【投稿日】 2022年5月22日 【最終更新日】 2022年6月7日
企業を経営していくうえで、顧客との信頼度や従業員との信頼関係を良好にしていくうえで大切なのはセキュリティについてです。
企業が考えるべきセキュリティは、外部からの攻撃リスクだけではなく、企業内部からの犯行、内部不正のリスクにも備えることになります。内部不正は、企業の信用を揺るがすため、表沙汰にならないケースも多くあり、実態が知られていないのも事実です。
今回はそんな内部不正はどのようにして発生するのか、その原因と手口、事例や予防策についてご紹介していきます。
SAT探偵事務所 京都本部の代表取締役社長。
浮気調査や人探しといった個人向けのメジャーな調査はもちろん、他所では受任できない難度の企業向けの調査(信用調査、与信調査、M&A時等におけるDD 等)や経営コンサルティング業務にも従事している。
内部不正とは
内部不正は機密情報や個人情報を漏洩させたり、社外秘となっている情報を漏らして利益を得たり、不満や報復のために「企業の情報資産」を勝手に持ち出し、利用することを指します。
広義的には、従業員や取引先などが関係する情報漏洩だけでなく、金銭の横領やハラスメント、SNSへの誹謗中傷の書き込み、違法残業・賃金未払いなどの労務管理違反も含みます。
内部不正は情報セキュリティにおける深刻な問題のひとつであり、内部不正を防止するガイドラインを設ける、情報セキュリティ教育を徹底するなど、企業内における対策の強化が必要となっています。
内部不正の種類
内部不正と聞くと、個人情報漏洩などのイメージがありますが、それだけではなく横領はハラスメント、労務管理違反などが大きく分けて挙げることが出来ます。これらを詳しく見ていきましょう。
情報漏洩
近年、特に多いのが内部不正による情報流出・情報漏洩です。
情報を外部に漏らされてしまうと、企業秘密としていた技術が盗まれたり、他社との競合を行う上で不利な状況に陥ってしまいます。外部の人間と比べて社内の人間は機密情報や重要情報に容易にアクセスできるケースが多く、被害が後をたちません。また、共犯や主犯に情報管理職の人間がいた場合、情報漏洩を隠ぺいすることもあるので問題視されています。
横領
代表的な手口としては、経費・売上金の着服、不正送金、書類の偽装などです。金銭だけではなく、備品などを無許可で持って帰ってしまうことも横領に含まれます。
従業員が行うだけではなく、経理などの金銭の管理を任されている担当者が直接的に横領・不正会計に手を染めるパターンもあります。それだけではなく、従業員が上層部や外部会社と結託し行う組織的犯行のケースもあります。組織的に行われてしまうと隠ぺいされてしまうため、発見が遅れてしまう事の方が多いです。
小さな金額の横領だったとしてもいずれは多額に膨れ上がり、そのことが表に出れば企業のイメージも損なう恐れがあります。
ハラスメント
ハラスメントは、当事者の主観に依る部分が大きく、客観的に判断するのが難しい問題とされています。「ハラスメント」は、職場におけるパワハラ・モラハラ・セクハラなどに区分されており、種類も様々です。
ハラスメントは主に上司と部下間、あるいは正社員と派遣社員・アルバイト間など、立場や役職によって差が生まれてしまう間に発生しやすくなります。
セクハラ、パワハラ、モラハラといったハラスメントを放置しておけば、組織全体の士気が下がるだけでなく、離職者の増加などの原因にもなります。
ハラスメントを防ぐには、具体的なハラスメントの定義を明確にし、ガイドラインを規定するのと同時にハラスメントの相談窓口をなどを設ける必要があります。
労務管理違反
労働基準法を守らない管理をしていた場合も内部不正とみなされます。労務管理違反の例としては、労働基準法に反する残業代・賃金未払いや長時間労働の強制などが挙げられます。労働基準法に違反したと認められた場合、労働基準監督官による立入調査と是正報告書提出を求められ、これを拒否した場合、書類送検に発展します。
労務管理違反を行わないように、管理職に対しても規定を設けたり、何人かで運営して不正が出来ないようにしていく必要があります。
内部不正の原因
内部不正が発生する要因には以下の2つがあると言われています。これは「人的要因」と「技術的要因」の2つです。それぞれについて詳しく説明します。
<1>人的要因
