内部不正とは?2024年の事例を交えながら情報漏洩の主な要因と対策をご紹介

内部不正とは?2024年の事例を交えながら情報漏洩の主な要因と対策をご紹介

1:内部不正とは何か?その重要性

「内部不正」とは、企業や組織内の情報を従業員や内部にいる人間が悪意を持って、または無意識に外に持ち出したり、社内システムにアクセスして情報を取得したり、意図的にデータを削除することです。企業にある機密情報の持ち出しは、大きな事件に発展することもあります。

漏洩した情報の重要度によっては、会社の経営にダメージを与えたり、損害賠償などによる経済的な損失の発生、社会的信用の失墜など、組織の競争力の大幅な低下に繋がります。

なぜ、このような「内部不正」が起こるのでしょうか?
この記事では、2024年に起こった事例を交えながら情報漏洩を防ぐための実用的な対策や、企業向けのガイドラインを紹介していきます。

2:情報漏洩の種類

情報漏洩には外部要因内部要因の大きく2つの種類があります。
外部要因とは、第三者による攻撃、いわゆるサイバー攻撃による情報漏洩を指します。
一方、内部要因には、紛失や置き忘れといった人為的なミスと、不正な持ち出しによる意図的な情報漏洩の2つが含まれます。
「外部からの攻撃」と「内部からの情報漏洩」は、企業や組織に対する性質の異なる脅威として注目されています。この2つの脅威は、それぞれ性質が異なるだけでなく、求められる対策も大きく異なります。

IPA(独立行政法人 情報処理推進機構)が公開している「情報セキュリティ10大脅威 2024[組織]」によると、TOP3は、以下のとおりです。

  • 1位:ランサムウェアによる被害
  • 2位:サプライチェーンの弱点を悪用した脅威
  • 3位:内部不正による情報漏えい等の被害

情報セキュリティ10大脅威 2024 [組織]

順位 「組織」向け脅威 初選出年 10大脅威での取り扱い(2016年以降)
1 ランサムウェアによる被害 2016年 9年連続9回目
2 サプライチェーンの弱点を悪用した攻撃 2019年 6年連続6回目
3 内部不正による情報漏えい等の被害 2016年 9年連続9回目
4 標的型攻撃による機密情報の窃取 2016年 9年連続9回目
5 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 2022年 3年連続3回目
6 不注意による情報漏えい等の被害 2016年 6年連続7回目
7 脆弱性対策情報の公開に伴う悪用増加 2016年 4年連続7回目
8 ビジネスメール詐欺による金銭被害 2018年 7年連続7回目
9 テレワーク等のニューノーマルな働き方を狙った攻撃 2021年 4年連続4回目
10 犯罪のビジネス化(アンダーグラウンドサービス) 2017年 2年連続4回目

引用元:IPA「情報漏洩10大脅威2024

1位と2位には、「外部攻撃」がランクインしています。
攻撃者が組織外部に存在し、特定の目的(情報窃取、金銭要求、イメージダウンなど)を持って実行することが特徴です。近年外部からの攻撃が急増していますが、内部不正による情報漏洩も変わらず多いことがわかります。

