内部不正の対策とは?注目される背景や不正が起こる原因などについても詳しく解説
社内の従業員や委託先企業などによって、個人情報や情報資産が外部に流出してしまう「内部不正」が後を絶ちません。
近年は故意ではない過失も、内部不正として見なされることがあります。「自分は不正なんて絶対しない」と考えている社員であっても、意図せず内部不正に関わってしまうことがあるかもしれません。
そのため、企業は内部不正に細心の注意を払い、日ごろから社内でセキュリティに対する意識を高める取り組みを進めましょう。
今回は内部不正が起こる原因に触れながら、具体的な対策ポイントを解説していきます。経営者や企業で人事を担当している方は、ぜひ参考にしてみてください。
内部不正とは?
内部不正とは、組織や企業内部の関係者が社内の機密情報や顧客情報を持ち出し、漏えい、消去、破壊することです。また、誤って情報を流出させてしてしまった場合も内部不正に当たります。
情報セキュリティの不正によって起こる事案(セキュリティインシデント)は、世間に報道されてしまうと企業の信頼を大きく損ねてしまうこともあるでしょう。
SNS等の普及で誰もが簡単に情報に触れられる時代、未然に内部不正を防ぐ方法や効果的な対策が各企業に必要とされています。また情報漏えい事件以外にも、金銭の横領や違法残業、賃金未払いも内部不正に含まれます。
目次に戻る内部不正の対策が注目される背景
2022年4月より改正個人情報保護法が施行され、従来努力義務であった情報漏えいの報告は企業で義務化されました。
次に、内部不正対策が注目されている具体的な背景を見ていきましょう。
内部不正が脅威であると感じている
社会が内部不正を脅威であると感じていることが、注目される大きな背景です。
IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2020」によると、「内部不正による情報漏えい」は組織カテゴリで2位でした。
脅威であるがゆえに、社内で内部不正が発覚しても世間に報道されることを恐れ、公表されていないことも少なくありません。
委託先のセキュリティ対策が不透明
次に業務委託先のセキュリティ対策が不透明であることが挙げられます。
委託先の情報管理を怠り業務を丸投げした結果、過去には次のような事例が発生しました。
- 委託先が別の事業者へ業務を再委託し、マイナンバー情報が流出
- 案内メールを誤送信し、関連サービスの登録法人のメールアドレスが流出
- 住民の個人情報の入ったUSBメモリを委託先企業が無断で持ち出し、後日紛失が発覚
情報セキュリティを甘く見る企業や第三者認証を取得していない企業に依頼してしまうと、このような内部不正が起こってしまう可能性があるでしょう。
また海外の委託先は文化や価値観の違いやセキュリティ予算などの関係で、内部不正に関して十分に把握できていないこともあります。データセキュリティソリューション業界大手のVormetric社の「2015 Vormetric insider threat report」では、海外の約89%の割合で企業が内部不正に対して脆弱性があると回答しました。
第三者に業務を依頼することは経営戦略をとる上で有効的ですが、企業はセキュリティ管理(委託先管理)を徹底しなければなりません。
目次に戻る内部不正の種類
内部不正は情報流出や漏えいに限ったことではありません。
次のような事柄についても、内部不正として処罰されることがあります。
業務上横領
業務上横領は、業務上自己の占有する他人の物を横領する行為です。具体的な手段としては次のようなものがあります。
- 経費の着服
- 備品の窃盗
- 不正送金
- 会社のクレジットカード・マイルの私的利用など
個人による内部不正だけでなく、上層部や外部企業など組織ぐるみで行われることもあります。金銭の横領は額の大小に関わらず、直接的に企業の経済資産に打撃を与える行為と言えるでしょう。
ハラスメント
ハラスメントは、相手の意に沿わない言葉や行動によって不快な思いをさせる嫌がらせのことです。
具体的には次のようなハラスメントがあります。
- パワーハラスメント
- セクシュアルハラスメント
- マタニティハラスメント
- モラルハラスメント
- アルコールハラスメントなど
ハラスメントの加害者は、上下関係や立場の違いといった優位性を利用することが多くみられます。ハラスメントの被害を受けた社員が休職もしくは退職を余儀なくされるなど、人的資源に打撃を与えるのが特徴と言えるでしょう。