1つ目の内部不正が発生する原因は、人的要因です。組織体制や人事評価に対する従業員の不満、過剰なノルマへのプレッシャーなどが原因となり、内部不正を行ってしまうパターンがあります。また、それらの不満から不正を正当化する理由を見つけてしまっているのも原因となります。
IPAの調査では、内部不正の動機の約6割が「意図していない違反」であると明らかにされており、「うっかり違反した」が40.5%、「ルールを知らずに違反した」が17.5%となっています。
これらを見ていると、従業員へのルールの周知などが不足していると内部不正が起こりやすくなっていることがわかります。
IPAの調査で、内部不正を行ってしまった人へのアンケートで多かった回答は「不当だと思う解雇通告を受けた」「給与や賞与に不満がある」「社内の人事評価に不満がある」と、処遇や人事評価に関する項目が多くなっていました。
つまり、所属企業に対する不満などの内部不正を行う動機があり、不正行為を犯しやすい職権・職場環境などの機会を得て、不正行為を「正当化」しやすい状況があれば、内部不正の発生確率が高まってしまいます。
不正が発生していなかったとしても、このような不満が社内から聞こえてくる場合、内部不正が起こりやすい環境になっているといえます。
組織は「従業員」がいないと成り立ちません。組織を構成する人たちの立場や意見などを踏まえたうえで経営を行っていく必要が企業側にはあります。
<2>技術的要因
技術的要因から不正が発生している場合、不正を起こすことが技術的に不可能なセキュリティが構築できていないことになります。組織環境として内部不正が行われやすい状況にある場合などを指します。
具体的には、「権限を持たない従業員や関係者が、重要な機密情報に容易にアクセスできるようなシステム環境にしてしまっていること」であったり、「従業員がハラスメントを訴えても解決するシステムがなかったりすること」だったり、「経理に関するチェック体制がおろそか」であったりするなどです。内部不正の技術的要因を改善するには、内部不正に使われる情報源のセキュリティを強化したり、従業員が相談しやすいシステムを構築したり、チェックを徹底したりすることが必要になります。
また、「内部不正をしても見つからない、隠すことができる環境」の場合も該当します。
エラーが発生した時にログなどが残っておらず、原因解決の糸口がないという状態などが挙げられます。不正が隠蔽できる状況であることが従業員に認知された場合、内部不正が起こる確率が高まります。
内部不正の手口と事例
内部不正の手口としては、本来であれば外部の人間が知り得ない情報にアクセスできる立場や権限を持つ内部の人間が勝手に情報を持ち出すケースと、規則などを知らないまま何となく情報を持ち出してしまうケースがあります。
後者のうっかりしたミスによる内部不正が最も多く、独立行政法人IPA(情報処理推進機構)がお2016年3月に発表した「内部不正による情報セキュリティインシデント実態調査ー調査報告書ー」内の、民間企業において内部不正を経験している方を対象に行ったアンケート調査によれば、内部不正経験者が起こした内部不正の内容として一番多いのが「うっかりミスや不注意によるルールや規則の違反」で、全体の66.5%がそれに該当していることがわかります。
参考元:IPA(情報処理推進機構)「内部不正による情報セキュリティインシデント実態調査ー調査報告書ー」
うっかりしたミスによる情報漏洩を防ぐためには情報漏洩に関する規則を入社時にしっかり確認したり、定期的な告知などで周知を促す方法があります。
前者の意識的な内部不正を行う理由としては、単純に利益のために情報を盗むケースもありますが、個人的な恨みや不満から、アクセス情報を悪用して不正に情報を盗み出すケースも存在します。この場合には、アクセスを厳しくするなどの対策が必要ですが、あまりにも厳しくしてしまうと通常使用する他の従業員が不便な思いをすることになってしまいます。
その他にも、個人情報などを引き出そうとする人もおり、その場合にはある特定の人物の情報を社外に持ち出してしまう可能性もあります。個人情報が流出したとなると企業の信用を揺るがす問題になります。
では、過去には一体どんな内部不正が行われたのでしょうか。事例をいくつか表にまとめてみました。
日付 | 法人・団体名 | 件数・人数 | 漏洩原因 | 漏洩内容・詳細 |
---|---|---|---|---|
2022/4/15 | 公益社団法人緑の安全推進協会 | 3,300件 | Emotet感染 | 職員の端末がEmotetに感染した影響で、端末内に記録されていた35件のアドレスデータおよび3,265件の電子メール情報が流出 |
