このページはJavaScriptを使用しています。JavaScriptを有効にして、対応ブラウザでご覧下さい。

【事例紹介あり】内部不正への対策フローとトラブルを防ぐポイント

【事例紹介あり】内部不正への対策フローとトラブルを防ぐポイント

内部不正とは、情報漏洩や情報資産の持ち出しといった、企業の関係者による不正行為のことです。

内部不正は企業へ甚大な被害をもたらし、なかには1,000億円規模の損害賠償に発展した事件もあります。

この記事では、事例を交えながら内部不正への対策フローとトラブルを防ぐポイントを解説します。情報セキュリティや法務を担当している方はぜひ参考にしてください。


この記事の監修者
ライトハウスコンサルタント代表  情報処理安全確保支援士  

内部不正の対策の必要性

内部不正とは、従業員や企業の関係者による不正行為のことです。具体的には、情報漏洩や情報資産の持ち出し、その他社内ポリシーに反する行動があげられます。

情報処理推進機構(IPA)が公開している「組織における内部不正防止ガイドライン」によると、2012 年以降、1,000 億円規模の損害賠償を請求した技術情報漏洩事件が複数回発生しています。

内部不正から派生するセキュリティ事故は金銭面に留まらず、組織に対する社会的信用にも多大な影響をもたらすため軽視はできません。内部不正からのセキュリティ事故を避け、事業を継続させていくためにも、組織では内部不正を防ぐための十分な対策が必要です。


内部不正防止の基本原則

「内部不正防止の基本原則」とは、情報処理推進機構(IPA)の「組織における内部不正防止ガイドライン」に記載されている基本原則です。

この原則は、犯罪の起こりやすい状況を、犯罪の起こりにくい状況へ変えていく「状況的犯罪予防」の考え方を、内部不正向けに応用したものです。

「内部不正防止の基本原則」には次の5つの項目があります。

  1. 犯行を難しくする(やりにくくする)
    対策を強化することで犯罪行為を難しくする対策です。技術的な対策としては、アクセス制御やパスワードポリシーの設定などがあげられます。物理的な対策にはオフィスへの入室管理やデバイス持ち込み制限などがあり、不正実施を困難にします。
  2. 捕まるリスクを高める(やると見つかる)
    管理や監視を強化することで捕まるリスクを高めます。情報機器の棚卸や持ち出し管理、アクセスログ・アクティビティログの監視などを実施し、情報資産の管理監視体制を強化します。さらに、「不正行為は発覚する」という認識を組織へ定着させることで抑止力を高める効果が期待できます。
  3. 犯行の見返りを減らす(割に合わない)
    標的を隠す、排除する、利益を得にくくすることで、犯行を防ぎます。最小のアクセス権付与やモバイルデバイスの施錠管理、のぞき見防止シートなどで悪意のある第三者から情報を隠すなどの対策があげられます。
    電子データ暗号化や廃棄ハードディスクの完全消去などで、不正が起きた際の見返りを減らす対策も有効です。
  4. 犯行の誘因を減らす(その気にさせない)
    犯罪を行う気持ちにさせないことで犯行を抑止します。人間関係の対立や不満、ストレス、過労などをケアする体制や仕組みを整備することで、怨恨や圧力からの内部不正発生を防止します。
    具体的には、公正な人事評価、適正な労働環境、円滑なコミュニケーションなどがあげられます。
  5. 犯罪の弁明をさせない(言い訳させない)
    犯行者による自らの行為の正当化理由を排除します。情報セキュリティに関する方針や規則を策定し、周知を徹底することで、それらに反することは不正行為である認識を組織に定着させます。また、契約書へのサインや持ち込み禁止のポスターなどで良心に警告することも効果的です。

内部不正防止のための基本対策

ここでは、内部不正を防止するための基本的な対策を紹介します。

1. アクセス権管理

最小権限の原則に従い、アクセス権を適切に設定しましょう。利用者IDやアクセス権が適切に設定されていないと重要情報を不正に利用される恐れがあります。異動や退職によって不要になった利用者IDやアクセス権は、速やかに削除しましょう。

2. 持ち出し困難化

情報資産は安易に持ち出しができないようにしましょう。データのコピー制限やWebアクセス制御、私用端末の持ち込み禁止を行うことで情報資産の持ち出しを困難にします。特に、情報資産の持ち出しの手段として最多であるUSBメモリについては、利用ルールの設定や使用制限が内部不正防止に有効でしょう。

