企業で起きる情報漏えいといえば、第三者によるサイバー攻撃を思い浮かべる方は多いでしょう。ところが実際には、情報漏えいが発生する原因は外部からの攻撃とは限りません。内部不正による身内からの攻撃も多数存在しているのが実情です。
内部不正が起きると、その企業は組織の体制に問題があると捉えられる可能性が高く、信頼や信用を大幅に落としてしまう要因となります。そのため企業にとっては、確実に対策をしておきたい分野といえるでしょう。本記事では内部不正の原因や、内部不正による被害、内部不正対策、事例など、内部不正全般について詳しく解説します。
目次
内部不正とは?
内部不正とは、企業に勤務する従業員や委託社員、外注先の担当者、退職者といった関係者による不正行為のことです。金銭の横領やパワハラ、違法営業、賃金の未払いといった行為の他、個人情報をはじめとする重要情報を漏えい・流出させてしまうことも、内部不正に含まれます。
独立行政法人情報処理推進機構(IPA)が公表した「企業における営業秘密管理に関する実態調査 2020 調査実施報告書」によると、情報漏えいが発生した経緯の上位3位は、次の通り内部不正によるものです(※)。
- 中途退職者による漏えい…36.3%
- 現職従業員の誤操作・誤認による漏えい…21.2%
- 現従業員などのルール不徹底による漏えい…19.5%
意図を持って行う不正行為はもちろん、内部不正に当たると気付かずに不正をしてしまった場合も、何らかの被害が発生する場合や社内規定などに反する場合は、内部不正とみなされる可能性があります。
navigate_next※参考:独立行政法人情報処理推進機構.「企業における営業秘密管理に関する実態調 2020 調査実施報告書」P28
内部不正の主な原因
内部不正が発生してしまうのは、主に以下のような原因が考えられます。
- 社内におけるセキュリティ対策が行われていない(技術的な原因)
- ルールや倫理を軽視する心理状態(正当化:人的な要因)
- 内部不正が可能な状況になっている(機会:人的な原因)
- 業務のプレッシャーや個人的な悩み(動機:人的な原因)
社内におけるセキュリティ対策が行われていない(技術的な原因)
社内に向けたセキュリティ対策がきちんと行われていないと、内部不正の原因となり得ます。サイバー攻撃や不正ログインといった外部からの攻撃への対策は行っているものの、社内のアクセス権限の設定や管理は杜撰になっているようなケースは、決して珍しいことではありません。
仮に定期的な権限の棚卸しをせず、従業員が必要以上の権限を持った状態のまま放置した場合、業務目的以外でのデータ利用や退職後の不正アクセスが可能となってしまいます。
さらには操作ログが記録されていなければ、いつ、誰が、どの情報にアクセスしたのかを確認することもできないでしょう操作ログを記録していない場合、ヒューマンエラーによって情報が漏えいした際にもスムーズに対応できない可能性があります。
パソコンやシステムに対策を施していても、技術的な理由で内部不正が発生するケースも考えられます。例えば、従業員が情報をプリントアウトして持ち出す恐れがあるでしょう。特に複合機が誰でも自由に使える状態にある場合や、印刷ログが管理されていない場合、プリントアウトによって情報が持ち出されてしまうかもしれません。
このような情報の持ち出しを防ぐために、複合機の適切な管理が求められます。
ルールや倫理を軽視する心理状態(正当化:人的な要因)
不正を働くことに理由を付け、ルールや倫理を破っているという意識が薄れる心理状態を「正当化」といいます。コンプライアンスの意識が薄く「不正なやり方の方が会社にとっても良い」「不正をしているのは自分だけではない」などと考え至ることで、内部不正につながります。
上司や経営者、あるいは企業そのものが不正を軽視していると、社員が罪悪感を覚えることなく不正な行為を行ってしまうようなケースも起こり得るでしょう。
また内部不正に関する就業規則の内容が曖昧だと、かえって従業員の内部不正の正当化につながる恐れがあります。加えて、適切な評価体制と労働時間が整備されていない場合も、従業員による内部不正の正当化を引き起こしかねません。
