内部不正とは、一般的に企業内部の者が企業の重要情報を外部に持ち出すことを指します。
内部不正による重要情報の漏洩は企業の存続に大きな影響を及ぼすため、正しい知識のもと適切な対策を講じることが重要です。
本記事では、
- 内部不正の特徴
- 内部不正が起きる要因
- 内部不正の重大事例
- 内部不正の基本原則
などについてお伝えします。
記事の後半では、内部不正防止の8つの対策も紹介しますので最後までご一読ください。
目次
内部不正とは?国内の実態も解説
内部不正とは、一般的に従業員や企業関係者によって企業内部の「重要情報」が持ち出され不正に扱われることを指します(※)。
重要情報には、
- 個人情報
- 重要技術情報
- 営業秘密
など、保護の対象となる情報が含まれています。
かつて情報処理推進機構(IPA)が出した報告書によれば、従業員数300名以上の企業において内部不正に直面したことのある割合は「8.6%」、従業員数300名未満の企業だと「1.6%」という結果がありました。
しかし、風評被害のおそれなどの理由で内部不正を公表しない企業もあり、実際には上記の割合よりも多いと予想されます。
また、同じくIPAが発表した「情報セキュリティ10大脅威 2023」のなかで、「内部不正による情報漏えい」は組織部門の4位にランクインしており、内部不正の脅威は企業にとって無視できないものと言えます。
※参考:情報処理推進機構(IPA)
「個人情報の持ち出し・漏洩」が発生すると企業の信用失墜につながり、大規模な損失の原因になるため対策の強化が必要です。
下記の記事では、企業の情報が漏洩してしまうことによるリスクや未然に取れる対策を紹介していますので、ぜひご参照ください。
※次章で解説するように、内部不正には個人情報漏洩だけではなく業務上横領やハラスメントなどが含まれることもあります
内部不正の主な種類
一般的に、内部不正といえば個人情報漏洩を指すことが多いです。
しかし、実は内部不正の種類には「個人情報の持ち出し・漏洩」以外にも次のようなものが挙げられます。
- データ消去
- 業務上横領
- 労務管理違反
- ハラスメント
たとえば、業務上横領の手口としてみられるのは「会社物品の無断売却」「会社の口座から自分の口座への不正送金」などです。
内部不正は、複数の従業員が結託して組織的に行われることもあります。
ここからは、内部不正の種類のなかでも特に多い「個人情報漏洩」に焦点を当てて、要因やリスク・対策などを解説します。
内部不正が起きる2つの要因
内部不正が起きる要因は2つあります。
- 人的要因
- 技術的要因
それぞれ詳しく見ていきましょう。
1. 人的要因
内部不正の人的要因とは、人によって引き起こされる原因のことです。
人的要因には、故意に重要情報を持ち出されること以外に「システムの誤操作」などヒューマンエラーによるものも含まれます。
なかでも、故意に行われる内部不正は個人的な動機が関わるため、人が不正を働く心理についての理解も必要です。
不正を働く心理は「動機」「機会」「正当化」の3つの要素から「不正のトライアングル」と言われ、この3要素が揃うと不正が起こりやすくなると言われています。
| 動機 | 不正を働こうとする誘因となるもの
|
| 機会 | 不正を行える機会がある状況
|
| 正当化 | 内部不正を行う従業員が、不正を正当なものとして捉えてしまう心理
|
そのため、「動機」「機会」「正当化」の3要素が揃わないような対策が必要です。
内部不正を防ぐ具体策に関しては、「内部不正防止の8つの対策!代表的な3つの対策を抜粋して解説」で紹介します。
2. 技術的要因
技術的要因とは、重要情報を保護するシステムの弱点が原因で起こるもので、次の例のように不正行為が容易に行える状態を言います。
【技術的要因の影響により内部不正が発生する例】
- セキュリティ対策が適切に施されておらず、パスワードなどの重要情報が漏洩しやすい
- 重要な情報にアクセス権限を設けておらず、権限のない者のアクセスを許している
- 重要情報へのアクセス・操作ログを確認しておらず、不正の検出や追跡ができない状態にしている
