内部不正とは

内部不正とは、その名の通り従業員やその関係者などの会社内部の者による不正行為のことを指します。 「不正行為」とは、広義では機密情報や情報資産の外部への漏洩や、その情報の盗用、毀棄隠匿行為、さらに金銭の横領やセクハラ・パワハラ、SNSへ誹謗中傷の書き込み、違法残業・賃金未払いなど、会社内部で考えられるあらゆる不正行為を含みます。

そのため、それに関わる可能性のある業務委託先や取引先の担当者や外注先の担当者、退職者なども内部関係者に含まれることになります。 不正な行為をする意思を持っていた場合はもちろん、誤って情報を流出させてしまうなど、過失があった場合も内部不正の範囲に含まれることになります。

内部不正の実態・種類

独立行政法人情報処理推進機構(IPA)の「内部不正による情報セキュリティインシデントの実態調査ー調査報告書ー」によると、従業員数300名以上の企業において内部不正に直面したことがある割合は8.6％で、300名未満の企業では1.6％となっています。 また、経済産業省の「人材を通じた技術流出に関する調査研究報告書」によると、営業秘密が競合他社へ流出した原因として、退職者に関するものが50.3％、人為的なミスによるものが26.9％、金銭目的等の動機によるものが10.9％となっています。

また、日本は諸外国と比べ、セキュリティに関する専門分野の知識に明るい人材が不足している状況にあるといえます。情報セキュリティ専門会社のNRIセキュアテクノロジーズ株式会社が2021年に公表した「NRI Secure Insight2021」の調査報告によると、実に90.4%もの日本企業が「セキュリティ人材が不足している」と回答したのに対し、アメリカでは12.9%、オーストラリアでは11.6%程度の企業しか「セキュリティ人材が不足している」と回答しなかった、という結果になりました。

▼参照
・内部不正による 情報セキュリティインシデント実態調査 －調査報告書－
・情報セキュリティ10大脅威 2022：IPA 独立行政法人 情報処理推進機構
・NRIセキュア、「企業における情報セキュリティ実態調査2021」を実施 | 野村総合研究所(NRI)

内部不正の実態

【1】委託先企業等、関連会社に対するセキュリティ対策の徹底不足

国内の関連子会社のセキュリティ対策に関しては7〜8割近くの会社が把握できていますが、国内のビジネスパートナーや委託企業、国外の関連子会社に対するセキュリティ対策については、5〜6割の企業がその対策を把握できていないとの調査報告があります。 企業間の関係や言語の壁、セキュリティ予算など、様々な要因で企業間でのセキュリティ対策が十分に把握できていない実態があると言えるでしょう。

【2】内部不正と外部からの攻撃

日本では、内部不正による情報漏洩等の被害や、メールの誤送信などの人為的にミスによる被害等、組織内部に起因する被害を会社の脅威の対象とする傾向にあります。 一方で、諸外国ではウイルスやサイバーテロ等の外部からの攻撃を脅威の対象とする傾向が強いです。

【3】セキュリティ対策の重要性に関する理解の甘さ

日本では諸外国に比べセキュリティに対する認識が甘いことが多く、自社で何かセキュリティに関する問題が起こってから対策を施す傾向が強いです。 一方で、諸外国では上層部からのトップダウンによる指示で、事後的ではなく予防的に対策を行う傾向が強く、それは内部不正の問題よりもサイバーテロ等の外部からの攻撃を脅威と感じている外国企業の、セキュリティに対する認識が日本よりも高い事が伺えます。

近年、日本でも新型コロナウィルスの感染症拡大により、各企業がテレワークを推進することに伴いセキュリティ強化の指示が出ているため、セキュリティに対する認識は比較的強くなってはいますが、諸外国に比べるとまだまだ事後的対策に重きを置いているというのが現状でしょう。

内部不正による情報漏洩の事例5つ

一口に内部不正と言っても、その状況や動機、不正の方法等は様々です。 以下では、近年起こった内部不正に関する具体的な事例をご紹介いたします。

【1】東芝研究データ流出事件

2014年3月、東芝のパートナー企業の技術者が、企業秘密のデータを外部へ持ち出し、自身の転職先である企業にその情報を提供した、情報漏洩事件になります。 動機は、「自身を有能だと印象付ければ転職活動を有利に進められると思った」という事です。事実、その後の調査で、その技術者には役員としての地位を与える事が約束されており、それは当該データを裏取引の材料としたことが明らかになっています。 情報の取得方法は、自身のアクセス権を利用したUSBメモリへのコピーだったようです。

