内部不正による情報漏洩の現状と対策について解説
2022年3月15日公開 (最終更新日:2022年3月15日)
内部不正とは企業内部の関係者により機密情報などが不正に扱われることです。具体的にどのような不正が行われ被害につながるのか、対策方法などをご紹介します。
目次
-
1. 内部不正とは?
-
2. 内部不正の種類とその被害
-
5. まとめ
内部不正とは?
内部不正とは、企業の内部の者によって機密情報などが不正に扱われることです。具体的には、次のようなことが起きます。
- 窃取
- 持ち出し
- 漏洩
- 消去・破棄
- 破壊
- 悪用
- ミスによる流出
故意によるものだけでなく、ミスによる流出も含まれます。
企業内部の者とは、以下のような人です。
- 従業員
- 役員
- 契約社員
- 業務委託先
- 外注業者
- 取引先
- 退職者
IPA 独立行政法人 情報処理推進機構の調査によると、営業秘密の漏洩者で最も多いのが、中途退職者(役員、正規社員)による漏洩で36.3%%、次に現職従業員などのミスによる漏洩が21.2%となっています。情報を守るためにはミスを減らすこと以上に、故意に行われる内部不正を減らすことを重視することが大切です。
内部不正の種類とその被害
内部不正はいくつかの種類に分けて考えることができます。内部不正の種類や、具体的にどのような被害があるのかを見てみましょう。
内部不正の種類
内部不正では、次のようにタイプを分けることができます。
- 故意ではないが重要情報が漏洩したケース
- 故意にデータを持ち出したケース
- 社内のセキュリティシステムが内部不正に対応していないケース
それぞれ、どのような場合を指すのかをご紹介します。
故意ではないケース
故意ではないものの重要情報が漏洩してしまうケースとは、以下のような場合を指します。
- 情報を持ち出してはいけないというルールを知らなかった
- ルールは知っていたが、うっかり違反した
- データが入った記憶媒体の故障
情報の取り扱いルールが定められていない、もしくは、適切に周知されていないため、悪意なく情報を持ち出してしまうケースがあります。内部関係者が誤って情報を流出させてしまうなどの人的なミスでも、損害が発生した場合には内部不正とみなされることがあります。正しい情報の扱い方を周知することで防ぐことが可能です。
ルールは知っているのにうっかり違反したというケースの例として、相手を間違えてメールやFAXを送信してしまう場合があります。特に、同時に複数人に同じメールを送る際に起きやすいです。
また、データが入ったUSBメモリーなどの記憶媒体を紛失・盗難・誤って廃棄してしまうケースも、結果としてデータが漏洩したことになってしまいます。
データの持ち出し
故意に情報を持ち出しているケースもあります。
故意に持ち出すケース
- 社内のトラブルや不満を理由にデータを持ち出す
- データの取り扱いに関するルールはあるが、罰則がなく持ち出すことの心理的障壁が低い
社内のトラブルや不満とは、次のような具体例があります。
- 本人が不当だと感じる理由での解雇
- 人事や給与に対する不平不満
- 上司への不満など人間関係のトラブル
これらの不満に対する報復が動機の引き金となります。また、データの持ち出しに対する罰則がなかったり、環境的に持ち出しができ都合がよいからという理由で、ルールがあるにも関わらずデータを持ち出している場合もあります。
社内セキュリティ問題
社内セキュリティ問題では、サイバー攻撃など外部からの攻撃には対応しているものの、内部不正には対応してないケースが考えられます。例えば次のような場合です。
- 社内の誰でも、すべての情報にアクセスできる、データを編集できる
- 誰がどの情報にアクセスしたのかわからない
アクセス権限管理がされておらず、誰でもすべての情報にアクセスができたり、情報の編集が可能になっている場合があります。また、アクセスログが記録されないため、情報の管理者から誰がどの情報にアクセスしたのか、履歴の確認ができないという場合もあります。