これは、「不正のトライアングル」の「機会」に当てはまり、内部不正のリスクを高めている状態です。
技術的な部分に弱点がないかを定期的にチェックし、随時対策を行うようにしましょう。
内部不正による4つの損失
内部不正によって起こる損失は、大きく下記の4つです。
- 金銭の損失
- 顧客の損失
- 事業の損失
- 従業員の損失
これらの損失が起きると、次のようなリスクにさらされるおそれがあります。
【内部不正が起きると発生し得るリスク】
- 企業の社会的な信用が低下する
- 企業の売上が減少する
- 刑事罰の対象になる
- 顧客や関係組織へ損害賠償を支払わなければならなくなる
- 企業存続の危機に陥る
いずれのリスクも事業の根幹を脅かすため、企業は最大限の防止措置を図ることが重要です。
内部不正の重大事例3選
ここでは、内部不正の重大事例を3つ紹介します。
- 株式会社ベネッセコーポレーション:約2,895万件分の個人情報が流出
- NISSHA株式会社:スマホセンサー技術の情報が漏洩
- 株式会社NTTドコモ:個人情報が最大約529万件流出
いずれの事例も、従業員の情報漏洩によって大きな損失が発生しました。
【事例1】株式会社ベネッセコーポレーション:約2,895万件分の個人情報が流出
2014年、株式会社ベネッセコーポレーションが所有していた会員の個人情報が、社外に漏洩していたことが発覚しました。
本事例で会員の個人情報を社外へ不正に持ち出していたのは、システム開発・運用を行っていたグループ会社の元社員です。
元社員が不正に取得した会員情報は、名簿業者へ売却されていたことがその後の調査で判明しました。
| 漏洩した情報 |
|
| 漏洩規模 | 約2,895万件分(推計) |
この情報漏洩の影響で、当時の代表取締役副会長と最高情報責任者が責任を取って辞任し、さらに大規模な顧客離れなどで、2015年の当期純利益は107億円の赤字となってしまいました。
【事例2】NISSHA株式会社:スマホセンサー技術の情報が漏洩
2017年、産業資材やデバイス事業を展開するNISSHAの元従業員が技術情報を不正に持ち出し、競合企業に漏洩させた事件がありました。
| 漏洩した情報 |
|
| 漏洩先 |
|
同社はデータアクセスの追跡などの不正防止策を行っていましたが、不正を防止できず、技術情報が中国の競合企業に流出する結果となってしまいました。
この事件によって、元従業員は懲役2年、罰金200万円の実刑判決を受けています。
【事例3】株式会社NTTドコモ:個人情報が最大約529万件流出
2023年3月30日、NTTドコモが業務委託をしている企業で、業務に使用しているパソコンから顧客情報が流出したおそれがあることが判明しました。
| 漏洩したおそれのある情報 |
|
| 漏洩規模 | 最大約529万件 |
NTTドコモは、流出元と想定されるパソコンをネットワークから隔離するなどの措置を行い、原因や被害について調査しています。
発表の時点で不正利用は確認されていませんでしたが、経過に注目したい事例です。
個人情報漏洩事件や被害事例について、さらに詳しく知りたい方は下記の記事をご一読ください。
内部不正防止の基本原則
独立行政法人 情報処理推進機構から出ている「組織における内部不正防止ガイドライン」では、内部不正防止の基本原則として下記の5つを制定しています。
- 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
- 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
※引用:独立行政法人 情報処理推進機構
本原則は、デレク・コーニッシュとロナルド・クラークの2人が提唱した都市空間における犯罪予防の理論を、内部不正防止に応用したものです。
上記の基本原則を踏まえながら対策を行うことで、内部不正が発生しにくい組織に近づけます。
続いて、内部不正の動機や機会を減らす具体的な対策について見ていきましょう。
内部不正防止の8つの対策!代表的な3つの対策を抜粋して解説
企業における内部不正への対策として、大きく8つのものが挙げられます。まずは、各対策と例をまとめた下記の表をご覧ください。