ここでは、3位にランクインした「内部不正」について事例を紹介していきます。

3:2024年に実際に起きた内部不正の事例

今年も多くの情報漏洩ニュースがありましたが、一例をご紹介いたします。

4月 信用金庫の従業員が2010年4月から2024年2月までの約14年間、顧客情報(氏名、住所、電話番号、性別、口座番号、取引残高など)が記載された業務に関係する書類を自宅に持ち帰っていたことが明らかになった。
今年2月の内部監査で、従業員が社内規定に反して重要書類を持ち帰っていたことが発覚した。
同信用金庫は、従業員へのコンプライアンス教育が不十分だったこと、管理監督が不十分だったことが書類の持ち帰りの原因で、今後は内部管理体制の強化と、役職員におけるコンプライアンス意識の向上を図るとしている。
8月 不動産会社大手の元社員による個人情報の不正持ち出しがあったと発表した。都内のマンションの不動産登記簿に記載されている所有者の情報、計2万5406人分の個人情報が持ち出された。元社員は、同業他社へ転職の際に持ち出したデータの一部をダイレクトメールの送付に利用していた。同社は、退職時に機密保持の誓約書を提出していたが、元社員はこの誓約を破り個人情報を持ち出していた。
再発防止策として、全従業員への再教育の実施、外部へのデータ送信時の監視強化、社内業務管理システムへのアクセス制限の見直しを行った。
9月 生命保険会社の元従業員が979名分のお客様の個人情報を印刷した紙を不正に持ち出し、転職先の企業へ開示、転職先企業での一部利用が明らかになった。生命保険会社は、契約者から個人情報漏洩の疑いに関する連絡を受け、調査をしたところ発覚に至った。
元従業員の転職先企業では、一部のお客様に架電していたが、その後個人情報を印刷した紙は破棄されている。同生命保険会社は、管理職や営業社員への教育を徹底するとともに、退職予定者による顧客情報アクセスの制限、印刷制限等の措置を強化する。
11月 人材紹介業の元従業員が、サービスの登録者や取引先に関わる個人情報1,306名分の情報を転職先の企業に不正に持ち出したことが明らかになった。
被害を受けた企業は、今後は退職前にデータの持ち出しに関するログの調査を実施するなど、監視体制を見直し、従業員に対するセキュリティ教育の徹底を図ることになった。

4:内部不正が起こる要因

組織で内部不正が起こる要因には、次のようなものがあります。

内部不正が起こる要因

人的要因

やりたい仕事と実際の仕事にギャップがあったり、自分が正当に評価されていないと感じたり、プライベートな悩みを抱えているときなど、これらが原因で仕事に対するモチベーションが低下することがあります。このような状況が続くと、業務内容や待遇への不満が高まり、場合によっては会社に悪意を抱き、経営にダメージを与えようとする行動に繋がる可能性があります。

また、個人の生活に関する問題(借金、家族の問題)は、周囲の人間に相談しづらい傾向があり、精神的に追いつめられて、何かのきっかけで内部不正を行ってしまうことがあります。
他にも、過度なプレッシャーやストレスを抱えているときも、ミスを起こしやすくなります。例えば、メールの誤送信や、操作ミスにより重要な情報が社外に流出してしまうリスクも考えられます。

組織的要因

社内で情報セキュリティに関するガイドラインが定められていなかったり、インシデントが発生したときの体制が構築されていない等、情報セキュリティに関する認識の甘さがあると、内部不正があったとしても、そもそも発見できなかったり、発見が遅れたり、外部からの指摘で気づくことになります。
社内ルールを作成したら、従業員を含めた内部で働く人全員に社内ルールの周知・徹底を図らなければなりません。ルールを定め、それに沿った運用をしなければ、ルールを作る意味がなくなってしまいます。

環境的要因

会社への訪問客や外部の業者が自由に出入りできる環境では、セキュリティや安全面での問題が発生します。

社内にも配慮すべき環境要因があります。

1.アクセス権限

他に、社内ネットワークや業務で利用するシステムやSaaS、クラウド環境にアクセスするためのアカウント設定や権限が見直されずに放置されていると、アクセス権を不正利用した内部不正が行われるリスクがあります。

例えば、退職者のアカウントがそのままになっていたり、休職者のアクセス権が停止されず使える状態だったり、必要以上のアクセス権限が付与されている状態になっていませんか。外部から容易に社内ネットワークに接続できるような状態になっていませんか。

2.ログ監視

従業員が利用する端末のログや、入退出の管理、監視カメラの設置ができていないケースでは、不正行為の発見が遅れたり、証拠が見つからなかったり、影響範囲の把握が困難になります。