参照：東芝技術流出事件と営業秘密管理 | デルタエッジコンサルタント株式会社

【2】ベネッセ個人情報流出事件

2014年6月、進研ゼミ等を利用する会員約3,500万人の、子供と保護者の氏名、住所、電話番号などの個人情報が流出した事件です。 流出を行なったのは、ベネッセのグループ企業に勤務していた派遣のエンジニアで、自身の借金返済のために、不正に得た個人情報を名簿業者に売却して利益を得ていました。

そのエンジニアは経歴20年以上のベテランで、会社内部でもシステムの保守や部下の指導にあたる立場にあったため、情報へのアクセス権が大きかったこともあり、他の社員に情報の漏洩が気づかれることなく犯行を行えたようです。 ベネッセ側にも、デバイス制御ソフトやアクセス権など、情報の管理体制に不備があった事も、事件の拡大に影響していたようです。

参照：事故の概要 | ベネッセお客様本部

【3】平塚市職員による情報の持ち出し

2019年8月、平塚市議会に立候補していた元同市職員が、自身の選挙に関し、有権者にハガキを送るために市民3万人分の個人情報を持ち出した事件です。 同市は、職員用のPCにはアクセス制限を行っていましたが、退職者に関して、公共施設予約システム用のPCには接続制限がされておらず、このPCを利用してファイルを取得していました。

参照：元職員による個人情報等の持ち出しについて | 平塚市

【4】島根県立中央病院による患者の個人情報の流出

2022年8月島根県立、島根県立中央病院は、病院患者2万4,563名の電子カルテ情報をはじめ、職員・委託企業従業員6,180名の個人情報などが保存されていた端末を修理に出した後に同端末が紛失した事件になります。 その後、同端末の受け取りをめぐり修理業者と意見の食い違いがあり、現在に至っても紛失の詳細は明らかになっていません。 なお、業者側はそもそも端末を受け取っていないと回答しており、引き渡しに関する書類の取り交わしも確認できないため、受け取りの真偽は不明となっております。

参照：電子カルテ用端末が所在不明、3万件超の個人情報保存｜サイバーセキュリティ.com

【5】厚生労働省による個人情報の流出事件

2022年8月、厚生労働省が管理する国家指定の難病患者のデータファイルを研究者に提供する際、人為的なミスにより本来削除されるべき5,640名分の個人情報を記載したまま提供してしまった事件。 同省は、ダブルチェックなど基本的な対策を含めた再発防止策の策定を決定し、再発防止策が実行されるまでの間、第三者提供を停止すると発表しました。

参照：厚労省で5,640名の難病患者個人情報が流出、第三者提供一時停止｜サイバーセキュリティ.com

内部不正の要因

内部不正は大きく、人為的要因に起因するものと、技術的要因に起因するものに分けることができます。 人為的な要因で挙げられるものとしては、従業員による故意の情報の持ち出し、横領、また、メールの誤送信や各機器の設定ミスなどが挙げられます。 動機は、会社への不満や、脆弱な管理体制につけ込み発覚しないと思ったこと、金銭に困窮していたなどの個人的な動機に基づくものが主なものとなっています。

一方、技術的な要因に起因するもので挙げられるのは、USBメモリ等、情報漏洩の媒体となるものに対するパスワードなどのセキュリティ対策を実施していない事や、メール送信時のチェック体制が甘いなど、会社の管理体制が脆弱なことが挙げられます。

不正のトライアングル

不正行為は①機会、② 動機、③ 正当化の3つの不正リスクの要素が揃ったときに発生する、というアメリカの犯罪心理学者が提唱した、人が不正をする仕組みをモデル化した理論を「不正のトライアングル」と言います。

