内部不正が原因となる事故を引き起こしてしまった組織は、「自分のところは大丈夫」といった根拠のない思い込みにより問題を軽視し、対策が後手に回っていたところが少なくありません。内部不正が自分の組織でも発生することを前提に、必要な対策を立て、実行に移す必要があります。
従業員が顧客情報を持ち出して名簿業者に販売する事件や、技術情報を転職の際に持ち出す事件が、繰り返し報道されています。ほかにも、USBメモリーなどのメディアに格納したデータの紛失や、うっかりミスによるメールの誤送信を含めると、毎日のように組織内部者が関係する情報セキュリティ事故が発生しています。
公表される事故は氷山の一角でしかなく、あなたが知らないうちにまわりでも内部不正が起きていて、重要な情報が漏洩しているかもしれません。この連載では、内部不正の実態を伝えるとともに、内部不正への有効な対策方法を実例を交えて紹介していきます。
内部不正にかかわる事故は組織内部で処理される傾向があり、風評被害が発生する恐れや関係者との調整がつかないなどの理由から、開示義務のあるケースや刑事告発の必要なケースを除いて、組織の外部に知らされることはめったにありません。したがって、報道や判例で公開されている事例以外にも、多くの事件・事故が発生していることが想像できます。
このため、公開されている情報だけでは内部不正対策を検討するための事例として十分ではありません。また、他の組織と連携して内部不正対策を検討したくても、事件に関する情報を外部に公開することが難しく、組織間で内部不正の情報を共有できないことから、検討のための事例を集めることができません。対策を検討する以前に、社会での内部不正の実態を把握することすら困難な状況です。
漏えいする情報量が膨大になる内部犯罪
このような背景から、独立行政法人情報処理推進機構(IPA)は内部不正の実態調査として、2012年7月に「組織内部者の不正行為によるインシデント調査」を実施しました 。この調査で行われた内部不正に係る事故にかかわったことのある有識者の方々へのインタビューによって現状が見えてきました。
組織の内部者は、組織内で価値のある情報が何であるか、そしてその価値のある情報がどこにあるかを把握しています。このため、内部不正では価値のある情報が大量に盗み出される恐れがあります。日本ネットワークセキュリティ協会(JNSA)の調査によると、2005~2010年の個人情報の漏洩事故のうち、内部犯罪・内部不正行為の件数がわずか1%程度であるのに対して、内部犯罪・内部不正行為による個人情報の漏洩数は全体の25%程度に上ります。内部犯罪・内部不正行為による漏洩事故は、他の原因の漏洩事故に比べると、1件あたりの個人情報の漏洩数が多いことがわかります(図1)。
また、内部犯罪・内部不正行為というのは組織の内部者による犯行であることから、組織自体の信用が失われてしまいます。内部不正に係る事件・事故がひとたび発生すると、事業に大きな影響があることを覚悟しなければなりません。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