内部不正が可能な状況になっている(機会:人的な原因)
内部不正が可能な状況になっており、従業員などに不正の機会を与えてしまうことも原因の一つです。例えば情報を管理する立場の従業員(システム管理者)が一人しかいない場合、そのシステム管理者が内部不正を働けてしまう状況です。また従業員を監視する体制、情報の管理体制が整っていない状況によって、潜在的な内部不正が誘発されることも考えられます。
なお内部不正の機会を与えないために権限を限定したとしても、規則が曖昧でどのようにでも解釈できる場合、内部不正を防止する効果はあまり期待できません。不正を働いた従業員に正当化の余地を与えることがないよう、厳密かつ明確な規則を作ることが大切です。
業務のプレッシャーや個人的な悩み(動機:人的な原因)
従業員が業務や待遇に対する不満を持っている、個人的に借金を抱えているといった「動機」があると、内部不正の原因となり得ます。
特に生活環境に関する問題は周囲に打ち明けづらい傾向にあるため、精神的に追い詰められるまで抱え込んでしまった結果、大きな内部不正につながってしまうようなケースもあります。例えば金銭的な悩みを抱えている従業員の場合、自社が抱える顧客情報を持ち出して名簿業者に売却する可能性があります。社内のコミュニケーションが希薄な環境 だと、その分従業員の抱える問題にも気付きにくくなってしまうでしょう。
また社内トラブルや社内への不満といった個人的な感情によって、内部不正を働こうとするケースもあります。
内部不正が起きることでの企業リスク
内部不正が起こり、その事実が外部に発覚した場合、企業は次のような被害を受けると考えられます。
- 会社存続の危機
- ビジネスの機会損失
- 株式評価の低下
- 事業の中断・中止
- 刑事罰の対象になる可能性
- 賠償などの事後処理
- 競争力の低下
- 調査費用の発生
- 従業員への処遇の悪化
内部不正は会社存続の危機につながりかねません。たとえ不正が起きたときに適切に対応したとしても、顧客の不信感が強まれば、顧客数が減少してビジネス機会が失われます。内部不正が発生したことによる株式の評価低下や一時的な事業の中断・中止、刑事罰なども、会社存続に影響を及ぼすでしょう。
刑事罰を科せられた場合は、企業のイメージが大きく低下してしまいます。加えて内部不正によって自社の技術や商品情報が漏えいしたケースなどで」は、市場における競争力の低下も懸念されると考えられます。
さらには、内部不正が発生すると、多くの費用を捻出せざるを得ないことも多いです。個人情報が漏えいした原因を調査する費用や、顧客やユーザーに支払う損害賠償などです。
その他、内部不正が起こると規制当局への報告や応対などが必要となり、従業員の負担も増加すると考えられます。一人当たりの業務時間が増える場合、増えた分の給与の捻出も求められます。従業員にとっては、長時間労働を強いられるなど労働環境の悪化につながる恐れもあります。
内部不正による事件が後を絶たない理由
内部不正は企業や組織全体に悪影響をもたらします。テレビやインターネットなどのメディアで大きく報道され、企業や組織に対するイメージ低下や業績の低下につながっているケースも少なくありません。
独立行政法人情報処理推進機構(IPA)は内部不正を事業の根幹を揺るがすインシデントとして捉えており、2022年4月には第5版「組織における内部不正防止ガイドライン」を公開しました(※)。このガイドラインでは具体的な対策として、10の観点に基づき33項目の例が紹介されています。さらには事例やチェックシートも掲載されています。
にもかかわらず、ガイドライン公開から2年後の2024年1月に発表された「情報セキュリティ10大脅威 2024」では、内部不正が発生し続けているという結果となりました。3位の「内部不正による情報漏えい等の被害」は9年連続、6位の「不注意による情報漏えい等の被害」も、6年連続でランクインしています。企業にとって内部不正は重大な課題であることが明らかになっている一方で、それでも内部不正が発生し続けるのには、大きく次の2つの理由が考えられます。