| 対策 | 例 | |
| 1 | 重要情報の指定 |
|
| 2 | アクセス権の指定 |
|
| 3 | 重要情報の物理的管理 |
|
| 4 | 技術面での対策 |
|
| 5 | 重要情報へのアクセス |
|
| 6 | 従業員や関係者への教育 |
|
| 7 | 法令遵守の徹底 |
|
| 8 | 職場環境の整備 |
|
本章では、この具体的な対策の中から代表的な3つを詳しく解説します。
【代表的な対策1】アクセス権の指定
企業の重要な情報はアクセス権を持つ内部者を指定し、情報を限定的に取り扱う必要があります。
アクセス権の付与は必要最低限の人数で、権限の付与が適切か定期的にチェックすることも重要です。
また、途中退職者の内部不正が多いことを踏まえ、重要情報へのアクセス権を持つ者が退職した際は、すみやかにアクセス権を破棄するよう定めましょう。
【代表的な対策2】技術面での対策
技術面については、下記のような対策があります。
【技術面での対策の例】
- 不正を監視するシステムの有効性を確認する(重要情報にアクセスした際にアラートが送信されるなど)
- 組織のシステムは、重要情報の外部記憶装置へのデータ移行を制限できるか確認する
- 外部から受け取った情報は、破棄までを手順に含めて管理する
- 重要情報をインターネットで受け渡す際は暗号化する
- 業務で重要情報を外部に持ち出し使用する場合、情報を漏洩しないような環境を選択する
ただし、これだけ対策を強化しても隙をついて内部不正が行われるおそれがあり、完全に情報漏洩を防げるとは限りません。
そこで、もし情報漏洩が発生したとしても、漏洩した情報からの被害を最小限に抑えられるように専門的な対策をしておくことが重要です。
たとえば、かっこ株式会社の「O-MOTION」は、Webサイトにアクセスした人物の操作情報や建物情報などをもとに不正判定ができるサービスです。
不正のおそれがあるアクセスをリアルタイムで検知し、管理者に知らせる機能があるため被害を最小限に抑えられます。
不正アクセスのみブロックし、正常なユーザーは通常どおりアクセスできることから、ユーザビリティを損なうこともありません。
トライアル導入もできる「O-MOTION」の詳細が気になる方は、下記のバナーをクリックのうえご確認ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
【代表的な対策3】従業員や関係者への教育
3つ目は、従業員や内部関係者に対して定期的な教育を行い、内部不正に対する意識を高めて対策する方法です。
具体例としては、
- 重要情報の取り扱いに対して定期的に周知する
- 従業員や派遣労働者と秘密保持契約を締結し、情報漏洩への意識を高める
などが挙げられます。
従業員に対するセキュリティ教育がされていないと、企業や組織の管理責任を問われるおそれもあるため対策が必要です。
当サイトでは、インターネットセキュリティの全容が漫画形式でわかる資料を無料配布していますので、セキュリティ教育を強化したい方はお気軽にダウンロードしてください。
まとめ
内部不正の要因や企業が受ける損失、重大事例などを紹介しました。
内部不正は重要情報に触れられる内部者によって引き起こされるため、大きな被害になりやすく事業の存続にも影響します。
そのため、下記の「内部不正防止の基本原則」をもとに具体的な対策を実施しつつ、専門的な対策もあわせて行うと安心です。
- 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
- 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
また、もし情報漏洩が発生して不正アクセスされたとしても、適切な対策を講じることで被害を最小限に抑えられます。
当サイトでは、不正アクセス被害後の対応手順マニュアルを無料配布していますので、もしもの備えをしておきたい方は下記のバナーをクリックのうえご確認ください。
\不正発覚した時に企業としてどう対応しますか?/ 
