内部不正とは?事例と原因・対策をまとめて解説

仮想デスクトップコラム
  • テレワーク

  • 2022.01.18

内部不正とは?事例と原因・対策をまとめて解説
  • そもそも内部不正とは何か
  • 内部不正の原因を知りたい
  • 内部不正の対策を整理したい

会社経営において、情報漏えいなどのセキュリティリスクは大きな課題の1つです。セキュリティリスクには、社外からのマルウェア攻撃や標的型攻撃などが挙げられますが、内部不正も見逃せません。


内部不正は会社経営に大きな影響を与えかねない上、社外からの攻撃以上に表に出にくいので、対策が難しい側面があります。


本記事では、内部不正の意味と特徴、日本における現状、事例と原因、さらには対策を紹介します。

STC診断

内部不正とは?

内部不正とは、従業員や業務委託先など社内の関係者が、故意またはルールの認識不足によるミスによって内部情報を流出させることです。内部不正には様々なものがありますが、本記事では故意に社内情報を流出させることについて記載します。

内部不正は、会社経営に大きな影響を与えます。例えば、内部不正により特許や特殊技術などの情報が競合他社に渡ると、会社間競争に悪影響が出ます。また、内部不正による情報流出が発生して社会的信用が低下すると、会社経営にマイナスに働きかねません。

内部不正の特徴

ここでは、内部不正の特徴を3つ紹介します。

1つ目は、社外からの攻撃よりも被害額が大きくなりやすいことです。被害額には、ビジネスにおける直接的な損失や、信頼低下とそれに伴う売り上げ低下、内部不正に関わる調査費用なども含まれます。

2つ目は、表に出てこない内部不正事例も多数存在すると推測されることです。IPAの調査によると、内部不正を行った者に対して「懲戒処分や起訴はしなかった」と回答した割合は、30.9%に上りました。内部不正をしていた事実が会社のイメージダウンにつながることを懸念することが大きな要因です。

3つ目は、故意ではない内部不正も多いことです。IPAの調査によると、内部不正を行った理由のうち、故意ではない理由(「うっかり違反」が40.5%、「ルールを知らなかった」が17.5%)は合計58.3%と、半数以上を占めます。

参考:組織における内部不正とその対策 情報処理推進機構

日本における内部不正の現状

日本においても、内部不正はセキュリティ上の課題の1つになっています。例えば、IPAの「情報セキュリティ10大脅威2021」において、「組織」向け脅威で「内部不正による情報漏えい」が第6位にランクインしています。

参考:情報セキュリティ10大脅威 2021 情報処理推進機構

また、IPAの調査によると、従業員数300名以上の企業において内部不正経験ありと回答した割合は8.6%。300名未満の企業では1.6%という結果になりました。

参考:内部不正による情報セキュリティインシデント実態調査 情報処理推進機構

さらに、日本においては内部不正を含むセキュリティリスクに対処するサイバーセキュリティ人材が不足していることも懸念点です。総務省が2018年に公表した資料によると、2020年には情報セキュリティ人材が19.3万人不足する見込みとされていました。

参考:我が国のサイバーセキュリティ人材の現状について 総務省

内部不正の事例

ここでは、内部不正の3つの事例を表にまとめます。

【事例1】

内容 市役所職員が、市民の個人情報を含む行政文書約220万件を不正に持ち出し。私物のPCで保管。仕事や勉強への活用が目的。
処分 同職員は懲戒処分(停職6カ月)

参考:組織における内部不正とその対策 ~最新の実態調査より~ 情報処理推進機構

【事例2】

内容 通信教育事業会社が、DMなどで収集した個人情報データベースの保守を依頼している会社が、保守業務を複数社に再委託。再委託した複数社のうち1社の従業員が、個人情報データベースから個人情報を不正に入手。大量の個人情報が流出。名簿販売業社に転売し、金銭取得することが目的。
処分 委託SEは不正競争防止法違反の疑いで逮捕

参考:組織における内部不正とその対策 ~最新の実態調査より~ 情報処理推進機構

【事例3】

内容 家電量販店元従業員が、退職前に社内のPCに遠隔操作ソフトウェアをインストール。競合他社に転職後、転職先の社内PCから遠隔操作して企業の情報を入手。転職先での実績作りが目的。
処分 元従業員は、不正競争防止法違反容疑で逮捕

