企業に対するインターネット上での権利侵害対応の実務 Part 1
2023年8月3日
情報漏洩対策は何をすべき?原因や事例、流出後の対処法も紹介
2023年8月7日
中途退職者や現役従業員による「内部不正」は、外部からのサイバー攻撃同様に、どんな組織においても他人事ではありません。ここでは、内部不正の現状や企業が被るリスク、不正が起こる原因などの基礎知識を解説。具体的な事例や未然に防ぐための対策方法もあわせて紹介します。
内部不正とは?
内部不正とは、企業・組織の関係者や元関係者による不正行為を指し、金銭目的などによる故意によるものだけでなく、操作ミスなどのケースも含まれます。内部不正といってもさまざまあり、機密情報や情報資産を無断で持ち出す情報漏洩、水増し請求や違法なキックバックなど金銭的な横領、財務情報の粉飾などの会計不正、品質検査結果や実験結果のデータ改ざんなど、多岐に渡ります。
内部不正の現状
内部不正の中でも例えば情報セキュリティに関する内部不正は深刻で、その年に社会的影響が大きかった情報セキュリティの事案をランキング形式で発表する「情報セキュリティ10大脅威 2023」によると、「内部不正による情報漏えい」は第4位。前年5位からワンランクアップしており、社会的影響が増加しています。
※参考 情報セキュリティ10大脅威 2023(IPA) https://www.ipa.go.jp/security/10threats/10threats2023.html
内部不正による企業のリスク
内部不正によって顧客や取引先に被害を与えた場合、損害賠償などの経済的損失が発生します。会社としての社会的信用も失墜し、業界における競争力も低下してしまいます。会社の存続そのものを脅かすだけでなく、最悪の場合は刑事罰の対象となる可能性もあります。
内部不正が起こる原因
内部不正が起こる原因について、「不正のトライアングル理論」をもとに不正発生のメカニズムを解説します。
「不正のトライアングル」による不正リスクとは
「不正のトライアングル理論」とは、人が不正を行う過程をモデル化した理論で、不正調査やリスク管理の分野で一般に用いられている考え方です。 不正の発生原因には「動機」「機会」「正当化」の3要因が存在すると定義しています。
「動機」は、本人が不正を働くための動機。金銭的な問題や欲求を抱えていたり、会社から重いノルマを課せられていたり、また業務上のミスを隠蔽したいというものも動機になり得ます。「機会」は、内部統制や監視体制が機能していない環境、あるいはそれらは無視できる立場にいることで、不正を実行できる機会を持っていることを意味します。そして「正当化」は、「会社が悪い」「周りもみんなやっている」といった自分の不正行為を正当化する心理状態であることを指しています。
技術的要因と人的要因
不正の要因には技術的要因と人的要因があります。技術的要因には、権限のない従業員が機密情報にアクセスできてしまう、ログを記録していない、などが挙げられ、こうした技術的な対策を怠ると、不正の「機会」を与えてしまうことになります。人的要因には、人事評価や会社・組織への不満、仕事や人間関係のストレスが挙げられます。従業員に過度な負担や不満を生じさせない組織を維持することも重要です。
内部不正の事例
日本企業で実際に起きた内部不正の事例をいくつかご紹介します。
金銭の着服
企業Aにおいて、元役員が退職日の夜に上級管理職のコンピュータを使用して海外口座に電子送金を行い、国外逃亡しました。退職日の夜に電子キーカードを無効化しなかったことが原因です。
機密情報の外部への漏えい
企業Bにおいて、業務提携先の元社員が研究データを不正に持ち出し、転職先の海外企業に提供しました。 退職時における記録媒体の利用制限、重要情報へのアクセス履歴等のログの監視を怠ったことが原因で、待遇への不満が不正の動機とされています。
プログラムの改ざん
金融機関Cにおいて、経営陣に不満を抱いていた従業員が、債券売買のためのリスク評価プログラムの取引のリスクを少しずつ増加させるようプログラムを改ざんしました。ファイルのハッシュ値を比較するツールを定期的に使用するなどの管理がされていなかったことも原因です。
※参考 組織における内部不正防止ガイドライン 付録Ⅰ:内部不正事例集 https://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
内部の不正行為を未然に防ぐための対策
事例のような内部不正を未然に防ぐために、企業が打つべき対策について解説します。
アクセス制限やパスワード認証などによる技術的対策
1つ目の対策は、内部からの不正アクセス対策です。アクセス制御や多要素認証などの技術的対策を行って、重要な情報にアクセスできる人物を限定します。入退室制限や不要な記憶媒体の破棄など、物理的な対策も有効です。
アクセスログや入退室記録管理など監視体制の強化
2つ目の対策は、監視体制の強化です。誰かが内部不正を試みてもすぐに発見して対処できるように、入退室記録の管理、端末の持ち出し記録やアクセスログの管理を徹底します。特定の人物に権限を集中させると内部不正をされた際に発覚しづらくなるため、権限を分散させて相互監視の体制を構築することも重要です。
内部不正ガイドラインの策定と組織教育
3つ目の対策は、ガイドラインの策定とセキュリティ教育の実施です。内部不正に対する明確な方針やルールがないことも、内部不正を正当化する理由になってしまいます。発覚したときのリスクの周知を徹底して、その気にさせない、正当化させないことが重要です。
※参考 組織における内部不正防止ガイドライン(IPA) https://www.ipa.go.jp/security/guide/insider.html
内部不正が起こった場合は「フォレンジック調査」が必要
それでも内部不正が起こってしまった場合には、企業は「フォレンジック調査」を実施する必要があります。
フォレンジック調査とは
犯罪や不正行為の証拠を明らかにする鑑識調査のことです。原因を究明することで再発防止策が立てられますし、責任の所在を明らかにすることで、訴訟に発展した場合に備えることができます。
AIを活用したフォレンジック調査も
デジタルデータが主な対象であり、膨大なデータ量を扱う現代のフォレンジック調査において、AI(人工知能)の活用はもはや必須といっていいでしょう。少数のサンプルファイルに専門家が目を通してAIに判断基準を学習させることで、大量のデータを関係ありそうなものとそうでないものに仕分けさせます。調査の初めにしなければならない単純なデータの仕分け作業を少人数で短時間で行うことができるので、調査の効率化だけでなく、専門家のリソース集中による精度向上も実現できます。
自社での調査ではなく調査会社へ相談すべき
そもそも内部不正が疑われる状況で、社内の人間がフォレンジック調査を行うと証拠の正当性が損なわれます。中立性を担保するためにも、社外のベンダーを使ったほうがいいでしょう。
フォレンジック調査の詳細については、こちらのページもご覧ください。
フォレンジック調査の依頼は、豊富な実績とAI技術に定評のある「FRONTEO」へ
FRONTEOは、2003年の創業当時から日本における不正調査のパイオニアとして、さまざまな企業の課題解決に取り組んできました。抜きん出た経験に基づく技術とノウハウには定評があります。
自社開発AIエンジンKIBITを活用して、ドキュメントレビューの際に大幅に省力化、コスト圧縮を実現するなど、案件対応の経験と自社開発AIエンジンを掛け合わせることで、他社にはできない高精度と効率化を実現しています。
日本、北米、韓国、台湾にデータセンターを構え、データを国外に持ち出すことなく保管できる体制でセキュリティも万全です。お客様企業の本社、現地法人、法律事務所の3つに対してシームレスにサービスを提供。グローバルオペレーションで迅速にサポートします。