3.従業員が使用する端末の設定

社内の情報をUSBやスマートフォン、クラウド等の外部ストレージにコピーできてしまう状態も内部不正が起こるリスクの1つになります。重要書類を印刷できてしまうことも紙での持ち出しリスクがあるため問題です。

他にも、クラウド環境やリモートワークの普及に伴い内部不正に関連するリスクも変化し、新たな課題が生じています。

従業員がインターネットを経由して、どこからでも業務に必要なシステムにアクセスできるようになりました。
適切なアクセス権限を設定しないと、従業員が必要のないデータにアクセスできてしまいます。
リモートワークで、セキュリティ対策が不十分な私的な端末を持ち込み(BYOD)、業務に利用することで、不正アクセスや情報漏洩のリスクが高まります。更に、重要書類を印刷することも重要情報漏洩の原因になり得ます。リモートワークで姿が見えないため、操作をしているのが従業員本人なのか、なりすましなのか判断が難しいということもあります。

「不正のトライアングル」

アメリカの犯罪学者であるドナルド・レイ・クレッシー氏は、犯罪調査に基づき、組織の内部関係者が不正行為を行う原因となる3つの要素を導きだしました。

不正のトライアングル
  • 動機:不正行為をはたらくことに至った事情(例:不満、ストレス)
  • 機会:不正行為を容易に実行できる機会や環境(例:監視体制の不備、セキュリティの甘さ)
  • 正当化:不正行為をしたことに対して、都合のよい言い訳(例:誰にもバレない)

これらの3つの要素を「不正のトライアングル」と呼び、3つの要素が揃ったときに人は不正行為を働くと言われています。

たとえば、給料が低いことを不満に思う(動機)従業員が、経理担当者のチェックが甘いことを知って出張旅費の申請を水増し(機会)して、「適切な給料をもらっていないから出張旅費の水増しくらい問題ない」と思う(正当化)ことが挙げられます。

5:内部不正を防ぐための具体的な対策

技術的な対策

IT資産管理やアクセス制限ツールの導入

大前提として、内部不正を防ぐためには、社員が利用している端末を管理する必要があります。「IT資産管理」を導入することで、端末の台数の把握や、端末の操作ログ、ネットワークのログが取得できるようになります。事例の中には操作ログを調査することで、原因が特定されているケースもあります。

ログの取得や保存は、内部不正だけでなく、外からの侵入やサイバー攻撃を受けたときの確認や、証拠として残すことができます。社員を疑うことではなく守るという意味でも、ログを取得することは大切です。

IT資産管理の賢い選び方とは?クラウドで社内PCなどを管理

また、外部デバイスへの書き込みや、フリーWi-Fiへの接続を制御できるツールや、業務に不要なWebサイトの閲覧を規制するツールもあります。
更には建物や部屋への出入口に監視カメラを設置したり、入退出システムの管理などを行い、不法侵入を防いだり万が一トラブルが発生した際にはあとから調べることができる環境を作ることも大事です。

これらのツールを用いて「可視化」することが大事です。

組織的な対策

ガイドラインの利用

IPAのサイトには「組織における内部不正防止ガイドライン」が公開されています。

IPAのガイドライン:https://www.ipa.go.jp/security/guide/insider.html

内部不正防止の基本5原則

  • 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
  • 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
  • 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
  • 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
  • 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する

部門別の取り組み

・経営者や管理部門を中心とした取り組み
経営者や管理部門が中心となり、基本方針を策定します。自社の情報取り扱いポリシーを作成し、内部不正に関する就業規則を設定します。社内に存在する情報資産(機密情報/特殊な技術/個人情報等)を把握し、情報を取り扱うための体制を整備します。また、情報資産には重要度を設定します。

定めた企業の情報セキュリティ方針を社外に情報発信することや、万が一インシデントが発生した際の窓口を設置することも必要です。

重要情報の内容、情報を取り扱う部門や担当者の把握、情報の重要度に応じた管理担当者を設定します。情報取り扱いポリシーの適用範囲は、自社や関連部門に留まらず、国内外の委託先にも及びます。内部不正を発見したときに匿名で通報できる窓口を設けることも抑止力になります。

