内部不正による情報漏えい事件と具体的な対策方法
内部不正による情報漏えい事件が後を絶ちません。経済産業省が公表した「人材を通じた技術流出に関する調査研究 報告書(別冊)」によると、営業秘密が競合他社へ流出する事案は、「中途退職者(正社員)による漏えい」が50.30%、「現職従業員等による漏えい」が26.90%、「金銭目的等の動機を持った現職従業員による漏えい」が10.90%と、退職者や従業員などの内部関係者によるものがほとんどであると報告されています。
内部不正による情報漏えい事件の中には、テレビや新聞などで大きく報道されたものもあります。例えば、以下のような情報漏えい事件についてご覧になったことがあるかもしれません。
- T社と業務提携していた半導体メーカー G社の元技術者が処遇に不満であることを理由に、T社のフラッシュメモリーの研究データを不正に持ち出し、転職先である韓国の半導体大手H社に提供した。T社の損害は1000億円を超えると言われている。
- A社の顧客データベースを保守管理するグループ会社B社の委託先の元社員が、顧客の個人情報を名簿業者へ売り渡す目的で、記憶媒体にコピーし個人情報を約3504万件流出させた。委託先の元社員は、不正競争防止法違反の疑いで逮捕された。
- 家電量販店A社の元社員が退職前に事務所のパソコンに遠隔操作ソフトをインストールし、転職先(競業企業)のB社の業務用パソコンから遠隔操作ソフトを通じて不正に営業秘密にあたる情報を取得した。A社は営業秘密の不正使用について、B社に対して50億円の損害賠償を求める民事訴訟を起こしている。
内部不正による情報漏えい事件は、ウィルス対策などのように技術的に解決すればいいという問題ではありません。IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威」でも毎年トップ10に入り続けていることから、なかなか解決が難しい問題であることは間違いありません。
内部不正に関する情報漏えい事件の3つの特徴
- ① 組織内部で処理され外部に公開されにくい。
会社の信用や風評被害が発生することを懸念して、組織内部のみで処理されることが多く、報道などで公開されている事例は氷山の一角と言われています。 - ② 組織の根幹を脅かすような情報漏えい事件が発生しやすい。
内部不正による情報漏えい事件の場合、漏えい規模が大きくなりやすく、企業の競争力に関わる重要情報であることが多いと言われています。そのため、組織の根幹を脅かすような情報漏えい事件が多く発生しています。 - ③ 内部不正が原因の情報漏えい事件は「動機」「機会」「正当化」の3要因が揃った時に発生しやすい。
人事や待遇への不満やノルマや業務量などのプレッシャーなど不正行為に至るきっかけとなる「動機」。システム管理者権限を保有している、同じ業務を長期間担当しているなど、不正行為の実行を可能、または容易にする「機会」。自分勝手な理由づけや他人への責任転嫁などによる「正当化」という3要因が揃った時に発生しやすいと言われています。
内部不正防止の基本原則に基づく対策例
IPA(独立行政法人情報処理推進機構)が作成した「組織における内部不正防止ガイドライン」では、「状況的犯罪予防の考え方(犯罪学者の Cornish & Clarke(2003)が提唱した都市空間における犯罪予防の理論。)」を内部不正防止に応用し、以下の5つを内部不正防止の基本原則として紹介しています。
内部不正防止の原則① 犯行を難しくする(やりにくくする)
「対象の防御策を強化する」「施設への出入りを制限する」「出口で検査する」「犯罪者をそらす」「情報機器やネットワークを制限する」ことが、犯行を難しくするために効果的です。
具体策は以下をご参照ください。
- アクセス制御
- パスワードポリシーの設定
- 退職者のID削除
- 外部者の立ち入り制限
- 未許可のPC/USBメモリの持ち込み禁止
- SNSの利用制限
- ホテルや公衆の無線LANの利用制限
- etc・・・
内部不正防止の原則② 捕まるリスクを高める(やると見つかる)
「監視を強化する」「自然監視を支援する」「匿名性を減らす」「現場管理者を採用する」「監視体制を強化する」ことが、捕まるリスクを高めるために効果的です。
具体策は以下をご参照ください。
- アクセスログの監視
- 複数人での作業環境
- 入退室記録の監査
- 通報制度の整備
- ID管理
- 台帳による持ち出し管理
- 監視カメラの設置
- etc・・・
内部不正防止の原則③ 犯行の見返りを減らす(割に合わない)
「標的を隠す」「対象を排除する」「所有物を特定する」「市場を阻止する」「利益を得にくくする」ことが、標的を隠し、犯行の見返りを減らすために効果的です。
具体策は以下をご参照ください。
- アクセス制限の設定
- モバイル機器等の施錠保管
- 関係者に開示した情報の廃棄・消去
- データの完全消去
- 警察への迅速な届出
- 電子ファイル・ハードディスク・通信の暗号化
- etc・・・
内部不正防止の原則④ 犯行の誘因を減らす(その気にさせない)
「欲求不満やストレスを減らす」「対立を避ける」「感情の高ぶりを抑える」「仲間からの圧力を緩和する」「模倣犯を阻止する」ことが、犯罪を行う気持ちにさせないために効果的です。
具体策は以下をご参照ください。
- 公正な人事評価
- 適正な労働環境の構築
- 円滑なコミュニケーション
- 再発防止策の公表
- etc・・・
内部不正防止の原則⑤ 犯罪の弁明をさせない(言い訳させない)
「規則決める」「指示を掲示する」「良心に警告する」「コンプライアンスを支援する」ことが、内部不正の正当化理由(言い訳)を排除するために効果的です。
具体策は以下をご参照ください。
- 基本方針の作成
- 管理・運用策の策定
- 業務委託契約の締結
- 秘密保持に関することを就業規則で規定
- 誓約書への署名
- 持ち込み禁止のポスターの掲示
- 従業者等の内部関係者への教育
- etc・・・
まとめ
退職者や従業員などの内部関係者による情報漏えい事件が後を絶ちません。内部不正に関する情報漏えい事件は漏えい規模が大きくなりがちで、組織の根幹を脅かすような事件に発展する可能性が高いと言われています。
内部不正は、「動機」「機会」「正当化」の3要因が揃うと発生しやすいと言われています。3要因を揃わせないために、「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の誘因を減らす」「犯罪の弁明をさせない」という犯罪予防の5原則に基づいて、内部不正防止対策を行うことが推奨されています。
■ 参考
- 人材を通じた技術流出に関する調査研究 報告書(別冊)
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/H2503chousa.pdf - 情報セキュリティ10大脅威
https://www.ipa.go.jp/security/vuln/10threats2018.html> - 組織における内部不正防止ガイドライン
https://www.ipa.go.jp/security/fy24/reports/insider/