
기업에 대한 인터넷상의 권리 침해 대응 실무 Part 1
2023년 8월 3일
정보 유출 대책은 무엇을 해야 하는가?원인이나 사례, 유출 후의 대처법도 소개
2023년 8월 7일중도퇴직자나 현역 종업원에 의한 「내부 부정」은, 외부로부터의 사이버 공격과 같이, 어떤 조직에서도 타인사가 아닙니다.여기에서는 내부 부정의 현상이나 기업이 입을 위험, 부정이 일어나는 원인 등의 기초 지식을 해설.구체적인 사례나 미연에 방지하기 위한 대책 방법도 함께 소개합니다.

내부 부정이란?
내부 부정이란, 기업·조직의 관계자나 전 관계자에 의한 부정 행위를 가리키고, 금전 목적등에 의한 고의에 의한 것 뿐만이 아니라, 조작 미스등의 케이스도 포함됩니다.내부 부정이라고 해도 다양한 있어, 기밀 정보나 정보 자산을 무단으로 꺼내는 정보 누설, 물 증가 청구나 불법인 킥백 등 금전적인 횡령, 재무 정보의 분식 등의 회계 부정, 품질 검사 결과나 실험 결과의 데이터 변조 등 다양합니다.
내부 부정의 현상
내부 부정 중에서도 정보 보안에 관한 내부 부정은 심각하고, 그 해 사회적 영향이 컸던 정보 보안 사안을 랭킹 형식으로 발표하는 「정보 보안 10대 위협 2023」에 따르면, 「내부 부정에 의한 정보 유출 」는 제4위.전년 5위부터 한 랭크업하고 있어 사회적 영향이 증가하고 있습니다.
※참고 정보 보안 10대 위협 2023(IPA) https://www.ipa.go.jp/security/10threats/10threats2023.html
내부 사기로 인한 기업 위험
내부부정으로 고객이나 거래처에 피해를 입힌 경우 손해배상 등의 경제적 손실이 발생합니다.회사로서의 사회적 신용도 실추하고, 업계에 있어서의 경쟁력도 저하되어 버립니다.회사의 존속 자체를 위협할 뿐만 아니라 최악의 경우에는 형사벌의 대상이 될 가능성도 있습니다.
내부 부정이 발생하는 원인
내부 부정이 일어나는 원인에 대해서, 「부정의 트라이앵글 이론」을 기초로 부정 발생의 메카니즘을 해설합니다.
"부정한 삼각형"으로 인한 부정 위험은 무엇입니까?
「부정한 삼각형 이론」이란 사람이 부정을 하는 과정을 모델화한 이론으로, 부정 조사나 리스크 관리 분야에서 일반적으로 사용되고 있는 사고방식입니다.부정의 발생 원인에는 「동기」 「기회」 「정당화」의 3 요인이 존재한다고 정의하고 있습니다.
「동기」는, 본인이 부정을 일하기 위한 동기.금전적인 문제나 욕구를 안고 있거나, 회사로부터 무거운 노르마를 부과되고 있고, 또 업무상의 실수를 은폐하고 싶다는 것도 동기가 될 수 있습니다. ``기회''는 내부 통제나 감시 체제가 작동하지 않는 환경 또는 무시할 수 있는 입장에 있을 때 부정을 수행할 수 있는 기회를 가지고 있음을 의미합니다.그리고 「정당화」는 「회사가 나쁘다」 「주위도 모두 하고 있다」라고 하는 자신의 부정 행위를 정당화하는 심리 상태인 것을 가리키고 있습니다.
기술적 요인과 인적 요인
사기 요인에는 기술적 요인과 인적 요인이 있습니다.기술적 요인으로는 권한이 없는 직원이 기밀 정보에 액세스할 수 있게 되는 로그를 기록하지 않는 등을 들 수 있으며, 이러한 기술적인 대책을 게을리하면 부정한 '기회'를 준다. 됩니다.인적 요인으로는 인사 평가, 회사·조직 불만, 일과 인간 관계의 스트레스를 들 수 있습니다.직원에게 과도한 부담이나 불만을 일으키지 않는 조직을 유지하는 것도 중요합니다.
내부 부정 사례
일본 기업에서 실제로 일어난 내부 부정 사례를 몇 가지 소개합니다.
금전 옷
기업 A에서 전 임원은 퇴직일 밤에 상급 관리직의 컴퓨터를 사용해 해외계좌에 전자송금을 실시해 국외 도망했습니다.은퇴일 밤에 전자키 카드를 비활성화하지 않았기 때문입니다.
기밀정보 외부로 유출
기업 B에 있어서, 업무 제휴처의 전 사원이 연구 데이터를 부정하게 반출해, 전직처의 해외 기업에 제공했습니다.퇴직시에 있어서의 기록 매체의 이용 제한, 중요 정보에의 액세스 이력등의 로그의 감시를 게을리한 것이 원인으로, 대우에의 불만이 부정의 동기로 되어 있습니다.
