企業・組織では、今なお「内部不正」が発生している。大きなリスクが伴うにもかかわらず、なぜ従業員は犯行に及ぶのだろうか。この記事では、内部不正に至る動機や犯行による影響、手口や手段などを踏まえながら、企業・組織が講じるべき対策と、それらをサポートするソリューションを交えながら解説する。
今なお続く内部不正による情報漏えい
内部不正とは、企業・組織内の従業員が不正行為を働くことを指す。金銭の横領をはじめ、何かしらの利益を得るためとして、情報資産の窃取、システム・パソコンの不正利用、また、個人的な恨みや単なるいたずらなどを動機とする場合もあるなど、その目的・動機は多岐に及ぶ。
内部不正は組織内の人間が自らの権限、立場を悪用することで生じる場合がほとんどだ。しかし、組織で活動する際に、本人が意図する、しないに関わらず、結果的に内部不正とみなされる場合もある。例えば、業務過多などによって精神的に疲弊している場合、従業員間でいじめなどのトラブルが生じている場合、または業務上で強いストレスを受け続けている場合など、精神的に追い詰められた結果、復讐やストレス発散などの目的で不正に至るケースもある。
こうした観点からみると、企業・組織が事業を運営するにあたって、いたるところで内部不正は起き得るものとも言える。内部不正によるインシデントが発生してしまうと、企業・組織は信用失墜をはじめ、各方面でさまざまなダメージを負うことになりかねない。そのためにも、内部不正を予防するための取り組みが企業・組織には求められている。
内部不正が招く企業・組織への悪影響
内部不正による影響は直接的なものだけでなく、間接的なものも含めると広範囲に及ぶことがある。例えば、委託を受けていたクライアントの顧客情報が持ち出されたことから、クライアントへの補償問題に発展するといった可能性も考えられる。こうしたケースでは、補償費用が高額になることもあるだろう。
また、再発防止策として、より強固なセキュリティ対策を構築するための費用も生じる。会社のトップの引責辞任にも発展するような場合、組織再編のコストも生じ得る。間接的な面では、信用失墜という点は中長期的に大きなダメージとなり得る。新規取引に向けた営業活動においても、マイナスの印象を引きずることになるだろう。
また、内部不正による悪影響が生じた結果、従業員のモチベーションが低下するといった、負のスパイラルに陥る可能性も否定できない。このような場合、組織運営の持続性も脅かされることになるだろう。すなわち、企業・組織の持続的な運営を行うためにも、内部不正と向き合う必要があるのだ。
内部不正の動機とメカニズム
内部不正を企む者には、ほとんどの場合、何かしらの動機がある。多くのケースでは金銭的な利益につなげることを目的とする。特に、内部不正による情報漏えいではその傾向が強くなる。ただし、先述のように業務上の過度なストレス・プレッシャーを動機とするものもある。
内部不正は動機があれば必ずしも行われるとは限らない。「動機」だけでなく「機会」、「正当化」という3つの要素がすべて揃った時に発生すると考えられている。これは「不正のトライアングル」と呼ばれ、内部不正のメカニズムを紐解く一助となる。以下に、それぞれの要素を解説する。
1)動機
内部不正を働く場合、何かしらの動機が存在するのは先述のとおりだ。わかりやすい例が借金を背負っていて金銭を得る必要がある場合だろう。また、不正を働くことで自らの地位や権限などを優位にさせるといった場合も少なくない。それ以外にも怨嗟、ストレスの発散、精神状態が不安定なことをきっかけに何かしらの動機へとつながる場合もある。
2)機会
内部不正を働くには、何かしらの機会の存在が前提となる。例えば、機密情報にアクセスできるだけでなく、個人所有の外部ストレージにダウンロードできるような環境で、かつログ取得といった監視もされていない状態であれば、不正の抑止は当人の良心のみに頼ることになってしまう。
3)正当化
先述のような動機、機会が揃っていた場合でも、ほとんどの人間は内部不正を働くことはない。これは、ルールや不正行為に対するペナルティが存在することに加え、個人の良心や倫理観が作用しているためだ。こうした個人の道徳的な感情に依拠している場合、その良心が揺らぐような偶発的な状況に遭遇してしまうと、不正行為を正当化する事態に発展しかねない。
このような内部不正が生じるメカニズムを理解した上で、対策を講じていくことが企業・組織には求められている。
内部不正の手口と手段
先に述べたとおり、昔から内部不正は断続的に発生している。しかし、デジタル全盛時代を迎えた今日、デジタル技術を悪用することでその手口、手段はより巧妙かつ複雑になっている。具体的な例を以下に紹介する。
