企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

公開日2024.05.24更新日2024.07.18

内部不正とは? 情報漏洩が起こる要因や影響、対策のポイントを解説

著者:Sky株式会社

内部不正とは? 情報漏洩が起こる要因や影響、対策のポイントを解説

情報漏洩を防ぐための対策と聞くと、サイバー攻撃など組織外からの脅威による情報漏洩を連想しがちです。しかし、情報漏洩は内部関係者の不正行為によって発生することも想定されます。これを「内部不正」といい、企業が取り組んでおきたい対策の一つです。この記事では、内部不正によくあるケースやその原因、および内部不正対策のポイントについて解説します。

内部不正とは、組織の関係者が重要情報を不正に扱うこと

内部不正とは、組織の関係者による重要情報の不正な持ち出しや情報漏洩、情報の消去といったことを指します。故意に不正を働くケースはもちろんのこと、従業員がミスなどにより意図せず情報漏洩を発生させてしまったようなケースも内部不正の一種です。

関係者の中には、すでに退職している人物など元関係者も含まれます。在職中に知り得た情報を不正に利用して、すでに退職している企業の情報を閲覧するのは典型的な内部不正です。内部不正にはさまざまなケースが想定されるため、対策も困難といえます。

情報漏洩の基本的な対策として、組織内では情報の種類に応じて重要度を付与し、情報を格付けした上で取り扱っているケースが多く見られます。一般的な重要度の区分は次のとおりです。

  • 一般情報:組織が公開しているWebサイトに掲載されている情報や、SNSに投稿されている情報など、誰にでも得られる情報のこと
  • 社外秘:企画書や議事録、顧客リスト、取引先に関する情報など、組織内部で共有するのは問題ないものの、組織外へ公開すべきではない情報のこと
  • 部外秘(関係者外秘):経営戦略や重要な契約書、人事計画情報など、業務上知り得る関係者のみが閲覧できる情報など、万が一外部に漏洩した場合、組織にとって具体的な損害や損失となる恐れのある情報のこと
  • 極秘:未発表の研究情報や合併などの経営情報、未公開経理情報など、外部に漏洩するような事態になれば事業活動に甚大な影響を与えかねない最高レベルの機密情報のこと

日本における内部不正の現状

「独立行政法人 情報処理推進機構(IPA)」が公表している「情報セキュリティ10大脅威 2023」によれば、企業などの組織が情報セキュリティ上で留意すべき脅威のうち「内部不正による情報漏洩」は第4位です(※1)。さまざまなサイバー攻撃の手口や詐欺などの犯罪行為に並んで、内部不正が上位に位置づけられていることから、内部不正が企業にとって重大な脅威となっていることがうかがえます。

また、IPAが2020年に実施した調査では、「明らかに情報漏洩があった」と回答した企業は全体の3.1%で、「おそらく情報漏洩があった」の2.1%も含めると5%以上の企業が情報漏洩またはそれに類する経験をしていることがわかります(※2)。このように、情報漏洩は決して他人事ではなく、どの企業にも起こり得るごく身近な問題として捉えることが大切です。

※1 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威2023

※2 独立行政法人 情報処理推進機構「企業における営業秘密管理に関する実態調査 2020調査実施報告書

内部不正が行われやすいケース

内部不正を防ぐには、不正が行われやすい状況をあらかじめ把握し、重点的に対策を講じていくことが大切です。ここでは、よく見られる内部不正のケースを紹介します。

退職者のアカウント悪用による情報漏洩

すでに退職している元従業員が、在職中に知り得たアカウント情報を悪用して不正にログインを試みるなどして、情報を漏洩させるケースがあります。そのため、退職者のアカウントは放置せず、権限を無効にするかアカウントを削除するなどして、アクセスできない状態にしておくことが必要です。

アクセス権限の悪用による機密情報への不正アクセス

業務上の必要性により付与されたアクセス権限を悪用し、組織の機密情報などに不正にアクセスするケースが見られます。業務委託先やパートナー企業などの不正行為がこれにあたります。付与するアクセス権限の範囲を必要最小限に設定するとともに、利用上の規約などを厳格に設けておくことが重要です。組織外の関係者とあらかじめ秘密保持契約書(NDA)を取り交わすなど、アクセス権限の悪用を抑止するための取り組みが求められます。