2022/4/15 | 京都駅ビル開発株式会社 | 合計約4,650件 | 不正アクセス | サーバーが何者かのサイバー攻撃を受けたことにより、同社が保有している個人情報が流出 |
2022/4/8 | 株式会社ガスパル | 1万2,418名 | 誤送信 | 緊急対応に備えるため委託先の保安会社とやり取りする際に誤送信が発生し、1万2,418名分の個人情報が流出 |
2022/3/22 | 森永製菓株式会社 | 164万8,922名 | 不正アクセス | サーバーが外部からの不正アクセスを受け、同社運営のウェブサイト「森永ダイレクトストア(旧:天使の健康)」の顧客164万8,922人分の個人情報(氏名や住所、連絡先など)が流出 |
2022/3/7 | 株式会社FLYWAY | 2,763名 | サイバー攻撃 | オンラインECサイト「BIRDS’ WORDSオンラインストア(以下:被害サイト)」が何者かのサイバー攻撃を受けたことにより、過去被害サイトにてクレジットカード決済したユーザー2,763名のカード情報が外部流出 |
2022/2/28 | 株式会社メタップスペイメント | 46万395件 | サイバー攻撃 | 最大で46万395件のクレジットカード情報およびコンビニやペイジー等の決済情報および加盟店情報について流出 |
2022/1/25 | ビバリーグレンラボラトリーズ株式会社 | 4万6,702件 | 不正アクセス | オンラインショップ「ビーグレンHP(被害サイト)」が何者かの不正アクセスを受けたことにより、過去同社サイトにて新規にカード情報を入力したユーザーのクレジットカード情報4万6,702件が流出 |
2022/1/12 | 北海道ガス株式会社 | 3万1,463件 | 紛失 | 同社が保管していたハードディスク(HDD)1台が所在不明となり、内部に記録されていた個人情報関連データ3万1,463件に流出 |
このような形で、内部不正は様々な企業で行われているため、どの企業・組織にも起こりうることです。
内部不正を防ぐ具体的な方法
それでは、内部不正を防ぐにはどのような対策を講じれば良いのでしょうか。その方法を見ていきましょう。
「組織における内部不正防止ガイドライン」では、以下の5つを骨子としています。
(1)内部不正による情報漏えいが事業経営に及ぼすリスクについて経営者に向けたメッセージを強化
(2)テレワーク等の広がりによる、組織外での秘密情報の取扱増加に伴うリスクを低減する対策を追記
(3)雇用の流動化による退職者増加がもたらすリスクを低減する人的管理の対策を追記
(4)セキュリティ技術の急速な進展とそれらを適用する時の個人情報に配慮した運用の在り方を追記
(5)重要な法改正に伴う必要な対策の増補・強化
今回は、IPAが発表している「組織における内部不正防止ガイドライン」の内部不正防止の基本原則に沿ってその防止方法を解説いたします。
不正防止基本原則は以下の通りです。
・犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
・捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
・犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
・犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
・犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
対策を強化し、犯行自体を難しくする
技術的要因から起こる内部不正を防ぐためには、重要情報にアクセスできる人を制限するなど、根本的な対策が必要です。
アクセス制限は勿論のこと、多要素認証、メールやインターネットの利用履歴、USBメモリ等の外部記憶媒体の利用制限などを行う必要があります。
それだけではなく、入退室制限など物理的な対策を行い、内部不正が困難な環境を構築していきましょう。アクセス面でのシステム構成が難しい場合には、専門業者に依頼してシステム構築をしてもらうのも良いでしょう。
監視の強化を行う
内部不正する人の多くは「見つからないだろう」と思って行動することが多いでしょう。PC操作のログ、ファイルやディレクトリへのアクセスなど、まずはシステム面で「完全に監視、管理」することを徹底しましょう。
