IPA(独立行政法人情報処理推進機構)が2019年1月30日に公表した「情報セキュリティ10大脅威2019」によると、組織での第5位に挙げられているのが、「内部不正による情報漏えい」です。
(出典:https://www.ipa.go.jp/security/vuln/10threats2019.html)
内部不正による情報漏えいが起こると、企業の社会的信用が失墜することに加え、場合によっては損害賠償問題に発展し、経済的な損失も生まれます。
本記事では、内部不正による情報漏えい事件の事例やその手法を交え、防ぐためのポイントについて解説します。
内部不正による情報漏えい事件の事例
企業や組織にとってセキュリティリスクに対するマネジメントをいかに行うかは、重要な経営課題となっています。セキュリティリスクとひと言で言っても、さまざまなものがあります。
標的型攻撃やランサムウェア、ビジネスメール詐欺など、悪意のある外部の第三者による被害への対策に注目が集まりがちですが、忘れてはならないのが「内部不正」による被害です。
2019年11月6日、セキュリティベンダーのトレンドマイクロは同社テクニカルサポートの元従業員が12万人分の海外市場の個人向け製品のユーザー情報を持ち出し、外部の第三者に提供していたことを発表しました。発覚したのは、サポート詐欺を疑ったユーザーからの問い合わせだったと言います。
持ち出された情報にはクレジットカード情報や金融機関口座番号は含まれていないこと、また被害には国内の個人ユーザーや法人顧客は含まれていなかったとのことですが、情報セキュリティベンダーの不祥事だけに、大きなニュースとなりました。
また香川県高松市に本店を置く百十四銀行は、2019年10月31日、同行の元行員が3法人、14個人の顧客情報を知人に漏えいした事実があると発表しました。事件の発覚は、同行の行員が9月下旬に警察署の事情聴取を受けたことです。
その後、同行では内部調査を実施し、漏えい対象となった顧客を特定。漏えいの対象となったお客さまの中には詐欺被害に遭われた方が1件あったといいます。同行では漏えいした顧客情報が詐欺被害と関わりがあったことを重く受け止め、公表することとなりました。
そのほかにも神奈川県平塚市の市議会議員が、同市職員時代に業務で管理していた個人情報を持ち出し、自身の選挙活動に利用していたことが発覚、同市議は個人情報保護条例違反で市長に刑事告発されるという事件が発生したりしています。
内部不正による情報漏えい事件が起こると、社会的信用の失墜、調査費用や損害賠償の事後処置などによる経済的損失、株価への影響など、事業の根幹を揺るがす大きな経営リスクとなるでしょう。
内部不正とは?どのような手法(パターン)が想定されるか
このように内部不正とは外部からのサイバー攻撃によるのではなく、従業員(パートや契約社員、退職者も含む)や、外注業者や業務請負先などの関係者など、企業や組織内部の人間によって、個人情報や機密情報の持ち出し、漏えい、消去、流出などが起きてしまうことです。
ではなぜ、内部不正が起こるのでしょうか?どのような手法が想定されるのか、考えてみたいと思います。
IPAが2017年5月に発表した「組織における内部不正とその対策」によると、「ルールは知っていたがうっかり違反した」「ルールを知らずに違反した」という故意ではない不正が約6割を占めているものの、残りは故意による不正です。
(出典:https://www.ipa.go.jp/files/000059582.pdf)
故意による不正の理由も「悪意のあるもの」と、「悪意のないもの」に分かれます。
前者は「処遇や待遇に不満があった」「持ち出した情報や機材で転職や企業を有利にしたかった」「企業や組織や上司に恨みがあった」「持ち出した情報や機材を換金したかった」という理由が当てはまります。
一方悪意のない(悪意が弱い)ものの理由としては「業務が忙しく、終わらせるために持ち出す必要があった」「ルールはあったが、ルール違反を繰り返している人がいたので自分もやった」というものが当てはまるでしょう。
また故意の情報の持ち出し行為の手段の第一位はUBSメモリの53.0%、続いて電子メール28.9%、紙媒体18.8%となっています。
内部不正を未然に防ぐために有効な手段とは?
では内部不正を未然に防ぐためにはどのような手段が有効なのでしょうか。
米国組織犯罪研究者ドナルド・R・クレッシーによると、内部不正は「動機」「機会」「正当化」の3つの要因が揃った時に発生しやすいと言われています。
例えば処遇への不満や職場での人間関係のトラブル、高いノルマを課されていることによる不満などがあっても、持ち出し可能な環境や同じ業務を長期間担当するなどの機会がないと、内部不正には発生しないということです。
またもし、この2つが揃っていても、会社が悪いなど自分勝手な理由付けや倫理観が欠如していなければ、やはり不正は起こらないということです。
つまりこの「3つの要因を低減する」ことが、内部不正を未然に防ぐことができるポイントといえるでしょう。
動機や機会を低減するためには、USBなど外部記録媒体の業務利用を制限したり、外部に持ち出す際には、その記録を管理するなど利用ルールを徹底することです。また全社的なコンプライアンス教育を定期的に実施することはもちろん、さらには働き方改革や不満をためないようなメンター制度や相談窓口の設置も有効でしょう。
技術的な対策も欠かせません。ID管理やアクセス制御、ログ管理、暗号化などのソリューションを用いることです。
全社の情報管理基盤として、エンタープライズコンテンツ管理(ECM)ソリューションなどを導入することも有効でしょう。社員や組織単位で細かなアクセス制限やセキュリティポリシーに制限をかけることができるからです。
また、万が一情報漏えいが起こった場合のことを考え、デジタルフォレンジックなどのソリューションを導入することも有効です。同ソリューションを活用することで、不正アクセスや情報漏えいの訴訟となり得るトラブルが起こった際に、いち早く法定で使えるような証拠を分析し、抽出することができるからです。
まとめ
内部不正による情報漏えいは、組織の根幹を揺るがすような大事件に発展してしまう可能性があります。
日々の業務環境で、前述した「動機」と「機会」、「正当化」の3つの要因が揃わないような環境をつくることがポイントとなります。
そのためにもITソリューションを導入して、犯行をやりにくくしたり、捕まるリスクを高めたり、遠隔からのデータ消去など犯行の見返りを減らすこと。次に公正な人事評価や適正な労働環境の整備、再発防止策の公表など犯行の誘引を減らし、正当化できないようなルールを策定し、コンプラインス教育を定期的に行うことが重要となるでしょう。
内部不正が起きる前に、十分なセキュリティ/コンプラアンス体制を確立して、未然に防ぐ取り組みを始めてみてはいかがでしょうか。