1)手口
・窃取、持ち出し、漏えい
これらは内部不正の王道的な手口とも言える。紙の資料が全盛期だった時代は持ち出せる量は物理的な制約を受けたが、デジタルデータでは膨大な量を持ち出せてしまう。
・改ざん、破壊、消去
デジタルデータの場合、パソコンの知識があれば、改ざんや破壊、消去を行うのは容易だ。また、悪意のあるプログラムを仕込むことで時限爆弾的にこうした行為に及ぶことも可能となる。こうした手口の場合、時間差が生じることで犯人の特定が難しくなることもある。
2)手段
・メール、添付ファイル
今なお、内部不正の代表的な手段として挙げられるのはメールおよびメールの添付ファイルを悪用する方法だ。Gmailなどの個人利用のクラウドメールにアクセスして情報を流出させるケースは後を絶たない。
・クラウドストレージ、クラウドサービス
クラウドサービスの利用が個人ユーザーでも一般化したことに伴い、こうしたサービスを悪用して重要なデータを持ち出すケースも多い。大容量の保管が可能なストレージサービスも多々あるため、こうしたサービスにアクセス、アップロードできる業務環境であれば、データの持ち出しは容易に行えてしまう。
・USBメモリー、外付けSSD/HDD
紛失、盗難を考慮して近年では、USBメモリーや外付けストレージへの書き出しを禁止する企業・組織も増えている。しかし、ルールだけ設定して、書き出し可能な状況になっている企業・組織も少なくないのが実情だ。実際、近年の内部不正でもこうしたデバイスが悪用されているケースが散見される。
内部不正による情報漏えいの経路ごとの事例
内部不正による情報漏えいのルートは、現従業員、派遣社員、あるいは退職者によるものと大きく分けられる。多くの場合、犯行者の故意で行われ、職場への不満のはけ口、あるいは別の企業への情報提供、といった目的・動機があるケースが多い。以下、それぞれでの事例を紹介する。
1)現職従業員による不正の事例
ある通信会社の現職の従業員が機密情報を不正に入手し、その情報を国外に提供する見返りとして金銭を受領していたことが発覚。その後、当該従業員は懲戒処分を受けただけでなく、執行猶予付きの有罪判決を受けるに至っている。
2)現職派遣社員による不正の事例
ある通信会社において、現職の派遣社員が長期間にわたってクライアントの顧客情報を外部に持ち出し、名簿事業者に販売していたことが発覚し、大きな問題となった。この問題は組織幹部が引責辞任するといった事態に発展した。
3)退職者による不正の事例
競合他社に転職した元従業員が退職時に、個人情報を含む社内資料を不正に持ち出し、転職先にて、ダイレクトメールの送付に使用したことで問題が発覚した。退職時に機密保持の誓約書を提出させたにも関わらず、こうした不正行為に至ってしまった。
こうしたルートを経由した情報漏えいは後を絶たない。IPAによる「サイバーセキュリティ情報 ~営業秘密管理調査2020から~」によると、「中途退職者(役員・正規社員)による漏えい」は2016年調査時よりも増加しており、相次ぐ情報漏えいの事例を見ても、こうした傾向は今なお続いていることが推察される(図1)。
図1:漏えい発生のルート(IPA資料より)
内部不正の調査方法
内部不正は長期間にわたって行われるようなケースもあり、そうした前提も考慮して対策を講じなければならない。企業・組織においては自社でも起こり得るものとして、調査できる仕組みを整備する必要がある。
通信ログの取得、保管
社内ネットワーク上において、接続されたデバイスがそれぞれどのような通信を行っているのかをログとして取得・保管しておく必要がある。ログが存在すれば、仮に内部不正が起こった場合にログを分析することで、犯行のプロセスを突き止めることができる。
端末の操作履歴の取得、保管
通信ログだけでなく、従業員が利用するデバイスの操作履歴をログとして取得、保管しておくことが望ましい。プリンタなど紙に印刷するデバイスのログも取得・保管するようにしたい。内部不正が起こった場合、先述の通信ログと併せて分析することで、犯行に用いられたデバイス、さらには犯行者を突き止める可能性も高まる。
定期的な内部監査の実施
内部監査を実施することで不正が明るみに出る場合がある。また、定期的な実施は内部不正の機会を抑制することにもつながる。
内部告発の制度化
組織という体裁である限り、内部不正はどのような企業・組織においても起き得る問題である。そのため、内部告発が可能な窓口や体制を整備することで、内部不正が問題化する前にその芽を摘み取るなどのコンプライアンスの強化が図れる。
