内部不正とは？主な手口や原因、対策のポイントをご紹介

内部不正とは

内部不正とは、組織の関係者または元関係者が重要な情報を持ち出したり、漏えいや消去したりなどの不正な行為を指します。これには金銭的な目的など故意による行動や、うっかりミスなど意図せず引き起こしてしまった行動も含まれます。

IPAが発表した「組織における内部不正防止ガイドライン」の定義によると下記の通り記されています。

本ガイドラインでは、違法行為だけでなく、情報セキュリティに関する内部規程違反等の違法とまではいえない不正行為も内部不正に含めます。内部不正の行為としては、重要情報や情報システム等の情報資産の窃取、持ち出し、漏えい、消去・破壊等を対象とします。また、内部者が退職後に在職中に得ていた情報を漏えいする行為等についても、内部不正として取り扱います。

また「情報セキュリティ10大脅威2022」において、「内部不正による情報漏えい」が組織の立場における脅威の5位にランクインしていることから、内部不正は他人事ではない脅威と言えるでしょう。

重要情報とは

重要情報とは、組織が保有・管理する情報の中で、消去や漏えいにより事業へ影響を及ぼす可能性があるものです。

組織によって定義は異なりますが、一般的に情報内容に応じた格付けによって重要度を付与し、取り扱いを定められています。情報の種類について具体例を交えてご紹介します。

1. 一般情報

   誰でも閲覧できセキュリティ面の管理が不要な情報

   （例）組織のホームページに掲載されている情報、SNSで投稿されている情報

2. 社外秘

   組織内での共有は問題ないが、社外への公開は望ましくない情報

   （例）企画書、議事録、顧客リスト、取引先の情報

3. 秘

   漏えいにより組織へ損害や損失をもたらす恐れのある情報で、業務上知るべき人物のみが閲覧できるような管理が必要

   （例）経営戦略、重要な契約書、人事計画情報

4. 極秘

   漏えいにより組織の活動へ重大な影響を与える可能性があるため、最も厳重に管理しなければならない

   （例）未発表の研究情報や合併などの経営情報、未公開の経理情報、特命プロジェクト

内部不正がもたらす影響

内部不正が起きた場合、下記のような影響が考えられます。

1. 組織の社会的信用が失墜

2. 顧客や取引先などに対する損害賠償や補填による経済的損失

3. 組織としての経済的な競争力の大幅な低下

4. 業績の悪化により従業員への処遇が悪化、会社存続の危機

5. 刑事罰の対象になる可能性も

たった一人の従業員が過ちを犯してしまったとしても、組織の存続や従業員の生活をおびやかす脅威になりうるため、内部不正は経営者・ 経営陣が真摯に向き合わなければならない経営課題とといえます。

内部不正の主な手口

内部不正が行われる主な手口として、下記が挙げられます。

1. アクセス権限を悪用

   業務目的で付与されたアカウント権限を悪用し、組織の重要情報を盗み出すケースが考えられます。重要情報のアクセス権限は限られた従業員へのみ付与し、定期的に利用状況を確認するなど適切に管理しましょう。

2. アカウントの悪用
   組織の元関係者が退職後にアカウントを悪用するケースも考えらえます。退職者のアカウントは決して放置せず、アクセス権限の変更や削除など迅速な対応が求められます。

3. 内部情報の不正な持ち出し

   重要情報を印刷したり、USBメモリーやクラウドストレージへコピーしたりすることによって、社外に持ち出すケースが考えられます。情報漏えいにつながるリスクを持つ記録媒体や許可していないクラウドサービスの利用を禁止した上で、システム的に制御することが重要です。

4. 誤操作

   意図していない従業員の誤った行動により、情報漏えいが起こる可能性もあります。人為的なミスが発生しないようなルールの策定とシステム的な制御が必要です。

このように内部不正が実行されないよう、重要情報に関わる管理体制の確立、取り扱いルールの整備と従業員へ周知、システム的な制御の導入が必要です。

内部不正の原因、内部不正防止の基本原則

内部不正の原因としては、「情報を流出させることで報酬を得たい」や「有利な条件で転職したい」といった私的な動機や私怨、プレッシャーなどにより引き起こされます。 「不正のトライアングル※」によると、「動機」「機会」「正当化」の3要素が揃うことで不正が起きるとされています。内部不正を発生させないためには、このような動機をもった従業員に実行の機会を与えないことが重要です。 「組織における内部不正防止ガイドライン」では犯罪予防理論を基にした5つの基本原則を制定し、これに基づき対応項目をまとめられています。