3. ログの記録

アクセスログや操作ログなどを記録し、定期的に確認することで不正の前兆となる行為を把握できます。万が一不正が発覚した場合も、アクセスログや操作ログなどを記録しておけば、原因の特定や影響範囲の調査が容易になるでしょう。

4. ルール化と周知徹底

情報セキュリティに関する方針やルールを従業員が認識していないことが原因で、内部不正につながるケースもあります。従業員に対して方針やルールの周知を徹底し、普段の業務において就業規則に則った行動ができるよう、定期的に教育を行いましょう。

5. 職場環境の整備

軽微な不正を放置すると、「これくらいなら大丈夫」という意識が組織全体に広がります。その結果、内部不正が起こりやすい環境を作り出すことになってしまうので注意が必要です。従業員同士の信頼関係の維持・向上や、罰則規定の整備などを行い、不正が起こりづらい環境を作りましょう。


内部不正の対策フロー

ここでは、内部不正の対策フローを解説します。

内部不正を防止するための書面や、万が一内部不正が起こってしまった際の書式発行はテンプレートを活用すると迅速に対応ができます。

コラムの最後にあるビズオーシャンのテンプレートを、ぜひご活用ください。

1. 社員の責務の明確化

内部不正の対策フローは、就業規則などを用いて情報資産の取り扱いルールを明確化するところから始まります。

具体的には、業務で知り得た情報やノウハウを外部に漏らすことを禁止するなど、本来の目的から逸脱した取り扱いをしてはならない旨を就業規則などに明記します。

就業規則に反した場合には罰則が適用されることを、ポリシーに明記してもよいでしょう。

2. 体制面の強化・仕組み作り

体制面の強化としては、業務内容を相互にチェックして牽制する体制を作る対策が効果的です。また、職務を分離して権限が集中しないような仕組み作りも重要といえます。

前述の基本対策にあるようなアクセス権管理や持ち出し困難化、ログの記録など内部不正を防止する仕組み作りもあわせて実施します。なかには技術的な仕組みが必要なものもあるので、情報処理安全確保支援士などの専門家に相談するのもよいでしょう。

3. 教育・訓練の計画および実施

従業員向けに情報セキュリティ教育を行いましょう。全社的に情報セキュリティの方針やルール、就業規則を定めたとしても、当事者である従業員が認識していなければ意味がありません。

従業員がルールを認識していないことによって発生する内部不正も少なからずあります。教育には職務や役割に合ったカリキュラムを作成し、定期的かつ継続的に実施しましょう。実施後の効果測定と改善も欠かせません。


内部不正によるトラブルを防ぐ対策のポイント

内部不正の対策を正しく講じたうえで、トラブルを防ぐためのポイントも確認しておきましょう。

1. 対象者を一部に限定せずに全従業員を対象とする

内部不正を含む情報セキュリティに関する施策やルールは、全従業員を対象としましょう。すべての従業員へ教育を行わなければ、従業員は適切な管理を行うことができません。

特にテレワークにおいては、多くの行動が自主性にゆだねられているため、教育が実施されていない従業員には内部不正の危険性があります。

2. 委託先の情報セキュリティも管理する

業務委託先のセキュリティ管理も、内部不正を防止するうえで重要な対策です。過去に、委託先の社員が個人情報入りのUSBメモリを紛失する事故が起きています。

秘密保持契約で責任の所在や対応方法を明確にし、委託先の情報セキュリティへの対策状況を定期的に確認しましょう。

3. 自社の保有資産を洗い出しリスクを把握する

ハードウェアや印刷物など、自社が保有する情報資産を洗い出し、リスクを把握しましょう。

組織の重要な情報資産を適切に保護するためには、その重要度などに応じて整理・分類するとともに取り扱い方法を明確にする必要があります。

情報処理推進機構 (IPA)が公開している「情報資産管理台帳」を活用して、情報資産の洗い出しができます。テンプレートを使用することで項目を考える手間が省け、抜け漏れも防止にもつながります。


内部不正への対策のまとめ

内部不正は故意によるものだけではなく、従業員が情報セキュリティに関するルールを知らなかったことが原因で発生する可能性もあります。

役職や業務に応じて適切な情報セキュリティ教育を実施し、委託先の情報セキュリティ対策を確認することも忘れないようにしましょう。

【書式のテンプレートをお探しなら】

この記事に関連する最新記事

おすすめ書式テンプレート

書式テンプレートをもっと見る

監修者プロフィール

author_item{name}

橋爪 兼続

ライトハウスコンサルタント代表 情報処理安全確保支援士 

ライトハウスコンサルタント代表

2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。

この監修者の他の記事(全て見る

bizoceanジャーナルトップページ