不正アクセス

内部不正とは?2つの要因や重大事例、具体的な対策など徹底解説

内部不正とは、一般的に企業内部の者が企業の重要情報を外部に持ち出すことを指します。

内部不正による重要情報の漏洩は企業の存続に大きな影響を及ぼすため、正しい知識のもと適切な対策を講じることが重要です。

本記事では、

  • 内部不正の特徴
  • 内部不正が起きる要因
  • 内部不正の重大事例
  • 内部不正の基本原則

などについてお伝えします。

記事の後半では、内部不正防止の8つの対策も紹介しますので最後までご一読ください。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

内部不正とは?国内の実態も解説


内部不正とは、一般的に従業員や企業関係者によって企業内部の「重要情報」が持ち出され不正に扱われることを指します(※)。

重要情報には、

  • 個人情報
  • 重要技術情報
  • 営業秘密

など、保護の対象となる情報が含まれています。

かつて情報処理推進機構(IPA)が出した報告書によれば、従業員数300名以上の企業において内部不正に直面したことのある割合は「8.6%」、従業員数300名未満の企業だと「1.6%」という結果がありました。

しかし、風評被害のおそれなどの理由で内部不正を公表しない企業もあり、実際には上記の割合よりも多いと予想されます。

また、同じくIPAが発表した「情報セキュリティ10大脅威 2023」のなかで、「内部不正による情報漏えい」は組織部門の4位にランクインしており、内部不正の脅威は企業にとって無視できないものと言えます。

※参考:情報処理推進機構(IPA)

「個人情報の持ち出し・漏洩」が発生すると企業の信用失墜につながり、大規模な損失の原因になるため対策の強化が必要です。

下記の記事では、企業の情報が漏洩してしまうことによるリスクや未然に取れる対策を紹介していますので、ぜひご参照ください。

※次章で解説するように、内部不正には個人情報漏洩だけではなく業務上横領やハラスメントなどが含まれることもあります

内部不正の主な種類


一般的に、内部不正といえば個人情報漏洩を指すことが多いです。

しかし、実は内部不正の種類には「個人情報の持ち出し・漏洩」以外にも次のようなものが挙げられます。

  • データ消去
  • 業務上横領
  • 労務管理違反
  • ハラスメント

たとえば、業務上横領の手口としてみられるのは「会社物品の無断売却」「会社の口座から自分の口座への不正送金」などです。

内部不正は、複数の従業員が結託して組織的に行われることもあります。

ここからは、内部不正の種類のなかでも特に多い「個人情報漏洩」に焦点を当てて、要因やリスク・対策などを解説します。

内部不正が起きる2つの要因


内部不正が起きる要因は2つあります。

  1. 人的要因
  2. 技術的要因

それぞれ詳しく見ていきましょう。

1. 人的要因

内部不正の人的要因とは、人によって引き起こされる原因のことです。

人的要因には、故意に重要情報を持ち出されること以外に「システムの誤操作」などヒューマンエラーによるものも含まれます。

なかでも、故意に行われる内部不正は個人的な動機が関わるため、人が不正を働く心理についての理解も必要です。

不正を働く心理は「動機」「機会」「正当化」の3つの要素から「不正のトライアングル」と言われ、この3要素が揃うと不正が起こりやすくなると言われています。

動機不正を働こうとする誘因となるもの

  • 不当な解雇通知を受けた
  • 多額の借金がある
機会不正を行える機会がある状況

  • 重要情報を一人で管理している
  • 監査などの内部規制が整備されておらず、重要情報の取り扱いをチェックする機能がない
正当化内部不正を行う従業員が、不正を正当なものとして捉えてしまう心理

