なぜ発生するのか? 内部不正の事例とその対策
2023年11月28日 www.soliton.co.jp より移設
組織の維持管理において大きな脅威となるものが「内部不正」の問題です。組織内の人間が機密情報を盗み出したり漏えいさせたりするリスクは、企業活動に大きなダメージを与えます。
ここでは企業における内部不正の実態とその原因、発生を防ぐための方法や不正が起きた場合の対策について説明します。
企業における内部不正の実態
顧客情報や企業の機密に関わる情報がデータとして管理されている現状、漏えい事故が及ぼす損害は多大なものとなります。ニュースに取り上げられるほどの重大な内部不正は全体のごく一部ですが、外に公開されない不正事件はさらに数が多く、企業にとっては大きな脅威となっています。
研究開発職や管理職など、重要なデータを取り扱う現場では特に内部不正のリスクが高く、組織内の人間一人ひとりに管理者としての意識が求められています。また、システム管理業務などを委託した企業が内部不正に関与しているケースもあり、こちらもリスクが高いといえるでしょう。
内部不正の事例
実際に起こった内部不正の事例としては、通信教育業の大手企業が約3,504万件もの個人情報を漏えいさせたものがあります。大手企業から顧客情報の管理を委託されていた会社に勤務するシステムエンジニアが、自身のスマートフォンに顧客情報を不正にコピーし、顧客名簿業者に販売したというものです。この事例では、個人情報が漏えいした顧客に金券を配布するなど、大きな損失となりました。
また、家電量販店の元社員が転職先から遠隔操作で顧客情報を盗み取った事例もあります。これは、退職前に遠隔操作ソフトをインストールされていたもので、事務作業の都合で退職者のアカウントが退職後90日間有効だったために、遠隔先からログインできてしまった事例です。
他にも、元社員が営業秘密にあたる製品の技術情報を持ち出し、漏えいさせたといった事例もあります。
企業が把握しておくべき内部不正の原因
企業側は、人が不正を働くしくみを図式化した「不正のトライアングル」について理解しておく必要があります。不正のトライアングルは、アメリカの犯罪学者であるドナルド・R・クレッシーが犯罪者への調査をもとに不正が起きるしくみをわかりやすく示したもので、「動機」「機会」「正当化」という3つの要素が揃って初めて不正が起きるとされています。
「動機」は、不正行為をはたらく際の事情を表しています。たとえば金銭的な問題を抱えている人が、内部機密を流出させることで報酬を得られるといった経済的な動機のほかに、上司からの圧力や株主からのプレッシャー、組織内での人間関係や昇進に関する不満が引き金になる場合もあります。
「機会」とは、不正行為の実行が可能になる環境を表しています。たとえば1人の管理者に現金や金銭的な価値をもつものの取り扱い権限が集中しているケースや、上長が経費の申請について細かく確認せずに承認するといった状況下で不正が行われやすくなります。
「正当化」とは、不正行為を肯定するまでの各々の事情のことです。たとえば企業のお金を盗み出す際に「ちょっと借りるだけ。後で返済するから問題ない」といった安易な考えや、他者のために不正をはたらこうとしている人が「業績の数字を少し高く見積もれば会社が倒産しなくて済む、だからみんな助かる」とその場をしのぐために不正を肯定してしまう考え方を指します。
内部不正を未然に防ぐ対策と発生後の対策が必要
内部不正を未然に防ぐためには、この「不正のトライアングル」が発生しないように対策を講じなければなりません。
「動機」や「正当化」については組織内の人間の考え方や生活状況に基づいているため対処しきれない部分がありますが、「機会」については未然に対処することが可能です。管理者権限を一極集中させない、金銭や機密情報に関わる管理体制を強化するといった基本的な対策を講じる必要があるでしょう。
万が一内部不正が発生してしまった場合に備えて、発生後の対処方法も事前に策定しておく必要があります。たとえば 職務上の成果物を外部に公開・漏えいした際の罰則規定をさらに強化したり、厳罰化を組織内に周知徹底したりするなどの方法が有効です。また、不正によって顧客に被害が生じる場合は外部への公表や報告をしなければなりませんので、迅速に対応できるよう対処方法を決めておく必要があります。
内部不正の対策
内部不正を防ぐためには、まず社員やスタッフへの教育と周知をしっかりと行うようにします。定期的な勉強会やミーティングで内部不正に関する情報を随時共有します。
あわせて、社内で使用している機器の管理も厳格に行いましょう。パソコンやタブレットなどの通信機器は利用状況のログを取り、ログを取得していることを全社員・全スタッフに明示して、不正の機会を与えないことが効果的な予防策になります。使い込みなどの不正を予防するためには、予算の起案者と承認者を同じ人にしない、金銭管理をダブルチェックで行うなどの対策が有効です。
専用のシステムによる端末操作の監視や記録、私物端末の社内への持込禁止、持ち込みを許可する際にはセキュリティのチェックと利用制限といった対策のほか、外部メディアの利用制限も重要な対策方法のひとつです。USBメモリなどの外部記録媒体については、事前に利用ルールを定めて規律を徹底しなければなりません。機密情報などの重要データを監視し、送信や社外への持ち出しを制限する「DLP(Data Loss Prevention:データ損失防止)」を導入する方法も効果的です。
また、内部不正が発生した際の罰則規定を設けておくことも重要です。内部不正にはけん責・減給・出勤停止・降格処分・諭旨解雇・懲戒解雇といった処分が妥当ですが、不法行為あるいは労働契約の債務不履行に基づく損害賠償請求、刑事責任の追及などを最終的な処罰として規定することも不正の予防に効果を発揮します。
内部不正は企業にとってたいへん大きな脅威であり、企業そのものの信頼性を損ねるリスクもあります。事前に「不正のトライアングル」を理解し、管理者や役職をもつ社員だけではなくすべてのスタッフ・社員が情報を漏えいさせないように心掛けなければなりません。
それに加えて、不正を働く「機会」を極力減らすような仕組みづくりが重要だといえるでしょう。企業側は事前に不正や漏えいへの対策を講じ、万が一の事態にも対応できるように準備しておくことが大切です。
Pickup ピックアップ
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...
-
インタビュー
新たな脅威への対応まで『任せられる』。「Prisma SASE」で、組織のセキュリティ対策をシンプルに強化|パロアルトネットワ...