navigate_next※参考:情報処理推進機構.「情報セキュリティ10大脅威 2024」
navigate_next※参考:情報処理推進機構.「組織における内部不正防止ガイドライン」
対策を立てることが容易ではないため
内部不正が発生し続ける2つ目の理由は、内部不正に対する対策をしっかり行えていない企業が一定数あるためです。
2023年4月にIPAが公開した「企業における内部不正防止体制に関する実態調査」では、調査対象の経営層のうち内部不正を経営課題として捉えている割合が、40%以下にとどまることが分かりました(※)。課題としてほとんど意識していない割合も約8%をマークしており、実態として、内部不正に対し十分な対策を取れていない企業や組織が存在していることを示唆しています。
内部不正を課題として捉えていながら対策が取れていないケースでは、不正会計やサイバーセキュリティへの対策と比べ優先度が低いと捉えられていることが、原因として考えられます。とりわけ中小企業の場合などは、リソース不足が大きく影響するでしょう。サイバーセキュリティに人員を割くため、内部不正対策が後手に回ってしまうのです。
navigate_next※参考:情報処理推進機構.「企業の内部不正防止体制に関する実態調査」報告書」
システム管理者の内部不正による事件2件
内部不正の原因にはさまざまなものがありますが、ここからは、実際に起こったシステム管理者の内部不正による事件を2件ご紹介します。
大手教育関連企業 情報漏えい事件
2014年夏、ある大手教育関連企業が、大規模な情報流出事件を起こしました(※)。
具体的には、主力教育サービスの利用者情報を中心に、2,900万件近くの顧客情報が外部へ流出したと分析されています。流出した情報には、サービス登録者名前の他、住所や生年月日、連絡先などさまざまな情報が含まれていました。
その後の調査により、情報流出をさせたのは子会社の業務委託先元社員であったことが判明。業務に関連するデータベースから顧客情報を不正に持ち出し、外部の名簿業者3者へ売却していました。
navigate_next※参考:Benesse.「事故の概要」
通信事業大手企業 情報漏えい事件
2023年秋、ある通信事業大手企業は、コールセンターシステムの運用保守を担当していた元派遣社員がおよそ928万件の個人情報を不正に第三者に漏えいさせたことを明らかにしました(※)。付与されたシステム管理者アカウントの権限を不正に利用し、個人情報が格納されていたサーバーから情報を持ち出して、外部の第三者に提供していたそうです。
流出被害に遭ったのは、テレマーケティング業務を委託していた69の企業や自治体などのクライアントに当たる個人情報で、氏名や住所、電話番号などが含まれていました。
なお総務省は2024年2月9日、杜撰な情報権利体制に対し、電気通信事業法などに基づいてこの企業を行政指導しました(※)。これを受け企業の社長は、同年3月末に引責辞任することが明らかになりました。
navigate_next※参考:NTTビジネスソリューションズ.「NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)」
navigate_next※参考:NTTビジネスソリューションズ.「NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(続報)」
navigate_next※参考:総務省.「西日本電信電話株式会社に対する行政指導」
事例から導き出す内部不正防止のための3つの手法
内部不正はどのような企業や団体でも起こり得ることです。過去の事例を教訓にしながら対策を行うことは、内部不正を防ぐことに大いに役立ちます。
内部不正対策にはさまざまなものがありますが、以下は過去の内部不正の事例から特に参考にしたい3つの内部不正対策です。現状の内部不正対策が十分でないと感じる情報セキュリティ部門の担当者や経営者の方は、まずはこの3つの対策から始めてみましょう。
アクセス権限の適切な管理