労働基準法違反
残業代、賃金の未払いといった労働基準法違反も企業の内部不正です。違反すると社会からの信用を落とすだけでなく、従業員から損害賠償を請求されることもあります。
また労働基準監督官による立入調査と是正報告書提出を拒否した場合、書類送検されるケースもあるでしょう。
目次に戻る内部不正が起こる3つの要因
さまざまな内部不正について触れましたが、近年特に問題視されているのが情報漏えいに関するものです。テレワークやSNSの普及による影響が大きいと言えるでしょう。
企業の情報漏えいは、次のような3つの要因によって引き起こされます。
①技術的要因
1つ目が技術的要因です。社内の情報セキュリティが脆弱であればパスワードも漏れることがあります。
本来権限の与えられていない従業員も情報にアクセスできるようになってしまい、内部不正のリスクが高まるでしょう。
また企業によっては、操作ログで履歴が記録されていないこともあります。誰が情報にアクセスしたのか追跡できないシステムを使用している場合は、内部不正が起こってしまっても経路の検出や追跡が困難で、調査に時間がかかってしまうでしょう。
②人的要因(故意)
2つ目が悪意を持って行われる人的要因です。IPA(情報処理推進機構)の「組織内部者の不正行為によるインシデント調査」によると、内部不正の要因として「不当だと思う解雇処分を受けた」「給与や賞与に不満がある」といった動機・プレッシャー面を挙げています。
不満を持った社員がいる会社では、故意の情報漏えいが起こる傾向にあると言えるでしょう。
③人的要因(ヒューマンエラー)
3つ目がミスなどによる人的要因です。情報に触れる際の誤操作、ファイルやUSBの紛失などがこれに該当します。
ヒューマンエラーが発生する背景として、当事者の知識や経験が不足している、キャパシティーを超えた業務を請け負っているといったことが考えられるでしょう。
目次に戻る具体的な情報漏えい対策
企業はどのような対策で内部不正を防ぐことができるのでしょうか。
ここでは具体的にさまざまな対策方法について見ていきます。
内部の監視を強化する
企業の情報漏えいを未然に防ぐため、監視を強化しましょう。
具体的には次のようなセキュリティ強化があります。
- 入退室記録の管理
- 端末の持ち出し記録の管理
- セキュリティアラートの送信
- アクセスログ管理と監視
- 不正アクセスの検知など
内部の監視を強化するときは、権限が特定の従業員に偏らないよう相互監視のルールを整え権限を分散させることがポイントです。内部の監視を強化すれば従業員の不正を防げるだけでなく、システム管理者の負担も減らせます。
内部不正のチェックシートを使う
重要情報の管理や運用が正しく行われているか、従業員への教育が適切にできているかなどチェックシートの作成も効果的です。社内での作成が難しい場合は、IPAの「組織における内部不正防止ガイドライン」などで公開されている外部提供のチェックシートをダウンロードしても良いでしょう。
実際にリストアップして確認することで実態調査ができ、自社のセキュリティを強化する必要のある部分が見えてくるでしょう。
従業員の負担を減らす
従業員の負担を減らすことも考えておきましょう。現場が忙しいほど、人手不足から社員の情報セキュリティ教育を実施する余裕がなくなるからです。
セキュリティ教育は年に数回大規模な研修を実施するよりも、短い時間で定期的に受講できる環境が効果的な場合があります。マイクロラーニングやeラーニングなどを導入すれば、隙間時間で無理なく従業員のセキュリティ意識を高めることができるでしょう。
目次に戻るまとめ
今回は内部不正について解説しました。内部不正の対策が喫緊の課題となっている現代、企業は従業員のセキュリティ教育を徹底するなど、策を講じていかなければならないでしょう。
社内で情報セキュリティの意識を向上させる際は、「learningBOX ON」の情報セキュリティ研修のコンテンツをご活用ください。
learningBOX ONは、eラーニング作成・管理システムであるlearningBOXに、企業で必須となる研修コンテンツを簡単に追加することができるサービスです。
自社で内製したコンテンツと組み合わせて、オリジナルの学習コースを簡単に設計することが可能です。
情報セキュリティ研修やコンプライアンス研修のコンテンツなどを無料で利用できますので、ぜひ社内研修にご活用ください。
▼こちらもおすすめ!あわせて読みたい