参考:組織における内部不正とその対策 情報処理推進機構

内部不正の原因

ここでは、内部不正の原因を以下の順に紹介します。

  • 技術的原因
  • 人的原因

技術的原因

内部不正の原因の1つ目は、技術的原因です。

例えば、従業員の誰もが重要な情報にアクセスできる状態だと、本来特定の情報にはアクセスさせてはいけない従業員までその情報にアクセスできることになります。すると、内部不正が発生する危険性が高まります。

また、ログなどが記録されておらず、アクセスを追跡できないことも技術的原因の1つです。エラーが発生しても、アクセスを追跡できなければ原因を特定できないということが従業員などに知られると、それを悪用されて内部不正が発生する危険性が高まります。

人的原因

内部不正の原因の2つ目は、人的原因です。

人的原因とは、内部不正を行う動機や不正を正当化する理由が顕在化した状態のことです。内部不正は、「動機・プレッシャー」、「機会」、「正当化」の3要素がそろうと発生するとされています。

IPAの調査によると、故意による内部不正の理由で最も多かったのは、「業務多忙」の16.0%で、次いで「処遇や待遇への不満」の11.0%でした。このように、仕事の忙しさや不満は内部不正の大きな要因になります。

参考:組織における内部不正とその対策 情報処理推進機構

内部不正への対策

業務上、従業員が重要な情報を取り扱わなくてはならない場面は少なからず存在します。また、内部の従業員を疑いたくない、もしくは内部犯行はあり得ないという感情が働くことも少なくありません。このため、内部不正への対策は決して簡単ではありません。しかし、内部不正への対策方法は存在します。

ここでは、内部不正への対策を以下の順に紹介します。なお、IPAのガイドラインも参考にしてください。

  • 内部からの不正アクセス対策
  • 監視体制の強化
  • 社内環境・体制の改善

参考:組織における内部不正防止ガイドライン 情報処理推進機構

内部からの不正アクセス対策

内部不正への対策の1つ目は、内部からの不正アクセス対策です。

これは、重要な情報にアクセスできる人物を限定するものです。例えば、アクセス制御や多要素認証などの技術的対策を行って一部の人物しか重要な情報にアクセスできなくすることが挙げられます。また、入退室制限など物理的な対策や保管している不要な記憶媒体の破棄も、内部からの不正アクセス対策として有効です。

監視体制の強化

内部不正への対策の2つ目は、監視体制の強化です。

不正アクセス対策を講じても、誰も内部不正を試みないとは限りません。そこで、誰かが内部不正を試みてもすぐに発見して対処できるよう、監視体制の強化も重要です。

例えば、入退室記録の管理、端末持ち出し記録の徹底、アクセスログの監視などが該当します。また、特定の人物に権限を集中させると、その人物が内部不正を行っても発覚しにくくなります。そのため、相互監視の体制などを構築し、権限分散させることも有効です。

社内環境・体制の改善

内部不正への対策の3つ目は、社内環境・体制の改善です。

前述の通り、内部不正の大きな要因の1つは、業務の忙しさや処遇への不満など、人的要因です。人事評価の見直し、社内コミュニケーションの活性化などを行うことで、社内環境を改善しましょう。それにより、内部不正を行う動機や不正を正当化する理由をなくすことが内部不正への対策になります。

また、IPAの調査によると、300名未満の企業において対策の実施状況に「方針やルールはない」と回答した割合は45.9%でした。方針やルールがないことも、内部不正を正当化する理由になります。そのため、ルールの整備や周知徹底、セキュリティ教育も内部不正への対策の1つと言えます。

参考:内部不正による情報セキュリティインシデント実態調査  情報処理推進機構

まとめ

本記事では、内部不正の意味と特徴、日本における現状、事例と原因、さらには対策を紹介しました。

内部不正が発生すると、ビジネス上の直接的な被害だけでなく、社会的信用の低下にもつながる恐れがあります。そのため、社内セキュリティを高めるには見逃せない課題の1つです。

ただ、内部不正を予防するには、技術的な対策だけでは不十分です。従業員に負担や不満を感じさせない会社を作ることも、内部不正を予防するために重要なことなのです。

なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。

STC診断