・情報システム部門を中心とした取り組み
業務内容や権限に応じたアクセス権を設定します。アクセス権は必要な人だけが操作できるよう、最小限にします。また、退職予定者や異動者が発生した場合は、こまめに設定を見直し、退職者がアクセスできないようにアカウントを削除することも必要です。

さらに、システム操作履歴や、不自然な時間帯のシステムアクセス、ネットワーク接続ログを日々確認するように徹底します。他にも、定期的に外部送信メールのチェックやPCやネットワークのログを確認・保存するようにします。怪しいログを発見した際は、速やかに対応部門に情報共有し、該当社員への聞き取り調査を実施します。

教育の徹底

内部不正に対する体制が整ったら、コンプライアンス研修を通じて、就業規則に追加した内部不正に関する変更点を説明します。併せて監視カメラの設置や入退出管理システム、IT資産管理等のツールの導入についても周知します。
全従業員に対してコンプライアンス教育を繰り返し行い、万が一不正行為や怪しい行動を発見した際には速やかに報告するように促します。

また、守秘義務や必要に応じて競合他社に転職できないよう誓約書を提出させる等の対策も有効です。さらに、従業員に過度なプレッシャーを与えたりストレスを感じさせない良好な職場環境を作ることも、重要な対策の1つです。

6:まとめ

内部不正とは、企業や組織の内部に所属する人間(従業員や契約者など)が、その立場や権限を利用して企業の情報を不正に持ち出し、会社の経営にダメージを与える不正行為を指します。不正行為には、情報漏洩、業務妨害、知的財産の窃取、財務的な不正など、組織のルールや法律に違反する行為が含まれます。

特に情報漏洩は、企業の信頼や競争力に影響を及ぼす深刻な問題です。

内部不正を引き起こす動機は様々です。競合他社への転職で優位に立ちたいという欲求、自身の評価が低いことへの不満、金銭的な困窮から会社の機密情報を競合他社に売却して対価を得ようとする行為、さらには悪気がなくても不注意や知識不足が原因で、不正行為につながってしまう場合もあります。

また、企業で取り扱う情報の管理がずさんであったり、情報セキュリティガイドラインが定められていなかったり、監視カメラや端末のログが取得されていない、またはログを確認せずに放置している状況では「でき心」から悪意を持った内部不正を招くリスクも高まります。

内部不正を防ぐために組織全体で取り組むべきことは、基本方針を策定し、情報セキュリティガイドラインを設け、就業規則に内部不正に関する規定を加えます。そうすることで、万が一セキュリティインシデントが発生した際にも、ガイドラインに従った迅速な対応が可能となります。また、「情報セキュリティ方針」を示すことで、企業としての責任ある姿勢を社内外にむけて宣言でき、取引先や顧客からの信頼を得ることにも繋がります。

設備面では、防犯カメラや入退出管理システムの導入と適切な管理、従業員が使用する端末でのログ取得や外部デバイスに制御をかけるようなツールを導入することが重要です。また、情報資産に重要度を設定して責任者を設けることや、業務内容や権限に応じたアクセス権を設定し必要な人のみが操作できる環境を整えることも有効です。

企業でのセキュリティ対策を従業員全体に周知し、情報資産を取り扱うすべての社員が情報セキュリティポリシーで定めた内容を順守できるよう、繰り返し教育することで、社員や従業員の意識の向上や内部不正のリスク低減を目指します。

  • 内部からの情報漏洩で求められるPCのセキュリティ対策
  • 内部からの情報漏洩で求められる
    PCのセキュリティ対策
    【簡単なチェックリストつき】
    実際にあった情報漏洩時における損害賠償や、
    エンドポイントの対策についてご紹介しています。