なサイトにアクセスしていないかアクセス履歴を記録し、不適切なサイト閲覧がある場合は制限することも必要となります。(URLフィルタリング)
ALSOKの関連商品
データの利用実態の把握
パソコンのログインやフォルダアクセスを制限しても、メールやUSBメモリなどでデータ(ファイル)を共有しているケースがあります。不適切なデータ利用を把握するには、データ(ファイル)へのアクセスを含むパソコンの操作を記録することが望まれます。
クラウドストレージ利用の管理
個人用のクラウドストレージへアップロードすることでデータを持ち出すケースがあります。対策として、業務に不要なクラウドストレージへのアクセスを禁止するURLフィルタリングが有効です。
私物端末のアクセス制限
経費削減や業務効率化などの理由で、社員の個人所有端末を業務で使用する「BYOD (Bring your own device)」を取り入れる場合、働き方改革としてテレワークなどを導入する場合は、セキュリティレベルが低下しないよう対策することが必要です。
社員が会社の管理下にない端末で業務活動を行う、いわゆるシャドーITによる被害を防止するには、許可されていない端末を検知するといった対策が有効です。
テレワーク環境の整備
コロナ禍をきっかけとして急遽テレワーク環境を導入した場合、従業員の自宅パソコンに業務で使用するファイルやデータをコピーできてしまうなど、セキュリティ対策が杜撰な場合があります。このような状況が続くと内部不正だけではなくマルウェアによる情報流出のリスクも高まります。リモート接続時には接続元の画像のみを転送するなど、セキュリティ対策が施されたテレワーク環境を利用することが大切です。
ALSOKの関連商品
外部メディアの利用制御
USBメモリ持ち出しによる内部不正の事例が多いように、外部記憶媒体が簡単に持ち出せる状況が当たり前であればあるほど、情報漏えいなどの不正リスクも高くなります。USBメモリのほか、CD・DVD・BD、外付けハードディスクなどの外部メディアに関しては、システム上での利用制御や強制的な暗号化などの対処が特に重要になるでしょう。
担当者の負担をなるべく抑える
多様な雇用形態が定着し、IT端末やデータ管理の重要性はますます高くなっています。一方で、多くの企業では専任の担当者を確保することは、業務負担とスキルの両面からなかなか難しい課題となっています。
有効な対策サービスの導入によって過度に業務負担が増えないよう、機能面で適切なサービスを選ぶとともに、サポート条件(受付時間や手段)の確認も重要となります。
ALSOKでは、パソコンやタブレットなどの管理からセキュリティ対策、外部メディアの制御、操作ログの取得、企業のIT資産管理に係るサービス導入から運用まで全面的にサポートいたします。
ALSOKの関連商品
まとめ
今回は内部不正の実態と情報漏えいを防止する対策についてご紹介しました。実際に起きた情報漏えいの事例では、現職従業員・中途退職者等からの情報漏えいが多く、サプライチェーンの弱点を悪用した攻撃も増加しています。取引先による情報漏えいも発生していることから、自社内だけでなく取引先も含めた情報セキュリティ管理が求められています。
実際に、情報セキュリティ管理体制の有無が取引条件に入っているケースも増えています。社内に重要データが保存されたファイルサーバがある場合は、物理的な出入管理と組み合わせたセキュリティ対策を講じ、内部不正が起きにくい環境づくりを行うことが重要です。