近年国内の大手企業において「内部要因による情報漏洩事件」が多く発生しています。
本記事では、セキュリティインシデントとして注目される内部不正について解説します。

内部不正とは、組織内部の人間が悪意を持って、または無意識に情報システムやデータに対して不正なアクセスや操作を行い、漏洩やデータの削除などの不正な行為を指します。
内部不正による情報漏洩は、それ自体の影響以上に組織の体質や体制を疑問視されやすいため、組織として万全な対策を施す必要があります。

内部不正は業務上アクセスが認められた正規の従業員や関係者によって行われます。情報へのアクセスを禁止できない状況で情報漏洩対策を行うためには、何をすればよいのでしょうか。

この記事では、内部不正が発生する原因や事例とそれを防ぐために考えられる対策を紹介します。

内部不正とは

情報セキュリティにおける内部不正とは、組織内部の人間が悪意を持って、または無意識に情報システムやデータに対して不正なアクセスや操作を行うことです。
内部不正は、サイバー攻撃などと同様に組織の情報資産に対する脅威の一つであり、企業や組織にとって重大なリスクとなります。
例えば、内部の不正行為によって特許や専門的な技術情報が競合他社に漏れると、市場における競争力が失われてしまうことがあります。

内部不正の定義

IPAが発表した「組織における内部不正防止ガイドライン」において、内部不正とは以下のように定義されています。

引用：IPA「組織における内部不正防止ガイドライン」

「内部不正による情報漏洩」の動向

IPAが公開している「情報セキュリティ10大脅威 2024（組織編）」のランキングでは、1位の「ランサムウェアによる被害」をはじめとして、年々外部からのサイバー攻撃に関する脅威の項目が増えてきました。ランキングの8割が、外部脅威に関する内容となっています。

それに対して、「内部不正による情報漏洩」は件数は少ないものの、毎年ランクインしており、一昨年は5位、昨年は4位、今年は3位と、脅威としての認知が年々上昇していることがわかります。

参照：IPA | 情報セキュリティ10大脅威 2024　※グラフはIPA公表資料よりMOTEXにて作成

内部不正による影響

内部不正による情報漏洩が起きてしまうと企業にとってどのような影響があるのか。代表的な3つの影響をご紹介します。

企業の評判・信用の低下

内部不正による情報漏洩が発生すると、企業の評判や信用が大きく低下することがあります。
情報漏洩は、顧客や取引先に対する信頼を損なうだけでなく、企業のブランドイメージや市場価値にも悪影響を与える可能性があります。
信頼が失われると、顧客はその企業との取引を避けるようになり、新規顧客の獲得も困難になることが予想されます。また、取引先も信用リスクを懸念して契約を見直すことがあり、企業のビジネスチャンスが減少することが考えられます。これらの結果、企業の売上や利益が低下し、経営状況が悪化する可能性があります。

法的責任と損害賠償

内部不正による情報漏洩が発生した場合、企業は法的責任を問われることがあります。情報漏洩が個人情報保護法や業界固有の規制に違反している場合、企業は罰金や業務停止命令などの行政処分を受ける可能性があります。
また、情報漏洩によって被害を受けた顧客や取引先は、企業に対して損害賠償を請求することができます。損害賠償額が大きい場合、企業の財務状況に大きな影響を与えることがあります。さらに、訴訟費用や弁護士費用などの間接的なコストも発生するため、企業にとって大きな負担となります。これらの法的責任や損害賠償が企業の経営状況を悪化させることがあり、長期的なビジネス展望にも影響を与える可能性があります。

内部統制の強化とコスト増

内部不正による情報漏洩が発覚した企業は、再発防止策として内部統制を強化する必要があります。これには、セキュリティシステムの導入や改善、従業員の教育・研修、内部監査の強化などが含まれます。
これらの対策は、企業にとってコストが増加することがあります。特に、最新のセキュリティ技術の導入や専門家の雇用には費用がかかることがあります。また、従業員の教育・研修には時間と労力が必要であり、生産性の低下や業務の遅れが発生することがあります。

内部不正の主なルート

IPA（独立行政法人情報処理推進機構）が2021年3月に実施した「企業における営業秘密管理に関する実態調査2020」によると、営業秘密の漏えいが発生したルートは『中途退職者（役員・正規社員）による漏えい』が36.3％と最も多くなっている。
次いで『現職従業員等の誤操作・誤認等による漏えい（21.2％）』、『現職従業員等のルール不徹底による漏えい（19.5％）』となっている。