従業員への聞き取り
内部不正を引き起こす動機は先述のとおりさまざまだ。しかし、十人十色と言われるように、人間の倫理観もそれぞれで異なる。従業員に定期的に聞き取りを行うことで、一部の従業員が行っている内部不正を快く思っていない従業員が通報するような場合もある。ただし、問いただすような姿勢では、必要な情報が得られなくなってしまうため、風通しの良い企業・組織の文化・風土の形成が求められるのは言うまでもない。
内部不正を抑止するための対策
企業・組織側には、従業員の内部不正を未然に防ぐための対策も求められる。不正行為に対する抑止力が低いとなれば、従業員が不正を働くきっかけを与えてしまうことになるからだ。また、一定の抑止力が働いたとしても、その代償が小さければ、不正に手を染める可能性も否定できない。
すなわち、企業・組織にとって必要なのは、内部不正を行った際に発覚しやすくなるような対策を行い、かつ、発覚した際の代償が大きくなるように社内規定を整備することだ。具体的には、経営層、情報システム部門それぞれで求められる対応は異なる。IPA公表の「情報セキュリティ 10 大脅威 2025 組織編」から以下、抜粋する。
1)経営層
- 積極的な関与と対策の推進
- 情報の適切な管理、法令への対応
- 内部不正対策推進の周知徹底
- 総括責任者(CISO)の任命、横断的な管理体制の整備
- 対策の実施策の承認
- 対策意識醸成のための人材教育の推進
2)情報システム部門
- 基本方針の策定
- 情報リテラシー、モラル醸成、法令順守のための定期的な人材教育
- 利用している資産の把握、管理体制の整備
- 機密情報の管理、保護
- 物理的管理の実施
- 必要に応じ、秘密保持義務を課す誓約書に署名
- 定期的な職務の変更、職場の異動
もちろん、ここで挙げた対応を行えば不正行為を完全に防げるというわけではない。先述のように、風通しの良い、不正が起こりづらい企業・組織の風土・文化を形成していくことも、経営陣にとって重要なテーマと言えるだろう。こうしたコンプライアンス遵守の姿勢や取り組みにより、時間経過とともに状況が改善されていくことを期待したい。
内部不正の手法に応じたセキュリティソリューションの導入
ここまで述べてきたような内部不正が行われないためにも、その手法や経路に応じたセキュリティソリューションの導入も体制整備の一助となる。
メール、添付ファイルへの対策
メールの内容をチェックして従前に規定した重要な情報、個人情報などを含む送受信を検知することで、情報漏えいを未然に防ぐ仕組みだ。例えば、GUARDIANWALL MailFilterでは、独自のフィルタリングルールにより、情報漏えいを予防する。
また、GUARDIANWALL MailArchiveはメールの送受信記録をアーカイブ化することで、情報漏えいが発覚した際の内部監査がスムーズに行えるようになる。
クラウドストレージ、クラウドサービスへの対策
業務上で必要な場合も考慮すると、Webサイトへのアクセスを禁止するのは現実的ではない。そのため、情報漏えいを招く恐れのあるWebサイトでのアップロード、書き込みなどを抑止する、といった方法が現実的な落としどころとなる。例えば、InterSafe GatewayConnectionでは、ブラックリストとクラウドの解析システムを併用することで、指定したWebサイトへのアクセス制限、あるいは一定の行動制限をかけることが可能となる。
USBメモリー、外付けSSD/HDDへの対策
今なおUSBメモリーや外付けストレージを用いた情報漏えいは後を絶たない。そのため、業務上での利用を禁止・制限する、あるいは一定のルール下で利用させるといった対策が必要となる。例えば、パソコンなどのクライアント端末を管理するためのソフトウェアであるSKYSEA ClientViewでは、社内のクライアント端末を一元的に管理する中で、USBメモリーへのデータコピーなどもコントロール可能だ。
また、こうした対策を講じるだけでなく、従業員に周知しておくことも重要な抑止策となる。例えば、防犯カメラはその設置によって、犯行の抑止につながることは周知のとおりだろう。ここで紹介したセキュリティソリューションの導入も同様の効果が期待される。そして、従業員に対するセキュリティ教育も継続的な実施が重要だ。
IPAの情報セキュリティ10大脅威 2025においても、内部不正による情報漏えいは4位となった。10年連続トップ10入りしていることからも、企業・組織の事業継続を脅かす要因の1つとなっており、企業・組織において内部不正による情報漏えい対策は急務だと言えるだろう。