  • 能力を正当に評価しないのだから、不正をされても文句は言えないだろう
  • 情報を少しだけ持ち出しても誰も困らないだろう

そのため、「動機」「機会」「正当化」の3要素が揃わないような対策が必要です。

内部不正を防ぐ具体策に関しては、「内部不正防止の8つの対策!代表的な3つの対策を抜粋して解説」で紹介します。

2. 技術的要因

技術的要因とは、重要情報を保護するシステムの弱点が原因で起こるもので、次の例のように不正行為が容易に行える状態を言います。

【技術的要因の影響により内部不正が発生する例】

  • セキュリティ対策が適切に施されておらず、パスワードなどの重要情報が漏洩しやすい
  • 重要な情報にアクセス権限を設けておらず、権限のない者のアクセスを許している
  • 重要情報へのアクセス・操作ログを確認しておらず、不正の検出や追跡ができない状態にしている

これは、「不正のトライアングル」の「機会」に当てはまり、内部不正のリスクを高めている状態です。

技術的な部分に弱点がないかを定期的にチェックし、随時対策を行うようにしましょう。

内部不正による4つの損失


内部不正によって起こる損失は、大きく下記の4つです。

  1. 金銭の損失
  2. 顧客の損失
  3. 事業の損失
  4. 従業員の損失

これらの損失が起きると、次のようなリスクにさらされるおそれがあります。

【内部不正が起きると発生し得るリスク】

  • 企業の社会的な信用が低下する
  • 企業の売上が減少する
  • 刑事罰の対象になる
  • 顧客や関係組織へ損害賠償を支払わなければならなくなる
  • 企業存続の危機に陥る

いずれのリスクも事業の根幹を脅かすため、企業は最大限の防止措置を図ることが重要です。

内部不正の重大事例3選


ここでは、内部不正の重大事例を3つ紹介します。

  1. 株式会社ベネッセコーポレーション:約2,895万件分の個人情報が流出
  2. NISSHA株式会社:スマホセンサー技術の情報が漏洩
  3. 株式会社NTTドコモ:個人情報が最大約529万件流出

いずれの事例も、従業員の情報漏洩によって大きな損失が発生しました。

【事例1】株式会社ベネッセコーポレーション:約2,895万件分の個人情報が流出

2014年、株式会社ベネッセコーポレーションが所有していた会員の個人情報が、社外に漏洩していたことが発覚しました。

本事例で会員の個人情報を社外へ不正に持ち出していたのは、システム開発・運用を行っていたグループ会社の元社員です。

元社員が不正に取得した会員情報は、名簿業者へ売却されていたことがその後の調査で判明しました。

漏洩した情報
  • 登録者、登録関係者の氏名・性別・生年月日
  • 郵便番号
  • 住所
  • 電話番号
  • メールアドレス
漏洩規模約2,895万件分(推計)

この情報漏洩の影響で、当時の代表取締役副会長と最高情報責任者が責任を取って辞任し、さらに大規模な顧客離れなどで、2015年の当期純利益は107億円の赤字となってしまいました。

【事例2】NISSHA株式会社:スマホセンサー技術の情報が漏洩

2017年、産業資材やデバイス事業を展開するNISSHAの元従業員が技術情報を不正に持ち出し、競合企業に漏洩させた事件がありました。

漏洩した情報
  • スマートフォンなどに使用されるタッチセンサーの技術
漏洩先
  • 中国の競合企業

同社はデータアクセスの追跡などの不正防止策を行っていましたが、不正を防止できず、技術情報が中国の競合企業に流出する結果となってしまいました。

この事件によって、元従業員は懲役2年、罰金200万円の実刑判決を受けています。

【事例3】株式会社NTTドコモ:個人情報が最大約529万件流出

2023年3月30日、NTTドコモが業務委託をしている企業で、業務に使用しているパソコンから顧客情報が流出したおそれがあることが判明しました。

漏洩したおそれのある情報
  • 氏名
  • 生年月日
  • 住所
  • 電話番号
  • メールアドレス
漏洩規模最大約529万件

NTTドコモは、流出元と想定されるパソコンをネットワークから隔離するなどの措置を行い、原因や被害について調査しています。

発表の時点で不正利用は確認されていませんでしたが、経過に注目したい事例です。

個人情報漏洩事件や被害事例について、さらに詳しく知りたい方は下記の記事をご一読ください。

内部不正防止の基本原則


独立行政法人 情報処理推進機構から出ている「組織における内部不正防止ガイドライン」では、内部不正防止の基本原則として下記の5つを制定しています。

  1. 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
  2. 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
  3. 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
  4. 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
  5. 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する

