いつ起きてもおかしくない不正行為の恐怖
企業による情報漏洩が止まらない。情報漏洩は、サイバー攻撃等による「組織外部からの攻撃」と「組織内部の不正行為」の大きく2つに分けられるが、特に最近その被害額が甚大になりがちなのが内部による犯行だ。ある大手出版社の個人情報が流出したことで約200億円の賠償を行ったことは記憶に新しい。また、ある大手電機メーカーでは製品データの流出により約1000億円の被害を出した。
情報漏洩に関するトラブルが怖いのは、多額の賠償金・経営陣の退陣といった直被害にとどまらず、企業イメージ・信用の失墜による株価暴落・業績悪化にまでも及ぶ点だ。こうした事件を引き起こしてしまうだけで、これまでの経営努力を無にしてしまうほどの影響力がある。
こうした被害を防ぐ有効な防御策の1つが、全社員のメールの監査だ。これをくまなくチェックすることで、個人情報や機密情報が外部に流出するのを防ぐわけだ。
しかし、それは言葉でいうほど簡単なことではない。なぜならそこには情報漏洩の「抜け穴」が存在するからだ。
ここで興味深い調査結果を紹介しよう。
独立行政法人情報処理推進機構(IPA)が2012年に発表した「組織内部者の不正行為によるインシデント調査」報告書において、「不正をしたいと思う気持ちを高めると思うもの」について質問したところ、1位が「不当だと思う解雇通告を受けた(34.2%)」、2位が「給与や賞与に不満がある(23.2%)」、3位が「社内の人事評価に不満がある(22.7%)」と組織における待遇面の不満に関する項目が上位3つを占めていた(図1)。
こうした「不正をしたいと思う気持ち」はどうやって具体的なインシデントへと変化するのだろうか。行動情報科学に基づき数多くの情報漏洩事案を分析した結果、故意の情報漏洩には、実行に移るまでに「醸成」「準備」「実行」という3段階のフェーズがあることがわかったという。
3つのフェーズの中でも、先の調査であげた「会社への不平不満」「金銭面でのトラブル」など、犯行者が情報漏洩を行う動機が生成されていく「醸成」フェーズのメールを発見することが、監査において非常に重要となる。
なぜなら、不正行為をすると決めた人間は、自分が持つアクセス権限の悪用や、社内システムの手が届かない個人の携帯端末など様々な手段を使って不正を実行するため、そこが抜け穴となってしまうからだ。
不正行為の「準備」に至る前の「醸成」フェーズのメールを発見しなければ、抜け穴を防ぐことはできないのである。