LegalSearch (リーガルサーチ)

内部不正による情報漏えい事件と具体的な対策方法

情報漏えいの対策

内部不正による情報漏えい事件が後を絶ちません。経済産業省が公表した「人材を通じた技術流出に関する調査研究 報告書(別冊)」によると、営業秘密が競合他社へ流出する事案は、「中途退職者(正社員)による漏えい」が50.30%、「現職従業員等による漏えい」が26.90%、「金銭目的等の動機を持った現職従業員による漏えい」が10.90%と、退職者や従業員などの内部関係者によるものがほとんどであると報告されています。

内部不正による情報漏えい事件の中には、テレビや新聞などで大きく報道されたものもあります。例えば、以下のような情報漏えい事件についてご覧になったことがあるかもしれません。

内部不正による情報漏えい事件は、ウィルス対策などのように技術的に解決すればいいという問題ではありません。IPA(独立行政法人情報処理推進機構)の「情報セキュリティ10大脅威」でも毎年トップ10に入り続けていることから、なかなか解決が難しい問題であることは間違いありません。

内部不正に関する情報漏えい事件の3つの特徴

組織内部で処理され外部に公開されにくい

会社の信用や風評被害が発生することを懸念して、組織内部のみで処理されることが多く、報道などで公開されている事例は氷山の一角と言われています。

組織の根幹を脅かすような情報漏えい事件が発生しやすい

内部不正による情報漏えい事件の場合、漏えい規模が大きくなりやすく、企業の競争力に関わる重要情報であることが多いと言われています。そのため、組織の根幹を脅かすような情報漏えい事件が多く発生しています。

内部不正が原因の情報漏えい事件は「動機」「機会」「正当化」の3要因が揃った時に発生しやすい

人事や待遇への不満やノルマや業務量などのプレッシャーなど不正行為に至るきっかけとなる「動機」。システム管理者権限を保有している、同じ業務を長期間担当しているなど、不正行為の実行を可能、または容易にする「機会」。自分勝手な理由づけや他人への責任転嫁などによる「正当化」という3要因が揃った時に発生しやすいと言われています。

内部不正防止の基本原則に基づく対策例

IPA(独立行政法人情報処理推進機構)が作成した「組織における内部不正防止ガイドライン」では、「状況的犯罪予防の考え方(犯罪学者の Cornish & Clarke(2003)が提唱した都市空間における犯罪予防の理論。)」を内部不正防止に応用し、以下の5つを内部不正防止の基本原則として紹介しています。

対策1. 犯行を難しくする(やりにくくする)

「対象の防御策を強化する」「施設への出入りを制限する」「出口で検査する」「犯罪者をそらす」「情報機器やネットワークを制限する」ことが、犯行を難しくするために効果的です。具体策は以下をご参照ください。

対策2. 捕まるリスクを高める(やると見つかる)

「監視を強化する」「自然監視を支援する」「匿名性を減らす」「現場管理者を採用する」「監視体制を強化する」ことが、捕まるリスクを高めるために効果的です。具体策は以下をご参照ください。

対策3. 犯行の見返りを減らす(割に合わない)

「標的を隠す」「対象を排除する」「所有物を特定する」「市場を阻止する」「利益を得にくくする」ことが、標的を隠し、犯行の見返りを減らすために効果的です。具体策は以下をご参照ください。

対策4. 犯行の誘因を減らす(その気にさせない)

「欲求不満やストレスを減らす」「対立を避ける」「感情の高ぶりを抑える」「仲間からの圧力を緩和する」「模倣犯を阻止する」ことが、犯罪を行う気持ちにさせないために効果的です。具体策は以下をご参照ください。

対策5. 犯罪の弁明をさせない(言い訳させない)

「規則決める」「指示を掲示する」「良心に警告する」「コンプライアンスを支援する」ことが、内部不正の正当化理由(言い訳)を排除するために効果的です。具体策は以下をご参照ください。

内部不正による情報漏えい:まとめ

退職者や従業員などの内部関係者による情報漏えい事件が後を絶ちません。内部不正に関する情報漏えい事件は漏えい規模が大きくなりがちで、組織の根幹を脅かすような事件に発展する可能性が高いと言われています。

内部不正は、「動機」「機会」「正当化」の3要因が揃うと発生しやすいと言われています。3要因を揃わせないために、「犯行を難しくする」「捕まるリスクを高める」「犯行の見返りを減らす」「犯行の誘因を減らす」「犯罪の弁明をさせない」という犯罪予防の5原則に基づいて、内部不正防止対策を行うことが推奨されています。

参考資料

人材を通じた技術流出に関する調査研究 報告書(別冊)
情報セキュリティ10大脅威
組織における内部不正防止ガイドライン

モバイルバージョンを終了