※引用:独立行政法人 情報処理推進機構

本原則は、デレク・コーニッシュとロナルド・クラークの2人が提唱した都市空間における犯罪予防の理論を、内部不正防止に応用したものです。

上記の基本原則を踏まえながら対策を行うことで、内部不正が発生しにくい組織に近づけます。

続いて、内部不正の動機や機会を減らす具体的な対策について見ていきましょう。

内部不正防止の8つの対策!代表的な3つの対策を抜粋して解説


企業における内部不正への対策
として、大きく8つのものが挙げられます。まずは、各対策と例をまとめた下記の表をご覧ください。

対策
1重要情報の指定
  • 重要情報を把握する
  • 重要情報をランク分けする
  • 内部者に機密情報だとわかる表示をつける
2アクセス権の指定
  • 重要情報へのアクセス権を持つ内部者を指定する
  • 重要情報へのアクセス権を持つ者が退職した際に、アクセス権を破棄するように定める(途中退職者の内部不正が多いため)
3重要情報の物理的管理
  • 重要情報の保管場所や取り扱う場所を整備する
  • 重要情報が入った情報機器(PC、スマートフォン、タブレットなど)は持ち出せないようにする
  • 個人の情報機器の持ち込みを制限する
  • 情報機器を処分する際に、重要情報を完全に消去する
4技術面での対策
  • 不正を監視するシステムの有効性を確認する(重要情報にアクセスした際にアラートが送信されるなど)
  • 重要情報をインターネットで受け渡しする際は、暗号化する
5重要情報へのアクセス
  • 操作履歴の管理
  • 重要情報へのアクセス、操作履歴のログを保護する
  • システム管理者のアクセス、操作履歴は第三者が定期的に確認する
6従業員や関係者への教育
  • 重要情報の取り扱いに対して定期的に周知する
  • 従業員や派遣労働者と秘密保持契約を締結し、情報漏洩への意識を高める
7法令遵守の徹底
  • 就業規則を整備し、重要情報を保護する義務があることを理解させる
8職場環境の整備
  • 人事や業績に対して公平で客観的な評価をする
  • 適切な業務時間を守る
  • 従業員の単独作業を制限する

本章では、この具体的な対策の中から代表的な3つを詳しく解説します。

【代表的な対策1】アクセス権の指定

企業の重要な情報はアクセス権を持つ内部者を指定し、情報を限定的に取り扱う必要があります。

アクセス権の付与は必要最低限の人数で、権限の付与が適切か定期的にチェックすることも重要です。

また、途中退職者の内部不正が多いことを踏まえ、重要情報へのアクセス権を持つ者が退職した際は、すみやかにアクセス権を破棄するよう定めましょう。

【代表的な対策2】技術面での対策

技術面については、下記のような対策があります。

【技術面での対策の例】

  • 不正を監視するシステムの有効性を確認する(重要情報にアクセスした際にアラートが送信されるなど)
  • 組織のシステムは、重要情報の外部記憶装置へのデータ移行を制限できるか確認する
  • 外部から受け取った情報は、破棄までを手順に含めて管理する
  • 重要情報をインターネットで受け渡す際は暗号化する
  • 業務で重要情報を外部に持ち出し使用する場合、情報を漏洩しないような環境を選択する

ただし、これだけ対策を強化しても隙をついて内部不正が行われるおそれがあり、完全に情報漏洩を防げるとは限りません。

そこで、もし情報漏洩が発生したとしても、漏洩した情報からの被害を最小限に抑えられるように専門的な対策をしておくことが重要です。

たとえば、かっこ株式会社の「O-MOTION」は、Webサイトにアクセスした人物の操作情報や建物情報などをもとに不正判定ができるサービスです。

不正のおそれがあるアクセスをリアルタイムで検知し、管理者に知らせる機能があるため被害を最小限に抑えられます。

不正アクセスのみブロックし、正常なユーザーは通常どおりアクセスできることから、ユーザビリティを損なうこともありません。

トライアル導入もできる「O-MOTION」の詳細が気になる方は、下記のバナーをクリックのうえご確認ください。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