このような環境は内部不正を引き起こす機会をはらんでいます。内部不正が起こることを前提に、社内セキュリティを見直すと良いでしょう。
内部不正による被害
内部不正によって企業が被る被害には次のようなものがあります。
- ビジネス機会の損失
- 信用を失うことによる顧客の減少
- 調査費用の発生
- 事後処理(賠償など)
- 事業の中断
- 株式評価の低下
- 規制当局への報告
内部不正が起きると、対応のための時間も人員も必要です。そのため、ビジネス機会の損失や事業の中断につながります。また、企業間の信頼関係が崩れ、顧客減少のリスクも考えられます。コスト面では、対応している従業員の給与のほか、調査費用や賠償も必要です。規制当局への報告やその後の対応、株式評価の低下なども考えられるでしょう。
内部不正が起きると、対応のための時間も人員も必要です。そのため、ビジネス機会の損失につながります。また、企業間の信頼関係が崩れ、顧客減少のリスクも考えられます。コスト面では、対応している従業員の給与のほか、調査費用や賠償も必要です。
具体的な内部不正の例を2つ紹介します。1つめは2021年5月に提訴されたデータの持ち出しについてです。
- 内部不正の種類……データの持ち出し
- 被害内容…競合他社への転職時に技術や設備に関する情報を持ち出した
通信キャリア間の転職時に起きた内部不正です。元社員は退職を申し出てから、実際の退職日までの間に会社のメールアドレスから私用のアドレスに送る方法で約170のファイルを持ち出しました。
元社員は不正競争防止法違反の疑いで逮捕、また、元所属会社は転職先と元社員に対し最高1,000億円規模の損害賠償請求権を主張したほか、不正競争により得た設備の私用差し止めや持ち出したファイルの使用・開示の差し止め、廃棄を請求しています。
2つめは2021年3月に公表された不正着服についてです。
- 内部不正の種類……社内セキュリティ問題
- 被害内容…委託事業者社員が証券会社から2億円を不正に出金・着服
証券会社の取引システムの開発・保守に関わっていた元委託事業者社員は、証券会社から不正に210人分のユーザーIDやパスワードを入手しました。これらを使い15名の顧客の口座から株式を勝手に売却し現金を得ていました。
犯行は2017年6月から2019年11月の2年半にわたって続き、被害総額は2億円にものぼります。元社員は、電子計算機機使用詐欺罪などの容疑で3月24日に逮捕されています。
刑事罰を受けたとしても開示されてしまったデータが秘密情報に戻ることはなく、企業として大きな損失を受けることになります。
内部不正は何故起きるのか?
アメリカの組織犯罪研究者ドナルド・R・クレッシーが提唱した理論をもとにW・スティーブ・アルブレヒトが体系化したのが「不正のトライアングル理論」です。それによると、内部不正が起きるのは、次の3つの要因が揃った場合だといわれています。
- 動機・プレッシャー
- 機会
- 正当化
内部不正を起こす動機・プレッシャーには、本人の金銭問題や、会社への不満が挙げられます。「プレッシャー」とあるように、会社が過度なノルマを課すことによって内部不正をして会社に報復しようと考える場合もあります。
機会とは、会社の環境的に不正が行えるかどうかです。技術的・物理的に可能であることが要因となります。
正当化とは、責任転嫁や自分に都合の良いように理由づけをしてしまうことです。例えば、「社内の全員が閲覧できる情報だから機密情報にはならない」と自分の都合の良いように考えてしまうなどです。
要因となる3つのうち、「機会」と「正当化」については、情報セキュリティ対策をすることで、抑制することが可能になります。
IPA(独立行政法人 情報処理推進機構)による「企業における営業秘密管理に関する実態調査2020」報告書によると、前回2016年の調査と比べ、秘密保持契約を締結することで情報を守ろうとする企業が増えるなど対策が進んでいるものもあります。