関係者による内部情報の不正な持ち出し

関係者が、重要情報を印刷して持ち歩いたり、USBメモリやクラウドストレージなどへデータをコピーして持ち出したりするなど、内部情報を不正に持ち出すことも内部不正にあたります。こうした行為は、不正を働く意図はなくても、情報漏洩につながりかねないため、重要情報を取り扱う際のルールについて随時、関係者への教育を行う必要があります。

内部不正が起こる要因

内部不正が起こる主な要因として、「人的要因」と「技術的要因」の2つが挙げられます。ここでは、それぞれの内容と、不正行為にどう結びついているのかについて解説します。

人的要因

人的要因とは、内部関係者の思考や感情といった心理的な動機のことです。アメリカの犯罪学者ドナルド・R・クレッシーは、「動機」「機会」「正当化」の3要素がそろうと不正行為が起こりやすくなると提唱しました。それぞれの要素について定義は、下記のとおりです。

不正行為が起こりやすくなる3要素

  • 動機:金銭を得るため、業務内容や待遇に対して不満があるためといった、不正を働きたくなる要因
  • 機会:管理者が自分しかいない、監視体制が整備されていないなど、不正を働くことが可能な状況
  • 正当化:会社や社会に対する義憤など、不正行為に対する罪悪感を薄れさせる要因

技術的要因

技術的要因とは、内部不正を未然に防止する仕組みが整備されていないことを指します。前述の人的要因によって不正を働き得る状況が生まれていたとしても、仕組みの面で内部不正が不可能な状況になっていれば不正行為には至りません。一方で、何らかの技術的対策を講じていたとしても、その施策に効果がないことを内部関係者が把握しているようなら、むしろ内部不正を誘発する原因となり得ます。

内部不正が発生した場合の悪影響

内部不正が発生した場合、組織にさまざまな悪影響が及ぶことが想定されます。想定される具体的な影響として、主なものは次の5点です。

組織の社会的信用が失墜する

内部不正が発生した組織は、対外的には「信用できない内部関係者が存在する組織」「内部関係者を適切に教育・指導できない組織」として映ります。組織に対する社会的信用が、著しく低下することは免れません。

顧客や取引先などに対する損害賠償や補填といった経済的損失が出る

漏洩した情報に顧客や取引先に関するデータが含まれていた場合、損害賠償や損失の補填といった経済的損失を被ることになります。賠償額や損失額が膨大な金額に上ることも想定され、組織に甚大なダメージを与えかねません。

企業の競争力が大幅に低下する

企業としてのブランド力の低下など、内部不正は競争力を失わせる直接的な要因となり得ます。競合他社が優位な状況になりやすく、将来にわたって業績や市場シェアに多大な影響を与える可能性も否定できません。

業績悪化により人材の維持・獲得が困難になる

社会的信頼の失墜や競争力の低下は、業績にも深刻な影響を与える可能性があります。結果として従業員の処遇が悪化して離職者が増加したり、新たな人材獲得が困難になったりすることで、事業の存続そのものが危うくなりかねません。

刑事罰の対象になる可能性もある

漏洩した情報に個人情報が含まれていた場合、事業者の対応次第では個人情報保護法に基づく刑事罰が科される可能性もあります。内部不正の事案において組織は被害者であると同時に、加害者にもなり得る点を十分に理解しておくことが重要です。

内部不正対策が難しい理由

内部不正の防止に向けた対策は、容易ではないとされています。その主な理由として挙げられるのが下記の2点です。

一部の従業員は正規の手段で機密情報にアクセスできる

アクセス権限が適切に付与・管理されていたとしても、正規の手段で機密情報にアクセスできる従業員が不正を働く可能性があります。前述のとおり、人的要因によって不正行為に手を染める従業員が現れることもあり得るからです。