프로그램 변경
금융기관 C에서 경영진에 불만을 품고 있던 직원이 채권 매매를 위한 리스크 평가 프로그램의 거래 리스크를 조금씩 증가시키도록 프로그램을 개조했습니다.파일 해시 값을 비교하는 도구를 정기적으로 사용하는 등의 관리가 없었기 때문입니다.
※참조 조직에 있어서의 내부 부정 방지 가이드라인 부록Ⅰ:내부 부정 사례집
내부의 부정행위를 미연에 방지하기 위한 대책
사례와 같은 내부 부정을 미연에 방지하기 위해 기업이 이길 조치에 대해 설명합니다.
액세스 제한 및 패스워드 인증 등에 의한 기술적 대책
첫 번째 대책은 내부의 무단 액세스 대책입니다.액세스 제어 및 다중 요소 인증과 같은 기술적 조치를 통해 중요한 정보에 액세스할 수 있는 사람을 제한합니다.입퇴실 제한이나 불필요한 기억 매체의 파기 등, 물리적 대책도 유효합니다.
액세스 로그 및 입퇴실 기록 관리 등 감시 체제 강화
두 번째 대책은 감시 체제의 강화입니다.누군가가 내부 부정을 시도해도 즉시 발견하고 대처할 수 있도록 입퇴실 기록 관리, 단말기 반출 기록 및 액세스 로그 관리를 철저히 합니다.특정 인물에 권한을 집중시키면 내부 부정을 당했을 때 발각하기 어려워지기 때문에 권한을 분산시켜 상호 감시 체제를 구축하는 것도 중요합니다.
내부 부정 가이드라인 수립 및 조직 교육
세 번째 조치는 지침을 수립하고 보안 교육을 실시하는 것입니다.내부 부정에 대한 명확한 정책이나 규칙이 없는 것도 내부 부정을 정당화하는 이유가 되어 버립니다.발각했을 때의 리스크의 주지를 철저히, 그 신경 쓰지 않고, 정당화시키지 않는 것이 중요합니다.
※참조 조직의 내부 부정 방지 가이드라인(IPA) https://www.ipa.go.jp/security/guide/insider.html
내부 부정이 발생하면 "법의학 조사"가 필요합니다.
그래도 내부 부정이 일어나 버린 경우에는 기업은 「법의학 조사」를 실시할 필요가 있습니다.
법의학 조사란?
범죄나 부정행위의 증거를 밝히는 감식조사입니다.원인을 규명하는 것으로 재발 방지책이 세워지고, 책임의 소재를 밝히는 것으로, 소송에 발전했을 경우에 대비할 수 있습니다.
AI를 활용한 포렌식 조사도
디지털 데이터가 주된 대상이며, 방대한 데이터량을 다루는 현대의 포렌식 조사에 있어서 AI(인공지능)의 활용은 더 이상 필수라고 할 수 있습니다.소수의 샘플 파일에 전문가가 눈을 통해 AI에 판단 기준을 학습시켜 대량의 데이터를 관련있을 것 같지 않은 것으로 구분합니다.조사를 시작해야 하는 단순한 데이터 분류 작업을 소규모로 단시간에 실시할 수 있으므로, 조사의 효율화 뿐만 아니라 전문가의 자원 집중에 의한 정밀도 향상도 실현할 수 있습니다.
자사의 조사가 아닌 조사 회사에 상담해야합니다.
원래 내부 부정이 의심되는 상황에서 사내의 인간이 포렌식 조사를 하면 증거의 정당성이 손상됩니다.중립성을 담보하기 위해서도, 사외의 벤더를 사용하는 편이 좋을 것입니다.
법의학 조사에 대한 자세한 내용은 이 페이지를 참조하세요.
포렌식 조사의 의뢰는, 풍부한 실적과 AI 기술에 정평이 있는 「FRONTEO」에
FRONTEO는 2003년 창업 당시부터 일본에서의 부정 조사의 선구자로서 다양한 기업의 과제 해결에 임해 왔습니다.뛰어난 경험을 바탕으로 한 기술과 노하우에는 정평이 있습니다.
자사 개발 AI 엔진 KIBIT를 활용하여 문서 검토 시에 대폭 절력화, 비용 압축을 실현하는 등, 안건 대응의 경험과 자사 개발 AI 엔진을 합쳐서 타사에는 할 수 없는 고정밀도와 효율 화를 실현하고 있습니다.
일본, 북미, 한국, 대만에 데이터센터를 두고, 데이터를 국외로 꺼내지 않고 보관할 수 있는 체제로 보안도 만전입니다.고객 기업의 본사, 현지 법인, 법률 사무소의 3개에 대해 원활하게 서비스를 제공.글로벌 운영으로 신속하게 지원합니다.