いわゆる「特権ID」と呼ばれるシステム管理者が利用するIDは、一般ユーザーが使用するIDと比較すると多くの権限が付与されています。システム管理者が特権IDをいつでも自由に使用できる状態は内部不正を誘発する可能性がゼロではないため、対策としてアクセス権限を適切に管理する必要があります。
IDを付与する際は、必要最小限の範囲に絞る仕組みを検討しましょう。またIDを付与した後も定期的に見直しを行い、状況の変化に合わせて都度変更を加えてください。例えば退職や異動があった場合は、なるべく迅速にIDを削除する必要があります。業務時間外に無効化する、申請があった際のみを一時的に貸し出すといった方法で、特権IDを利用できる時間帯を限定するのも一つの手です。
社内環境の整備
内部不正を防ぐためには社内環境を整備することも大切です。例えば人事評価が適切ではない、長時間労働が常態化しているといった社内環境の場合、「高い評価を受けたい」「労働時間を短くしたい」などの思いから、従業員が不正を働く可能性があります。不正を働かなくとも評価される人事評価制度や、適切な労働時間を実現させましょう。
また社内の活発なコミュニケーションも、内部不正防止には効果的です。社内のコミュニケーションを活発化させることで、周囲が従業員の変化に気付きやすくなります。双方の心理的な距離が近づくことで、従業員から管理者に対して不満や懸念も伝えやすくなるでしょう。
ログの管理とモニタリング
システム管理者が権限を使用した際のログを管理し、定期的にモニタリングを行うと、万が一問題が発生した際も迅速に対応できるようになります。このとき、誰が内部不正を行ったのかが分かるよう、個人が特定できる形で記録しておくことがポイントです。またシステム管理者がログ自体の改ざんや削除をできないような体制にする必要もあります。
システム内を監視するだけでなく、物理的な持ち出しも対象にしましょう。例えば、ノートパソコンの持ち出しを管理する、専用ソフトによってUSBの接続ログを管理するといった対策も大切です。データを印刷して紙で持ち出されてしまうケースもあります。そのため、書類に社外秘といった透かし文字を施す、専用ソフトを活用して複合機のログを管理するなどして、紙の持ち出し対策や監視体制の強化を図るのがおすすめです。
内部不正対策を効果的に進めるために
前述の3つの対策は、内部対策を防いだり早期発見をしたりするための、代表的な方法です。ルールを決めてさらに制約を課す方法を組み合わせることで、より効果的に内部不正を防げるでしょう。
ただしこういった対策を一つひとつ自分たちで行うには、時間や労力が掛かる上、正確さの面での課題があります。システム環境が複雑化すればするほど、内部不正への対策にも複雑な取り組みが求められます。
そこでおすすめしたいのが、デバイス制御によって情報漏えいやデータの紛失を防ぐシステム構築です。例えばセキュリティソフトウェア「RunDX(ランディーエックス)」は、会社や組織内のパソコンにおいて、USBメモリをはじめとするさまざまな外部デバイスの利用を制限する製品です。RunDXの導入により、データの不正な持ち出しを防止できます。
まとめ
内部不正は企業にとって、悪い意味での大きなインパクトをもたらします。発生する原因や実際に起こり得る被害を把握した上で、適切な対策を取ることが重要です。本記事の内容を参考にしながら、現在や近い将来、自社に必要となる対策を検討してみてください。
効率的な内部不正対策を実施するなら、ツールを導入するのもおすすめです。株式会社ラネクシーのRunDXは、以下のような機能・特徴を持っています。
- パソコンのさまざまな持ち出しルートを制御する
- サイバー攻撃から重要データを守る
- 安全にテレワークを行う
- 難しい操作は不要
できるだけシンプルな方法で重要データの持ち出しを防ぎ、内部不正対策を効率良く行うためにお役立ていただけるでしょう。無料トライアルも利用できるので、ぜひこの機会にRunDXの導入をご検討ください。
各項目に戻る
▼ この記事を書いた人
株式会社ラネクシー RunDX 担当者
20年近くにわたりデバイス制御と向き合い、活用方法を模索し続けているRunDXの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!