内部不正は通常業務と似た行動の中で行われる

内部関係者が不正を働く場合、あたかも通常業務を遂行するかのように見せかけて実行されるケースが少なくありません。例えば、内部関係者が機密情報にアクセスしているとき、業務上の必要性によるものか、不正を働くためなのかを見分けるのは困難です。このように、外見上の区別がつきにくいことは、内部不正への対策が容易ではない一因といえます。

内部不正防止の基本原則

IPAが公表している「組織における内部不正防止ガイドライン」では、「内部不正防止の基本5原則」を策定しています。内部不正を発生させないためには、犯罪の機会や動機を低減し、犯罪を予防するという状況的犯罪予防の考え方を基に、不正防止の対策を講じるのが効果的とされています。

内部不正防止の基本5原則

  • 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
  • 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
  • 犯行の見返りを減らす(割に合わない):標的を隠す/排除する、利益を得にくくすることで犯行を防ぐ
  • 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
  • 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する

※出典:独立行政法人情報処理推進機構「組織における内部不正対策防止ガイドライン

内部不正を対策する際のポイント

内部不正への対策は、前述した「内部不正防止の基本5原則」にのっとり、対策を着実に講じていくことが大切です。ここでは、内部不正への対策を講じる上で押さえておきたいポイントについて解説します。

アクセス権限を管理する

アクセス権限の適切な管理は、基本的かつ不可欠な内部不正対策といえます。業務上必要な情報のみ、必要最小限の人物にアクセス権限を付与するのが原則です。同時に、退職者のアクセス権限削除など、設定の変更を適時実施することも欠かせないポイントといえます。

特定の行為を監視・制御する

内部不正につながりやすい特定の行為を監視・制御することも重要なポイントです。データのコピーなどの不正な操作が行われようとしている場合にその操作を制限したり、アクセスログを追跡できる仕組みを導入したりすることにより、内部不正に直結しやすい行為を抑止する必要があります。仕組み上、内部不正ができない状態になっていると組織内で周知されること自体が、内部不正の抑止力となり得る重要な要素です。

情報管理のルールを策定し、従業員教育も行う

情報管理に関するルールを策定した上で、従業員への周知徹底および教育を実施していくことが大切です。従業員の操作ミスやルールへの無理解が情報漏洩につながる可能性があること、情報漏洩がもたらす被害の甚大さについて、十分に理解を得た上で日常業務において情報漏洩につながりかねない行為を慎んでもらう必要があります。

内部不正を監視できるツールを活用する

アクセス制限やログの監視といった、内部不正を監視するためのツールを活用することも不可欠な対策といえます。不正行為を実行しにくい環境の構築と、不正行為が発生した場合にはただちに追跡できる仕組みの両面から対策を講じていくことが重要です。

内部不正を防ぐ仕組みづくりでリスクに備える

内部不正はどの組織においても起こり得るリスクであることに加え、一度でも情報漏洩につながる事態が生じれば甚大な損害を被る可能性があります。内部不正を防ぐための具体的な対策を早急に講じ、リスクに備えておくことが大切です。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、内部不正を防止するさまざまな機能を搭載しています。「デバイス管理」機能では、USBデバイスを使用禁止に設定できる機能を搭載しています。また、情報の持ち出しにつながる操作が行われた際には、管理者へアラート通知をし、操作そのものを禁止することが可能です。これは、設定漏れなどの不備を防ぐことにもつながり、設定状況もひと目で確認できます。

そのほか、機密情報などが保存された特定フォルダへのアクセス、データのWebアップロード、メールでの添付ファイル送信など、内部不正につながりかねない操作をアラートで検知・制限する機能も備えています。また、検知時には管理機への通知だけでなく、操作した端末に通知を表示させることもできるので、従業員のセキュリティ意識向上にも有効です。コンピューター上の操作や外部との通信、ファイルのアクセス状況など、さまざまな挙動をログとして記録し、データを持ち出させない、もしくはデータを持ち出す行為を可能な限り検知して、内部不正の未然防止にも役立ちます。内部不正を防止したいと考えている事業者様は、「SKYSEA Client View」の導入をご検討ください。