企業・組織は、頻発する内部不正による情報漏えいのリスクにどう対応すればよいのか?
企業や組織においては、現在もなお内部不正が発生しており、大きなリスクを伴っております。
従業員がそのような行為に及ぶ背景には、どのような動機があるのでしょうか。
本記事では、内部不正の原因や影響、手口などを整理しながら、企業・組織が講じるべき対策と、それを支援するソリューションについてご説明いたします。
内部不正による情報漏えいは今も続く
企業・組織内における「内部不正」とは、従業員が自らの立場や権限を悪用し、不正な行為に及ぶことを指します。金銭の横領や情報資産の持ち出し、システムの不正利用など、目的や動機はさまざまで、個人的な恨みやいたずらが背景にある場合もございます。
また、本人に不正の意図がなかったとしても、業務過多や人間関係のトラブル、強いストレスなどが引き金となり、結果的に内部不正とみなされるケースもございます。
このように、内部不正はあらゆる組織で起こり得るものであり、発生した場合には信用の失墜をはじめとする深刻な影響を及ぼします。そのため、企業・組織には未然に防ぐための取り組みが強く求められております。
企業・組織に広がる内部不正の影響
内部不正による影響は、単に直接的な損失にとどまらず、間接的な被害も含めると非常に広範囲に及ぶ可能性があります。たとえば、委託先の顧客情報が流出した場合、クライアントへの補償問題に発展し、高額な費用が発生することも考えられます。
さらに、再発防止のためのセキュリティ強化や、経営陣の引責辞任に伴う組織再編など、追加的なコストも無視できません。信用の失墜は中長期的に企業活動へ悪影響を及ぼし、新規取引の機会損失にもつながります。
また、従業員の士気低下によって組織全体の活力が失われ、持続的な運営が困難になるリスクもあります。こうした事態を防ぐためにも、企業・組織は内部不正への真摯な対応が求められます。
従業員が不正に至る理由と行動の構造
内部不正を企てる従業員には、多くの場合、何らかの動機が存在します。特に情報漏えいに関しては、金銭的な利益を目的とするケースが目立ちます。ただし、業務上の過度なストレスやプレッシャーが背景となる場合もございます。
なお、動機があるからといって、必ずしも不正が行われるわけではありません。不正は「動機」「機会」「正当化」の3つの要素が揃ったときに発生するとされており、これは「不正のトライアングル」と呼ばれています。以下では、それぞれの要素について詳しくご説明いたします。
1)動機
内部不正を行う者には、何らかの動機があることが一般的です。代表的な例としては、借金などの事情から金銭的な利益を得る必要がある場合が挙げられます。また、自身の地位や権限を高める目的で不正に及ぶケースも少なくありません。さらに、怨恨やストレスの発散、精神的な不安定さがきっかけとなり、動機につながることもございます。
2)機会
内部不正に至る者は、ほとんどの場合、何らかの動機を持っています。たとえば、借金を抱えているなどの理由から金銭的利益を得ようとするケースが典型的です。また、自身の地位や権限を強化する目的で不正に及ぶこともあります。その他にも、怨恨やストレス、精神的な不安定さが動機の引き金となることもございます。
3)正当化
先に述べたように、動機や機会が揃っていたとしても、ほとんどの人は内部不正に手を染めることはありません。これは、企業内のルールや不正行為に対する罰則が存在することに加え、個人の良心や倫理観が働いているためです。
しかし、こうした道徳的な感情に依存している場合、偶発的な状況によってその良心が揺らぎ、不正行為を正当化してしまう可能性も否定できません。
このような内部不正のメカニズムを理解した上で、企業・組織としては適切な対策を講じることが求められます。
内部不正の手口と手段
これまでにも述べたとおり、内部不正は昔から断続的に発生してきました。しかし、デジタル技術が発展した現代においては、その手口や手段がより巧妙かつ複雑化しています。以下に、具体的な事例をご紹介いたします。
1)手口
窃取・持ち出し・漏えいは、内部不正における典型的な手口とされています。紙媒体が主流だった時代には、持ち出せる情報量に物理的な制限がありましたが、現在のデジタル環境では、膨大なデータを容易に持ち出すことが可能となっています。
改ざん・破壊・消去といった行為は、内部不正の一形態として挙げられます。デジタルデータの場合、一定のパソコン知識があれば、これらの操作は比較的容易に行えてしまいます。さらに、悪意あるプログラムを仕込むことで、時間差をもって実行されるケースもあり、犯人の特定が難しくなることもございます。
2)手段
メールや添付ファイルを使った情報の持ち出しは、今なお内部不正の代表的な方法として用いられています。特に、個人のクラウドメールサービスを通じた情報漏えいは、継続的に発生している問題です。
クラウドサービスの普及により、個人でも簡単に利用できる環境が整ったことで、これらを悪用して重要なデータを持ち出すケースが増加しています。特に、大容量の保存が可能なクラウドストレージが存在する業務環境では、情報の持ち出しが容易に行われてしまう可能性があります。