【代表的な対策3】従業員や関係者への教育

3つ目は、従業員や内部関係者に対して定期的な教育を行い、内部不正に対する意識を高めて対策する方法です。

具体例としては、

  • 重要情報の取り扱いに対して定期的に周知する
  • 従業員や派遣労働者と秘密保持契約を締結し、情報漏洩への意識を高める

などが挙げられます。

従業員に対するセキュリティ教育がされていないと、企業や組織の管理責任を問われるおそれもあるため対策が必要です。

当サイトでは、インターネットセキュリティの全容が漫画形式でわかる資料を無料配布していますので、セキュリティ教育を強化したい方はお気軽にダウンロードしてください。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

 まとめ


内部不正の要因や企業が受ける損失、重大事例などを紹介しました。

内部不正は重要情報に触れられる内部者によって引き起こされるため、大きな被害になりやすく事業の存続にも影響します。

そのため、下記の「内部不正防止の基本原則」をもとに具体的な対策を実施しつつ、専門的な対策もあわせて行うと安心です。

  • 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
  • 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
  • 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
  • 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
  • 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する

また、もし情報漏洩が発生して不正アクセスされたとしても、適切な対策を講じることで被害を最小限に抑えられます。

当サイトでは、不正アクセス被害後の対応手順マニュアルを無料配布していますので、もしもの備えをしておきたい方は下記のバナーをクリックのうえご確認ください。

\不正発覚した時に企業としてどう対応しますか?/

ピックアップ記事

  1. クレジットマスターの手口や被害とは?不正利用を防ぐための対策3選
  2. 不正アクセスを検知する「不正検知システム」とは?
  3. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  4. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
  5. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

関連記事

  1. 不正アクセス

    不正なポイント交換被害に遭遇したときの対処法や事前にできる対策を解説

    近年、不正なポイント交換の被害が増加傾向にあります。また、不正の手口が…

  2. 不正アクセス

    ダークウェブとは?仕組みから被害対策まで徹底解説

    「ダークウェブってなに?」「実際に利用することはできるの?」…

  3. 不正アクセス

    不正受給とは?発生する3つの理由や対処法・被害を防ぐ対策

    不正受給とは、給付金や補助金などを不正な手段を用いて受給することです。…

  4. 不正アクセス

    なりすましメールとは?仕組みや見分け方、7つの対策まで徹底解説

    なりすましメールとは、悪意ある第三者が企業や団体を騙り送信するメールの…

  5. 楽天ポイント 不正
  6. 不正アクセス

    不正アクセスが発生した場合の報告先6つ!対処法や再発防止策も紹介

    「不正アクセスに遭って情報が漏洩したら、どうすればよいのだろう」「…

フィッシング対策状況を今すぐチェック。「フィッシング対策セルフチェックシートWebサイトのなりすまし対策に!鉄壁PACK for フィッシング
クレジットカードの不正利用対策はしていない!?独自調査レポート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード
自社の商品の転売状況を「転売チェッカー」で調べてみませんか?

おすすめ記事

  1. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  2. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  3. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  4. QRコード決済は危険?不正利用される原因や安全に使える電子決…
  5. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正アクセス

    UTMとは?主な6つの機能とメリット・押さえておくべきポイントも解説
  2. 不正アクセス

    不正アクセスを防ぐ9つの対策とは?不正手口や4つの対処法も解説
  3. 不正検知・ノウハウ

    【動画有】iPhoneの警告「このパスワードはデータ漏えいで検出されたことがある…
  4. 不正検知・ノウハウ

    クレジットカード・セキュリティガイドライン【4.0版】のポイントを解説
  5. なぜECサイトで不正注文が発生するの?

    不正検知・ノウハウ

    なぜECサイトで不正注文が起こるの?手口とEC事業者が受けるリスク、対策について…
PAGE TOP