IPA(情報処理推進機構)は2016年3月3日、企業における内部不正の発生とその対策に関する調査結果を発表した。今回の調査は2012年に次ぐ第2回目。調査で内部不正経験者に行為の理由を聞いたところ、「うっかり違反した」が40.5%、「ルールを知らずに違反した」が17.5%で合わせると58.0%と約6割に達した。IPAは企業のIT管理者に対して、情報を格付けするなど「ルールや規則の明確化」と周知徹底が有効であると指摘した。
その一方で、42.0%が「故意による」内部不正であることにも着目し、その理由も調べた。「業務が忙しく、終わらせるために持ち出す必要があった」が16.0%、「処遇や待遇に不満があった」が11.0%となった。
情報の持ち出し手段については、内部不正の経験者全体の43.6%、故意の内部不正経験者の53.0%が「USBメモリ」と回答し最多となった。IPAでは、企業などの組織における対策ではUSBメモリなどの「外部記録媒体に関する利用ルールの徹底」と「利用制限が有効」と分析した。
IPAはどのような内部不正対策が有効と考えられているかについても調べた。内部不正経験者と経営者・システム管理者とでは、「有効と考える内部不正対策」に違いがあらわれたという。
違いが顕著だったのは、「罰則規定を強化する」と「監視体制を強化する」という対策についての評価だった。内部不正経験者の25.0%が罰則規定強化を有効と考えているのに対し、経営者やシステム管理者では12.8%。また、「監視体制を強化する」についても内部不正経験者の23.5%が有効としたのに対し、経営者やシステム管理者では13.1%に過ぎなかった。
IPAでは、近年、企業などの組織内部から漏えいした情報により引き起こされるインシデントが多発していると指摘。内部不正による被害額は、外部からの攻撃によるものよりも高額になってしまう傾向があるという。しかし、内部不正は、職務上与えられた権限を使い行われるケースが多いため、その対策が容易ではないと分析している。
[IPAの発表資料へ]