不正を起こそうとした場合にすぐに発見できるように、監視を強化することが重要になってきます。監視しているというけん制も大切になってくるため、入退室記録の管理、端末の持ち出し記録の徹底、アクセスログの監視が具体策として挙げられます。
また、特定の従業員に権限が集中しないようにするためにも相互監視の体制などを構築する必要があります。権限を分散させることで、ひとりの人間が権力を持って隠ぺいなどが可能にならないようにしましょう。特に、ログインの監視については、監視していることを通知するだけで、内部不正の抑止につながります。
システム面で不正操作を検知、発見できるようになっていれば、内部不正があった場合でもどれだけの情報が盗み出されたのか、誰がアクセスしたのかも明確になります。事後対策としても早くに行動を起こせるため、システムに組み込んでおくのも一つの抑止力になるでしょう。
具体的には、情報の重要度にしたがってアクセス権に制限をかけたり、サーバーへの情報機器の持ち込み・持ち出しを規則で禁止したりする対策を撮るのが良いでしょう。機密情報へのアクセスも定期的に見直していく必要があります。
情報を見つけにくくする
不正に利用される重要情報や機密情報を見つけにくくすることも不正の抑止力になります。標的となりうる情報を意図的に隠したり、アクセス制限をかけたり、保管している不要な情報源の破棄を行うことで、内部不正の発生確率を減らすことができます。
貴重な情報には通常アクセスが出来ないようにするだけで内部不正を抑止することが出来るでしょう。また、管理している部屋への入室制限などの物理的な処理を行うことも必要となります。
従業員満足度を上げる
人的要因による内部不正の動機を減らすには、組織内で起こっている不和や不満を把握し、対策を考える必要があります。
従業員満足度を上げるためには、人事評価や業務配分の見直しやハラスメントに対応する相談窓口の設置、組織内・部署内のコミュニケーションの活性化を促すなど、組織や企業が円滑に回るように対策していくべきです。
これまでの内部不正は企業への不満が積もり、抗議の意味も込めて不正をはたらく事例が多く存在します。対策を行って従業員の満足度を向上させれば、故意の内部不正は大幅に抑止できることになります。
従業員を監視し、常に緊張状態の環境を作るのではなく、内部不正を起こすそもそもの動機を消し、「禁止するよりも抑止する」というアプローチを取ることがとても大切です。
内部不正によって利益を得ることを考える人もいますが、内部不正は絶対に発覚すること、損はあっても利益がないことを理解させましょう。自分ひとりだったらバレないと思って不正をはたらく人もいるため、ログが残っていることやアクセス通知が記録として残っているといった、監視されているという意識づけが大切になります。
ルールを徹底させる
人的要因にもある、「うっかり」していたという動機による内部不正が行われてしまう場合には、ルールを周知し、徹底していく必要があります。入社時の就業規則を読み込まない従業員も多い為、定期的にチェックを行ったり、規則をこまめに改訂して周知したりする必要があります。
チェックシートを使用する
IPAの「内部不正による情報セキュリティインシデント実態調査-調査報告書-」では、「内部不正チェックシート」を公表しています。これは、内部不正を防ぐための管理のあり方をまとめた指針・チェックシートです。
このチェックシートを使用すると、自社で足りていない対策が明確になる為、定期的に使用することをおすすめしています。
内部不正には社内対策だけではなく、外部の探偵事務所への調査依頼も有効!
内部不正は、セキュリティ面では勿論、人事評価、組織体制など、従業員への満足度を満たすことで起こりにくくなります。技術的要因と人的要因、2つの側面から考え、内部不正を行う動機・環境を作らないことが対策への大きな一歩となるでしょう。
「組織における内部不正防止ガイドライン」なども近年では充実してきているため、活用しながら、社内での対策を強化していきましょう。
一方で、社内で内部不正をなかなか調査できないなどの場合には、外部の探偵事務所などの調査機関への依頼がおすすめです。
探偵事務所SATでは、企業の内部不正に関する調査も行っております。お気軽にご相談ください。
警察OBに直接相談できる探偵事務所
受付時間/10:00~20:00
※LINE相談は友達登録をして送られてくるメッセージに返信することで行えます。