内部不正防止の基本原則

1. 犯行を難しくする（やりにくくする）：対策を強化することで犯罪行為を難しくする

2. 捕まるリスクを高める（やると見つかる）：管理や監視を強化することで捕まるリスクを高める

3. 犯行の見返りを減らす（割に合わない）：標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ

4. 犯行の誘因を減らす（その気にさせない）：犯罪を行う気持ちにさせないことで犯行を抑止する

5. 犯罪の弁明をさせない（言い訳させない）：犯行者による自らの行為の正当化理由を排除する

※犯罪学者Donald R. Cresseyが提唱した理論をもとに会計学者W. Steve Albrecht氏がモデル化。

内部不正を防ぐための対策のポイント

内部不正対策として具体的どのような管理が必要か、「組織における内部不正防止ガイドライン」には下記10の観点で記載されています。

また、付録に検討すべき対策内容やチェックシートがあるため、組織としてどこまで対応できているのかチェックしてみてはいかがでしょうか。

内部不正を防ぐための管理のあり方

1. 基本方針
2. 資産管理
3. 物理的管理
4. 技術・運用管理
5. 原因究明と証拠確保
6. 人的管理
7. コンプライアンス
8. 職場環境
9. 事後対策
10. 組織の管理

まとめ

ガイドラインを用いて内部不正の概要と、発生原因や対策のポイントに関してご紹介しました。 テレワークといったオフィスにとらわれない働き方を推進している組織においては、従業員が見えづらくなりセキュリティの面でも不安に感じる。内部不正が発生しないよう、 社内ルールや体制や従業員へ教育、システム的な対策の3点を見直してみてはいかがでしょうか。 ＪＢサービス株式会社では内部不正対策に関するセキュリティサービスをご提供します。セキュリティ対策の導入、運用会社をお探しであれば、お気軽にご相談下さい。

【項目2・4・5】重要情報のラベル付け、操作ログの収集はDLP製品「デジタルガーディアン」

デジタルガーディアンは、データのコピーや外部への送信といった動きとプロセスを把握し、リスクや脅威を可視化するDLP製品です。ＪＢサービス株式会社はでは、デジタルガーディアンの導入から運用代行サービスまでご用意しています。 デジタルガーディアン 製品情報はこちら≫

【項目3】データ消去サービス

ＪＢサービス株式会社では、お客様のニーズに応じたデータ消去サービスをご用意しています。豊洲ソリューションセンター内の専用ルームにて対応しますのでご安心ください。オプションで第三者認証のデータ消去証明書の発行も可能です。 データ消去サービス 詳細はこちら≫

【項目3・4】デバイス管理なら「Microsoft Intune」

外部記録媒体の利用やアプリケーションのインストールを制御、紛失や盗難にあった際に遠隔からのデータ消去であればMicrosoft Intuneがおすすめです。ＪＢサービス株式会社はMicrosoft Intuneの導入サービスをご用意しています。 Microsoft Intune 製品情報はこちら≫

【項目4・6】実践的で効果が可視化できるセキュリティ教育サービス「SecuLiteracy」

人的管理における内部不正対策でお困りであれば、セキュリティ教育サービスSecuLiteracyをおすすめします。実践的な教育の導入や、従業員の理解度を可視化し教育対象者へのフォロー教育などをサポートします。 SecuLiteracy サービス詳細はこちら≫

【項目7】Microsoft 365/Office 365ユーザーにおすすめ「Microsoft 365コンプライアンス」

Microsoft 365コンプライアンスは、コンプライアンスリスクの評価や機密データの管理体制と保護を行い規制要件に対応しますので、情報漏えい・内部不正・ハラスメントといったリスクを軽減するのに役立ちます。 Microsoft コンプライアンス 製品詳細はこちら≫

関連サービス

データプロテクションサービス エンタープライズ

データプロテクションサービス エンタープライズはDLP製品「デジタルガーディアン」の運用に関するカスタマイズサービスで、高度なデータ保護環境の実現を支援します。デジタルガーディアンの運用にお困りの方は、ぜひご検討ください。

詳しく »