出典：IPA「企業における営業秘密管理に関する実態調査2020調査概要説明資料」

内部不正の事例

2023年にも、大規模企業における「内部犯罪による情報流出事件」が続いています。

実際に、9月には総合商社で「転職先に名刺データを不正に持ち出す」事件が発生し、
10月には通信企業の子会社で「元派遣従業員による顧客情報の不正な流出」事件など、大きなインシデントが相次いで起こっています。

商社の従業員が、前職から名刺データを不正に持ち出した事件

2023年9月、大手総合商社で、従業員が前職での営業先などの名刺データを、不正に転職先に提供し、個人情報保護法違反の疑いで逮捕された事件がありました。

逮捕された40代の男性は、転職元の「名刺情報管理システム」のログインIDやパスワードを、転職先の従業員と不正に共有していました。このシステムには数万件の名刺データが保管されており、共有されたIDやパスワードを使えば、すべての名刺データにアクセスできる状態でした。

通信企業の子会社で、元派遣従業員が約900万件の顧客情報を不正に流出させた事件

2023年10月、大手通信企業の子会社で、コールセンターシステムの従業者（元派遣従業員）が、サーバーに不正アクセスし、約900万件の顧客情報を流出させる事件が起こりました。
事件当時、犯人は保守作業用のアクセス権を利用し、顧客情報が保管されているサーバーに自由にアクセスできる状況でした。顧客データを自分の業務端末にダウンロードし、外部から持ち込んだUSBメモリに保存して、情報を不正に持ち出していたとされています。

元派遣従業員は、盗んだ顧客情報を「名簿業者と取引」しており、データには大手通信企業の顧客59社から預かった個人情報（氏名、電話番号、クレジットカード情報など）が含まれていたため、被害の拡大が懸念されています。

これらの企業で「内部犯罪による情報流出事件」が防げなかった背後には、以下のような要因が考えられます。

・機密情報のダウンロードや外部への持ち出し等、不正行為を検出し管理者に通知する仕組みが整備されていなかった
・定期的な「操作ログ」の確認が行われていなかった
・機密情報へのアクセス権限管理が適切でなかった（担当者や管理職だけにアクセス権限を与えるなどの対策が不十分だった）

内部不正はなぜ起こる？

内部不正は、「動機」「機会」「正当化」の3つの要素が顕在化したときに発生しやすいと考えられています。

動機

不正を行わざるを得ないと考えてしまう状況を指します。
業務を遂行する中で、責任やプレッシャーはもちろん人間関係や本人の気質にも起因して、様々な状況で追い詰められてしまうことがあります。

上司や同僚に相談すれば解決できる問題であっても、それができない環境や従業員を見逃さないことが重要です。追い詰められた本人は、問題を解決すべく不正行為を選択してしまう可能性が高まります。

機会

不正を行う機会がある環境を指します。
セキュリティを担保するためのルールは業務を一手間増やす場合もあるため、誰にも指摘されず発覚もしない環境であれば、ルールを無視して不正行為を行う可能性が高まります。
承認フローが形骸化している、業務が属人化しているなどの環境も、不正が起こりやすくなると考えられます。

近年ではテレワークの拡大もあり、上長や同僚の目が届きにくい労働環境にシフトしてきました。不正を行う機会が増加する可能性を意識し、内部不正防止策を講じる必要性は高まっていると言えるでしょう。

正当化

人は不正を行うときに、良心や不正発覚のリスクを意識し葛藤すると考えられています。
正当化は、このような葛藤から不正を行う方向へ判断を傾かせる理由付けを指します。
確かに、不正を行えば目の前の問題がとりあえず解決するというケースはゼロではありません。

不正を行う本人の中で問題解決の優先度が高くなってしまうことが、内部不正の実行に繋がります。

内部不正をさせない環境作り

人間の心理がきっかけとなりやすい内部不正は、サイバー攻撃対策とは別の視点による対策が必要です。内部不正を防止する3つの観点を紹介します。

内部不正自体を防止する仕組み

主に不正を行う「機会」への対策です。
不正を防止するためには、不正行為自体を行えない環境を実現することが最善です。それが難しい場合は、組織として不正を見逃さない仕組みを導入するとよいでしょう。

