内部不正に効果的な対策とは|放置すると致命的な情報漏洩のリスクも
はじめに
企業にとって恐れることの一つが情報漏洩などのセキュリティリスク。情報漏洩の原因にはパソコンや端末の紛失、置き忘れなどの人的ミスからなるものや、サイバー攻撃によるものなど様々ですが、見落としがちなものに内部不正によるものもあります。特に内部からの不正行為は、外部から攻撃を受けるよりも被害やダメージが大きくなりやすく、対策は必須です。
本記事では内部不正にポイントをあて、内部不正による被害や事例、対策方法などを詳しく解説していきます。
内部不正とは?内部は「社内の人間」だけにあらず!
内部不正とは組織・企業の従業員や関係者など内部の者が企業の機密情報や個人情報を持ち出したり漏洩させたり、あるいはそれを悪用することで金銭を得たりするなどの不正な行いを指します。また、故意はなくとも内部の者が誤って情報を流出させてしまうといった人的ミスによる被害や損害でも、内部不正とみなされることもあります。
内部の者とは、何も今社内に在籍している従業員に限ったことではありません。退職者や取引先担当者、業務請負業者や外注先の担当者まで、その企業・組織に関わる多くの者が内部関係者とされます。
内部不正で受ける被害
内部不正による被害は外部からの攻撃よりも気付かれにくく、場合によっては数年にもわたって不正が行われることもあり、被害や損失が膨大となる恐れがあります。
例えば個人情報漏洩が起こった場合、顧客への損害賠償に加え顧客や取引先からの信用失墜、また内部不正への調査費用やそれに関わる人的コストなど、企業にとって大きな損失です。さらに内部不正が明るみに出ればそこから社会的信用も失い風評被害を受ける恐れや、新規顧客の開拓も難しくなることから、企業存続の危機にまでおよぶことも考えられます。
過去の内部不正事例3選
ここでは実際に内部不正が起こってしまった企業の被害事例を3つご紹介します。
事例1.委託先従業員が顧客口座から約2億円を不正引き出し
ある証券会社で、同社の顧客になりすまし有償証券を売却、またその売却代金や預金を不正に取得していたとして、業務委託先の元従業員が逮捕されました。被害に遭った顧客は15名、被害総額は約2億円にものぼり、同社は対象顧客へ全額を返金、また業務委託会社は証券会社へ被害相当額を賠償することになりました。
この元従業員は同社の取引システムの開発や保守に携わる、プロジェクトマネージャーの立場にありました。本番環境と開発環境の両方にアクセスできる権限を持ち、それを悪用されたことで、同社のアクセス権限の管理体制に問題があることも露呈されました。
事例2.元従業員が個人情報を無断持ち出し、外部へ提供
マンション管理会社に勤務していた元従業員が、同社の社内管理業務システムから2度にわたり不正に約5,000人分の個人情報を無断で持ち出し、さらに第三者法人へ流出させたことが明らかになりました。犯行は外部からの指摘により発覚、流出した情報は顧客のマンション名、部屋番号、氏名、住所、電話番号など。被害の報告は寄せられていないとしながらも、同社は対象となった顧客へ書面で事情説明を行いました。また流出先となった第三者法人へは弁護士を通じて持ち出された情報の使用の差し止めおよび廃棄を請求、元従業員に対しては刑事告訴を視野に入れた準備が進められています。
事例3.職員がPC無断持ち出し、オークション出品で個人情報が流出
医療機関の職員が自宅で業務をするために、14万件もの患者の情報が含まれた業務用ノートパソコンを無断で持ち出しました。この職員は自宅で作業を行っていたものの、その後このノートパソコンを使用しなくなりそのまま放置。職員の家族がこれを不要の物と思い込み廃棄事業者へ処分依頼、さらにこの事業者から買い取った人物がオークションへ出品していたことで個人情報が流出しました。
この医療機関では当時端末の入れ替えを行っており、職員が持ち出したノートパソコンは廃棄予定であったため端末の持ち出しに気付かなかったことも問題の一因とされています。
内部不正が発生する原因
内部不正は次の3つの要因が揃った時に発生するといわれています。不正が発生するとされる要因をそれぞれみていきましょう。
動機・プレッシャー
「給料が低い、ノルマがきつい」など会社における待遇面での不満の他に、「借金がある、生活が苦しい」など生活環境面での問題も動機やプレッシャーにつながります。特に生活環境面での問題は、誰にも打ち明けられない、相談できないといったことがプレッシャーとなり、内部不正でもよく挙げられる横領などの動機になりやすいことが判明しています。
機会
業務を単独で行っており属人化してしまっていることや、チェックや監視体制が整っていないなど、不正行為を行いやすい環境に置かれていることも、不正を働く機会につながります。機密情報へアクセスする権限を与えられている、不正を行っても周囲には分からないような専門的技術を持っている立場もこれにあたります。
正当化
「自分以外にもやっている人がいる」、「これをやった方が会社のためになる」など自分に都合よく解釈することで、自身の行いが適切であると思い込むことです。コンプライアンスの意識が薄い企業や組織、倫理観が乏しい上司や経営者がいるといったような企業では社員が不正な行いを正当化しやすい環境であるといえるでしょう。
内部不正を防止する!その対策方法とは
内部不正を発生させないために、企業が取るべき対策には次のようなポイントが挙げられます。
管理・監視体制の強化
IDやアクセス権の管理は不正アクセスを防ぐうえで非常に重要です。機密情報や重要な情報にアクセスできる人物を絞り込むのはもちろんですが、ある特定の者だけに多くの権限を持たせないよう、権限を分散させることも必要です。また不正を試みる者や、アクセス権限を悪用しようとする権限者を即座に発見できるよう常時監視体制を整えることで、内部不正発生の原因の一つ、『機会』の抑制にもつながります。
環境や待遇を改善
内部不正を試みる者の多くが、給料や待遇、業務量など会社に対し何らかの不満を抱えていることがほとんどです。社内で良好なコミュニケーションを図り、労働環境や人事評価を見直すことで、社員の不満が消化されることもあるでしょう。社内環境が改善されれば不満からくる『動機』や『正当化』することもなくなり、また内部不正防止のみならず業務効率向上にもつながります。
システムの導入
管理・監視体制を強化し、環境や待遇を改善したとしても、人の行動は予測しづらいものです。そのためシステムを用いて不正を察知するという方法もあります。
不正アクセスを素早くあぶり出すことで近年話題のソリューション『UEBA』は、ユーザの行動を分析し通常とは異なる動きを検知することで、外部からの攻撃のみならず、内部不正にも有効といわれています。内部不正には人的な方法だけでなく、UEBAのようなシステムを導入するなど技術的な方法も視野にいれることが対策として有効です。
UEBAについての詳細は次の記事UEBAとは?振る舞い分析で内部不正をあぶりだすをご覧ください。
まとめ
本記事では内部不正にポイントをあて、内部不正による被害や事例、対策方法などを解説しました。内部不正を発生させない環境や仕組みを作ることは、企業を存続させるためにも重要であり、ひいては社員を守ることにもつながります。
自社の内部不正対策が適切であるか分からない、内部不正に対応できるツールやシステムを導入したいといったお悩みやご要望は、ぜひセラクへご相談ください。セラクの専門コンサルタントが内部不正対策に適したシステムやツール選びから、お客様の潜在的なリスクや課題解決に向けての改善提案も実施しております。
24時間365日対応可能!
クラウド導入・運用は
セラクにおまかせください
その他の記事