USBメモリーや外付けSSD/HDDなどのストレージ機器は、内部不正の手段として依然として利用されることがあります。紛失や盗難のリスクを考慮し、これらへの書き出しを禁止する企業・組織も増えていますが、実際にはルールがあるだけで、技術的に書き出しが可能な環境が残っているケースも少なくありません。近年の事例でも、こうしたデバイスが悪用されたケースが確認されています。
情報漏えいに至る内部不正の経路別事例集
内部不正による情報漏えいは、大きく分けて現職の従業員、派遣社員、そして退職者によって引き起こされるケースがあります。多くの場合、犯行には故意が伴い、職場への不満のはけ口や、他社への情報提供といった明確な動機が存在します。以下に、それぞれの立場における具体的な事例をご紹介いたします。
1)現職従業員による不正の事例
通信会社の現職従業員が、社内の機密情報を不正に入手し、国外の関係者に提供することで金銭を受領していた事実が明らかとなりました。その結果、当該従業員は懲戒処分を受けるとともに、裁判にて執行猶予付きの有罪判決が言い渡されました。
2)現職派遣社員による不正の事例
ある通信会社において、現職の派遣社員が長期間にわたりクライアントの顧客情報を外部へ持ち出し、名簿業者に販売していたことが判明しました。この不正行為は大きな問題となり、最終的には組織幹部の引責辞任にまで発展しました。
3)退職者による不正の事例
競合他社へ転職した元従業員が、退職時に社内資料を不正に持ち出し、その中には個人情報も含まれていました。転職先にて、これらの情報がダイレクトメールの送付に利用されたことで問題が発覚しました。なお、退職時には機密保持の誓約書を提出していたにもかかわらず、このような不正行為に至ったことが大きな問題となりました。
内部不正の調査方法
内部不正は、長期間にわたって継続されるケースもあるため、企業・組織としてはその可能性を踏まえたうえで、対策を講じる必要があります。自社でも発生し得るという前提に立ち、調査体制の整備が求められます。
通信ログの取得、保管
社内ネットワーク上で行われる通信については、接続されたデバイスごとにログを取得し、適切に保管しておく必要があります。こうしたログがあれば、内部不正が起きた際にも、詳細な分析を通じて犯行の手順を追跡することができます。
端末の操作履歴の取得、保管
社内の通信ログだけでなく、従業員が操作したデバイスの履歴もログとして取得・保存しておくことが重要です。プリンタなどの出力機器に関するログも含めて記録することで、万が一内部不正が発生した場合には、通信履歴と合わせて分析することで、犯行に使用された機器や関係者の特定に役立つ可能性があります。
定期的な内部監査の実施
内部監査を実施することで、隠れていた不正が表面化することがあります。また、定期的な監査は、内部不正の抑止につながる重要な取り組みとして位置づけられます。
内部告発の制度化
どのような企業・組織であっても、内部不正が発生する可能性は否定できません。そのため、内部告発を受け付ける体制を整備することにより、不正の芽を早期に摘み取ることが可能となり、コンプライアンスの強化にもつながります。
従業員への聞き取り
先に述べたように、内部不正の動機は多岐にわたります。そして、人の倫理観は個人差が大きく、従業員によって感じ方や判断基準も異なります。定期的なヒアリングを通じて、不正を目にした従業員が声を上げるきっかけをつくることができますが、威圧的な態度では情報が得られにくくなります。したがって、企業・組織には、自由に意見を言える風土づくりが求められます。
内部不正を抑止するための対策
企業・組織には、従業員による内部不正を未然に防ぐための対策が求められます。抑止力が不十分であれば、不正のきっかけを与えてしまう可能性がありますし、仮に抑止力が働いていたとしても、代償が小さい場合には不正に手を染めるリスクは残ります。
そのため、内部不正が発覚しやすい仕組みを整えるとともに、発覚時の処分が明確かつ厳格であるよう社内規定を整備することが重要です。なお、経営層と情報システム部門では、それぞれ異なる対応が求められます。
1)経営層
- 経営層による積極的な関与と対策の推進
- 情報管理の適正化および法令遵守への対応
- 内部不正対策の重要性に関する社内周知の徹底
- CISO(総括責任者)の任命と横断的な管理体制の構築
- 対策実施に向けた承認プロセスの整備
- 対策意識を高めるための人材教育の推進
2)情報システム部門
- 内部不正防止に向けた基本方針の策定
- 情報リテラシーや倫理観、法令順守を促進する定期的な教育の実施
- 利用資産の把握と管理体制の構築
- 機密情報の適切な管理と保護
- オフィス環境における物理的な管理の徹底
- 必要に応じて秘密保持誓約書への署名を求める対応
- 定期的な職務変更や部署異動によるリスク分散
もちろん、ここで挙げた対策を講じたからといって、不正行為を完全に防げるわけではありません。先述のように、風通しの良い職場環境や、不正が起こりにくい組織文化の醸成は、経営層にとって重要な課題です。こうしたコンプライアンス重視の姿勢と継続的な取り組みによって、時間の経過とともに状況が改善されていくことが期待されます。