多くの場合は資産管理ツールを活用し、ツールの機能と業務をマッチさせた仕組みを作ることで実現します。

内部不正を行わせないシステム

内部不正による情報漏洩は、USBメモリなどの記憶媒体へ機密情報をコピーして持ち出す手口が多い傾向にあります。組織が意図していない記憶媒体に機密情報を保存できてしまう環境が、このケースでの大きな問題点と言えるでしょう。

組織内でのルールや注意喚起も大切ですが、前述したように内部不正を行う人は通常の判断能力を失っている可能性があります。
組織が許可していない記憶媒体の使用が不可能なシステム環境を整え、不正を行おうとしてもシステムによりそれを防ぐことが重要です。

内部不正を見逃さない環境

業務上の正当な作業でアクセスした情報を不正に利用するケースも存在します。
この場合、作業自体を禁止することはできないため、監視を強化することが大切です。
作業者の操作ログを取得し、適切な業務遂行を行っていることを確認できる環境を整えましょう。

また、一連の業務を特定の従業員に集中させないことも重要です。
担当者の裁量に業務方法が任されている状況では、魔が差してしまったときにそれを止めるタイミングが極端に少なくなります。一連の業務に複数人の担当者をつけることで、相互監視が行われる環境を実現することが可能です。

労働環境の整備

主に不正の「動機」と「正当化」への対策です。
不正行為へ踏み切る原因となる過度なストレスや組織への不満に対する策を講じます。
組織の雰囲気や体質を変えることは一朝一夕では実現できず、従業員だけではなく経営層も積極的に労働環境の整備に取り組む必要があります。

また、内部不正を行った人物に対する処罰を明確化し、例外なく実行することも大切です。

ストレスやハラスメントのケア

存在する不和や不満に対する組織としての対応です。
具体的には、相談窓口の設置や管理職へのハラスメント講習が該当します。これだけでは直接的に解決へ結びつかないケースだとしても、組織として状況を把握することで個別の対応策を検討することができるようになります。

また、組織が従業員を大切に扱っていると示すこと自体が、不満を減らすことにも繋がるでしょう。

内部不正チェックシートの活用

IPA（独立行政法人情報処理推進機構）により、内部不正チェックシートが公開されています。多くの職種に当てはまる内容となっているため、自社に合わせてカスタマイズして活用するとよいでしょう。

経営層から一般社員まで組織に属する全ての人にチェックシートを記入してもらい、それを集計することで、自組織に不足している内部不正防止対策を確認することができます。
その結果をもとに、適切ではないオペレーションで遂行している業務の改善に着手し、安全性を高めます。

従業員のITリテラシー向上

内部不正のリスクを正しく理解し、適切な判断を行えるようにすることが目的です。
悪意を持たずに行った行動が結果的に内部不正へ繋がることを防止します。

従業員教育

従業員に対して、ITリテラシー教育を実施します。ITリテラシーは個人によって差があることも多く、全体レベルの底上げを意識して行うとよいでしょう。
安易な行動によるセキュリティインシデントの発生を防止し、現在行っている業務のリスクを発見する可能性を高めることにも繋がります。

対策が難しい内部不正ですが、労働環境の改善でリスクを抑えることができます。
現場レベルの改善だけではなく、組織全体として内部不正対策に取り組みましょう。

LANSCOPE エンドポイントマネージャー クラウド版で行う内部不正対策

エムオーテックスが提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」には、内部不正対策に有効な機能が備わっています。

業務で使用するPCはもちろん、スマホやタブレットといったモバイル端末の情報漏洩対策も一元的に管理できます。
▼主な機能一例
・PCの「操作ログ」を取得し、最大5年分保存可能
・PC・スマホの利用状況を「レポート」で見える化
・従業員の不審なファイル持ち出しや操作は、アラートで管理者へ通知
・デバイスの利用制限や、万が一の紛失時に役立つリモートロック・リモートワイプ
・デバイスの位置情報の自動取得
・Webサイトや使用するアプリの制御・管理

など

内部不正対策には欠かせないPC の操作ログは、最大5年分の保存が可能です。

情報漏洩の要因として多いのは「退職者による情報の持ち出し」や「従業員による誤操作」があります。
操作ログを収集することで、「誰が」「いつ」「どのファイル」を操作したのかを確認することができます。また操作ログを取得してることを従業員に周知することで内部不正の抑制にも繋がります。

まとめ

内部不正について、内部不正による情報漏洩が発生するルートや事例、対策などをお伝えしました。