しかし、前回調査時とは違いテレワークが急速に普及したため、テレワークに対応した営業秘密を扱う新たな規定の整備が追いついていません。例えば、テレワーク環境の他者との情報共有ルールやクラウドサービスでの秘密情報の扱いについては、対策が進んでいないのが現状です。
クラウドサービス利用における留意点
クラウドサービスを介したデータのファイル受け渡しは昨今のビジネスでは必須となりましたが、次のようなことに留意しておくことで、内部不正を防げるようになります。また、人的ミスによって故意ではない情報漏えいが起きていたシーンでは、その機会自体を未然に防げるのもメリットです。
- ルールにもとづく適切なアクセス権の付与・管理
- 外部へ送信するデータの宛先と内容のダブルチェック
- 利用ルールの周知徹底
- ログの記録・保存とその周知
- 秘密情報の管理の実施状況や情報漏えい行為の有無などに関する定期・不定期での監査
必要な人のみが必要なデータにアクセスできるようなルールを作り、ルールにもとづいたアクセス権の付与や管理を行います。また、外部へファイルを送信する際は、宛先と内容をダブルチェックすることをルールとし、人為的ミスによる情報漏えいを防止します。また、これらのルールが徹底されるよう、周知にも力を入れることが大切です。
アクセス権などがルール通りに運用されているかどうかはログの記録から確認できます。ログの記録が保存されていることを周知することは、内部不正に対する抑止効果も期待できるのがメリットです。
秘密情報の管理の実施状況などについても定期的、または不定期で監査を行い、情報漏えい行為がないかどうかをチェックします。
Bizストレージ ファイルシェアで内部不正を防ぐ
NTTコミュニケーションズが提供するBizストレージ ファイルシェアは、法人向けオンラインストレージサービスです。
次のような機能があり、内部不正の「機会」と「正当化」の抑制に役立ちます。また、人的ミスによって故意ではない情報漏えいが起きていたシーンでは、その機会自体を未然に防げるのもメリットです。
- アクセス権限の付与
- ユーザーの有効期限を設定
- アクセスログが残る
- 利用ルールへのサインナップ
アクセス権限の付与とは、ファイルをアップロード、閲覧、編集などの権利を人によって設定できるということです。例えば、Aさんはファイルのアップロードのみ可能で閲覧はできませんが、Bさんは閲覧だけでなく編集も可能といった設定ができます。必要な人が必要な情報にだけアクセスできる仕組みです。
また、ユーザーごとに有効期限を設定できます。有効期限が切れたユーザーは自動で削除され、情報へアクセスできなくなります。この機能を使えば取引先や契約社員でも一時的に情報にアクセスをすることが可能となり、必要がなくなったときに情報に近づけなくする仕組みです。
アクセスログでは、誰が、いつ、どのファイルにアクセスしたのかを確認できます。「見られている」という気持ちが生まれ、不正をしにくい状態を作っています。
サービス利用する際の独自ルールを、サービス画面に掲載し、利用者にサインナップさせることも有効です。
さらに、その独自ルールには罰則も規定しておくと、犯行の見返りが減り、割に合わないと感じるため動機がなくなります。また、利用規約を確認しているため、正当性を主張できません。
まとめ
働き方改革およびパンデミック発生により、リモートワークの普及は、非対面のため監視が行き届かず、内部不正を誘引する要素となる可能性があります。クラウドサービスの利用においても、会社公認のツールを用意し、その利用ルールを周知展開することが大切です。操作ミスによる情報漏えいを招くことが無いよう、従業員を守ることができるツールを選びましょう。
NTTコミュニケーションズが提供するBizストレージ ファイルシェアでは、アクセス権限の付与やアクセスログの確認によって内部不正を防ぐ仕組みがあります。また、独自の利用規約を掲載し確認させることができる仕組みなので、関係者が情報に対して責任ある行動をとる意識づけにもつながります。
信頼関係を壊すことなく内部不正のリスクを減らしたいと考えている方にはシステムの導入がおすすめです。