①機会とは、不正行為の実行を容易にする客観的な環境があることを指します。（例：情報を盗んだとしても誰も気づかないだろう）

②動機とは、不正行為の実行を欲する主観的な事情のことを指します。（例：ノルマに対するプレッシャーが強く、会社への不満が強い ）

③正当化とは、不正行為の実行を積極的に是認する主観的な事情のことを指します。（例：あとで返還するから今は一時的に借りるだけ）

不正行為の発生確率を減らすためには、この3要素に対する対策を施すことが重要になってきます。

不正のダイアモンド理論・ペンタゴン理論の提唱

最近では上記3つの要素に、④実行可能性や⑤個人の能力と傲慢さ、を追加した理論が提唱されています。

④実行可能性とは、不正ができる地位や職能、役割、立場のことを指します。　ex.情報へのアクセス権を持っている

⑤個人の能力と傲慢さとは、不正を行うだけの能力があり、不正を行うことを厭わない傲慢な性格を持っていることを指します。

どの要素を考えるにしても、重要なのは不正行為に対する対策を企業内で統一することになるでしょう。

内部不正防止対策7つのポイント

内部不正行為を抑制するために、有用な対策とそのポイントを解説していきます。

【1】PC端末等のセキュリティ管理の徹底

社用PCや各ソフトウェアの全容を把握することがまず基本です。 重要情報の保管場所を徹底管理し、管理者を明確化することで、うっかりミスをさせないような管理体制を構築する事が重要になってきます。

【2】不正行為に至る可能性のあるものへの対策

今後不正行為に至る可能性を含んだ不自然な振る舞いから事前に不正行為の発生を予期し、怪しいと思われるシステムの動作やその特徴を検知する、いわゆる振る舞い検知等の新技術の導入も検討すべきで しょう。

関連記事：フォレンジックとは？デジタルフォレンジックのツールも紹介

【3】ウイルス対策の徹底

不正サイトへアクセスするだけでマルウェアに感染することもあるため、業務上不要なサイトにアクセスしていないか、アクセス履歴を管理し、不適切なサイトの閲覧がある場合はアクセスを制限することも必要になるでしょう。

【4】アクセス権の管理

不正サイトへのアクセスを制限しても、メールやUSBメモリなどでデータを共有しているケースがあります。不適切なデータ利用を把握するには、すべての端末からのアクセスを把握、制限する必要があります。

【5】私物端末の管理〜ルール化と周知徹底〜

コロナウイルス等によるテレワークの実施により、私物端末で会社の情報へアクセスするケースも増えてきています。 クラウドプロキシやCASB等、クラウドの利用ルールを周知徹底し、テレワーク端末からのクラウドの利用統制を行う事で、会社の管理下にない端末で業務活動を行う、いわゆるシャドーITによる被害が出ないようにすべきです。

関連記事：USB紛失に関連する情報漏洩事件まとめ | 漏洩チェッカー

【6】外部メディアの管理の徹底〜持ち出しの困難化〜

USBメモリ等、容易に持ち出せる外部メディアの管理が徹底されていないと、持ち出しによる情報の流出や盗難などの不正リスクも高くなります。 システム上での利用制御や強制的な暗号化など、外部使用に制限をかける事が事前の対策としては重要になるでしょう。 エンドポイントを含めたログを取得しそれを分析する事で、「不正行為をするとすぐに見つかる」という状況を作り出しておきましょう。

また、退職者に関するセキュリティ対策も、重要な課題です。 退職前にシステムのモニタリングを行い、その旨を周知し合意を得ることで、内部不正へに抑止力になることが期待できるでしょう。 その際、 正しく業務を行っている役職員を保護する目的であることをしっかり周知する事を忘れないようにしましょう。

【7】職場環境の整備〜担当者の負担の軽減とメンタルケア〜

IT端末やデータ管理の重要性は年々高くなり、最近ではセキュリティ専門の担当者がいるのは社内では当たり前になっています。 ただ、業務負担やスキル、人件費等の会社の内部的な問題から、専任の担当者を確保するのが難しいケース多く見られます。 AI技術による新技術の導入や、業務分担等により、担当者が過度に業務過多にならないよう配慮するとともに、担当者のメンタルケアも定期的に行う必要があると言えるでしょう。

まとめ

2022年6月に行われた独立行政法人 情報処理推進機構（IPA）が行なった営業秘密官民フォーラム「サイバーセキュリティ対策・内部不正防止対策」では、1位にランサムウェアによる被害が組織における被害の1位になっています。 故意的に企業に攻撃を仕掛けた上、そのデータ・システムの復旧と引き換えに身代金を要求し、さらに窃取したデータを公表しないことと引き換えに身代金を要求するといった、いわゆる二重の脅迫による被害事例の件数が上がってきているとの事です。

実際の取引においても、情報セキュリティの管理体制の有無が取引条件に入っているケースも増えてきています。 各ガイドラインを参考にして、できる限り内部不正が起きにくい環境づくりを行うことが必要になっていくでしょう。

▼関連記事
営業秘密の漏洩事例は？3要件を踏まえた防止策をわかりやすく解説
情報漏洩調査の6つの種類、対応ステップ、マニュアル作成まで解説