ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 情シス事情を知る
  4. 一向に減らない情報漏えい。内部犯行の実態と対策を考える
ここから本文です。

特集 情シス事情を知る

一向に減らない情報漏えい。内部犯行の実態と対策を考える

2016年10月

ウイルス感染や標的型攻撃など外部からの攻撃に対して様々なツールが提供され、対策を講じる企業は多い。だが、ツールでは防ぎ切れないのが企業・組織内部の犯行だ。不正に持ち出した顧客情報や機密情報を第三者に転売されたりすると、企業にとって被害は大きなものになる。自社内の犯行の場合、企業は被害者になるのではなく、重要な顧客情報を守れなかった加害者と見られることが多く、ひと事ではない。そこで、今回は内部犯行の実態と対策を考える。

「内部不正による情報漏えい」が前年に続いて2位に

企業・組織内部者の不正行為による情報セキュリティ上のインシデントが後を絶たない。顧客情報や技術情報などの漏えいによる賠償や社会的な信用失墜など、ビジネスの根幹を揺るがしかねないようなケースも見受けられる。独立行政法人 情報処理推進機構(以下、IPA)が2016年3月に公表した「情報セキュリティ 10大脅威 2016」によると、「内部不正による情報漏えいとそれに伴う業務停止」が前年に引き続き2位(組織)にランクされ、依然として企業・組織の脅威になっていることがうかがえる。

こうした状況を受けて、IPAでは「内部不正による情報セキュリティインシデント実態調査報告書」(2016年3月、以下、調査報告書)や、最新の実態調査を踏まえた「組織における内部不正とその対策」(2016年5月)を公表するなど、企業・組織に必要な対策を求めている。

内部不正の対策は、外部からの攻撃防止策とは異なる難しさがある。例えば、外部からの不正アクセスを防ぐため、ID、パスワードを定期的に変更するなどの対策を講じる企業は多い。だが、内部不正は、自社の従業員や業務委託先が正規のID、パスワードを悪用してシステムにログインし、職務上与えられた権限を使って不正行為を働くため、対策が難しい。日本企業はどちらかといえば「性善説」に立って組織運営がなされているが、こと情報セキュリティに関しては、「性悪説」の観点から機密情報を扱う従業員や業務委託先従業員の監視体制を強化する時代を迎えている。

転職先に営業秘密を開示し逮捕

では、実際にどのような内部不正があるのか、主な事案を紹介する。

  • (1)A社の社員が出向先から営業秘密の製品情報をUSBメモリーに保存して持ち出し、転職先の競合企業に開示したとして不正競争防止法違反の疑いで逮捕
  • (2)自治体職員が住民の個人情報を含む大量の行政情報ファイルを、USBメモリーを使って不正に持ち出し、自宅に保管したとして停職6カ月の処分
  • (3)B社の元社員が営業秘密の設計図を不正に取得したとして不正競争防止法違反で逮捕。

これら内部不正の動機は転職先での利益取得や自宅での仕事など様々だが、不正行為が明るみになれば刑事罰や懲戒処分は免れないだろう。

内部不正が起こる要因はうっかりミスや不注意によるルール違反が最多

調査報告書をもとに、内部不正の経験者(200人)が起こした内部不正の内容を見ると、最も多いのが「うっかりミスや不注意によるルールや規則の違反」(66.5%)で、以下、「顧客情報など職務で知りえた情報の持ち出し」(58.5%)、「個人情報の売買など職務で知りえた情報の目的外利用」(40.5%)と続く。

そして、内部不正を行った理由は、故意ではない違反が58%に上る。その一方、故意による内部不正もある。

調査報告書によると、顧客情報を盗む場合は、USBメモリー(30.4%)が最も多い方法だ。以下、電子メール(18.2%)パソコン(14.2%)紙媒体(11.5%)と続く。このほか、スマートフォン(4.1%)やSNS(6.1%)も手段として使用されている。重要な情報を扱う部門においてUSBメモリーなどの外部記憶媒体の使用を制限する企業は少なくないが、個人所有のスマホの使用やSNSへの投稿などについてもルールの徹底や制限が必要になるだろう。

内部不正を抑止するためのポイント

「状況的犯罪予防」の観点から対策を講じることもポイントになる。

ポイントの一つ目は「犯行を難しくする」ことだ。例えば、アクセス制御や退職者のID削除、メールやネットの監視、USBメモリーの制限、入退室管理など対策を強化することで不正行為を難しくする。

二つ目としては「捕まるリスクを高める」ことだ。アクセスログの監視、共有アカウントの廃止、単独作業の制限、監視カメラの設置など、管理や監視を強化することで捕まるリスクを高める。

三つ目として、「犯行の見返りを減らす」ことも重要だ。アクセス権限を設定して重要情報の存在を隠す、情報機器・記憶媒体の資産管理により所有物を特定する、ファイルを暗号化して利益を得にくくするなどして犯行を防ぐ。

このほか、公正な人事評価や適正な労働環境により、従業員の不満やストレスを減らすなど「犯行の誘引を減らす」、内部不正対策の基本方針の策定や業務委託契約の規定、コンプライアンス教育など「犯罪の言い訳をさせない」ことも対策として重要になる。

他社はどんな対策を講じているか

実際に防止策を行っている企業や組織では、社内規程の順守や情報セキュリティ教育などに取り組んだり、システムへのアクセスログの取得を社内にアナウンスして不正行為を抑止したりしている。また、監視カメラを使ってルール違反を抑止する例もある。ある企業の製造現場では従業員に就業規則の順守が徹底されているかどうか確認できるように監視カメラを導入している。監視というと語弊があるが、いつも、どこかで見守られているという意識が働くことで従業員のルール順守などにも効果があるという。

内部不正対策は経営者の責任の明確化から始まる。顧客情報などの漏えいを引き起こした企業・組織は、賠償や信用失墜による競争力低下など、ビジネスに大きな影響があることを改めて肝に銘じたい。

ページ共通メニューここまで。

ページの先頭へ戻る