内部不正により発生する情報漏洩の原因を解説!事例から対策を学ぼう
内部不正による情報漏洩は、社員や関係者、委託先の職員の故意または意図しないミスで発生します。発生の頻度はそこまで高くありませんが、被害は大きいため注意が必要です。内部不正が原因で起きる情報漏洩の対策や過去の事例などを解説します。
目次[非表示]
- 1.内部不正による情報漏洩の現状
- 1.1.中途退職者による被害が増加傾向
- 1.2.委託企業のセキュリティ対策が不十分
- 2.内部不正による情報漏洩の特徴3つ
- 2.1.被害が拡大しやすい
- 2.2.組織内で処理され外部に公表されにくい
- 2.3.「動機」「機会」「正当化」がキーワード
- 3.内部不正による情報漏洩のリスクを上げる2つの要因
- 4.内部不正による情報漏洩対策5つ
- 4.1.アクセス権限の見直し
- 4.2.情報やファイルの検知
- 4.3.持ち出しの制御
- 4.4.犯行を正当化できない環境の整備
- 4.5.内部不正チェックシートの活用
- 5.内部不正によって起きた情報漏洩事例
- 6.まとめ
内部不正による情報漏洩の現状
情報漏洩の原因として無視できないのが、社員や退職者、提携企業による内部不正です。特に昨今の情報漏洩は、中途退職者による被害が増加しているのが特徴的です。
また、自社のセキュリティ対策が万全であっても、委託企業のセキュリティ対策が不十分な場合は、情報漏洩につながってしまう懸念も否めません。内部不正によって起きる情報漏洩の現状を解説します。
中途退職者による被害が増加傾向
情報処理推進機構(IPA)が実施した「企業における営業秘密管理に関する実態調査2020」によると、情報漏洩ルートの1位は「中途退職者による情報漏洩」で36.3%となっています。
4年前の調査では、「社員のミスや不手際による情報漏洩」が1位であったことから、情報漏洩ルートに変化が出てきているのが分かります。
どちらも従業員や退社した社員が関わる情報漏洩である点から、内部不正が情報漏洩に大きく関係していると言えそうです。
参考:情報処理推進機構(IPA)/企業における営業秘密管理に関する実態調査2020
委託企業のセキュリティ対策が不十分
さまざまな業務を外部へ委託する企業が増えている中、委託した企業において情報漏洩が発生するケースも出ています。
委託元企業が、委託先企業のセキュリティ対策状況を十分に把握できていない、ことも要因となっています。
NRIセキュアの調査では、委託先を国内の関連子会社に絞った場合は、7割近い会社がセキュリティの状況を把握できているのに対し、委託先を国外の関連子会社や関連の無いパートナー企業とした場合は、半数近くが委託先のセキュリティ対策の状況を把握できていないという結果がでています。
業務委託を開始した時には委託先のセキュリティ対策を確認していても、継続的にチェックができていない場合も多く、セキュリティ対策を含む委託先企業の管理に悩む企業も多いのが実情です。
内部不正による情報漏洩の特徴3つ
内部不正によって起きる情報漏洩には、次の3つの特徴があります。
- 被害が拡大しやすい
- 組織内で処理され外部に公表されにくい
- 「動機」「機会」「正当化」がキーワード
社内や委託先企業などの関係者による情報漏洩は、被害が拡大しやすいため注意が必要となります。また、風評被害を懸念して内部で密かに処理される場合もあるようです。
動機と機会、正当化の3つがそろった時に起きやすいとされる、内部不正による情報漏洩の特徴を解説します。
被害が拡大しやすい
企業の影響力や競争力に関わる重要な情報が、内部の社員や関係者によって持ち出されてしまう場合が多く、時には組織の根幹を脅かすような大事件につながってしまう恐れもあります。
これまでにも、内部不正による情報漏洩によって大きな被害が出てしまった事例が多くあります。
組織内で処理され外部に公表されにくい
大きな被害につながりやすい内部不正による情報漏洩は、風評被害を懸念して内密に処理される場合も多くあると言われます。それは、明るみに出てしまうと会社の信用に大きな影響を及ぼしてしまうからです。
テレビの報道などで見かける内部不正による情報漏洩事件は、氷山の一角にすぎず、実際にはより多くの情報漏洩が発生しているとされています。
「動機」「機会」「正当化」がキーワード
外部からのサイバー攻撃などによる情報漏洩と違い、内部不正による情報漏洩の発生には「動機」「機会」「正当化」という3つの要素が影響しています。3つの要素をまとめると次のようになります。
- 動機:転職先企業からの要求や企業への恨みなど、犯行に至るきっかけ
- 機会:環境やルールが整備されておらず、社員や関係者が情報を持ち出せる状態
- 正当化:全体・他人のために仕方なくやる、といった責任を転嫁できるような理由
情報を持ち出そうとする企業の関係者であれば、外部から情報を抜き取るケースよりは簡単に行動に移せるでしょう。そこに動機や機会、正当化できる理由などが重なり、内部不正による情報漏洩が発生します。
内部不正による情報漏洩のリスクを上げる2つの要因
内部不正による情報漏洩発生のリスクを上げる要因としては、適切なセキュリティ対策が講じられていないなどの技術的な要因と、従業員の不満やプレッシャーなどの人的な要因に分けられます。
両方の要因が重なり合うと、内部不正による情報漏洩が発生しやすい環境ができあがってしまいます。内部関係者による情報漏洩発生のリスクを上げてしまう、2つの要因を確認しておきましょう。
技術的な要因
セキュリティ対策が適切に施されておらず、重要な情報にアクセス権限を設けていない場合、内部不正の危険度が高まります。
また、社内システムのエラーをしっかりと管理しておらず、追跡ができないような場合は情報漏洩が起きても気付くことができない可能性もあります。
これらの技術的な欠陥を内部関係者が認知しているケースでは、内部不正による情報漏洩が起きやすくなってしまうでしょう。
人的な要因
人的な要因としては、社員が感じている仕事環境や人事評価に対する不満、厳しいノルマによるプレッシャーがあります。つまり、社員が内部不正に走る理由が多くある状態では、内部不正による情報漏洩が発生しやすくなると言えるでしょう。
また、社員や関係者が情報の取り扱いに関するルールをしっかりと認識しておらず、意図せずに情報漏洩に関わってしまう場合もあるようです。不正行為を正当化できる状況が存在する場合には内部不正による情報漏洩が起きやすくなります。
内部不正による情報漏洩対策5つ
内部不正による情報漏洩は、発生してしまうと被害が大きくなる可能性があるため、事前に対策を行うことが重要です。今回は次の5つの情報漏洩対策をご紹介します。
- アクセス権限の見直し
- 情報やファイルの検知
- 持ち出しの制御
- 犯行を正当化できない環境の整備
- 内部不正チェックシートの活用
アクセス権限の見直し
全ての社員が重要情報にアクセスできてしまう状況では、内部社員による情報の持ち出しがしやすくなってしまいます。そこで、データのアクセス権限を見直すことも対策として有効です。
申請・承認のフローを通してのみアクセス権限を付与すれば、不正なアクセスや権限の不正利用を防げるでしょう。アクセスの際に利用するIDやパスワードを都度変更すると、さらにセキュリティ精度を高められます。
情報やファイルの検知
情報の中でも特に注意しなければならないのは、個人情報の取り扱いです。流出してしまった情報に社外の個人情報が含まれている場合には、各関係者への状況説明や謝罪が免れず、問題が大きくなってしまいます。
保持している情報やファイルに、どんな内容が含まれているかを明確に把握しておくことが欠かせません。顧客情報を含む機密情報の取り扱いには、特に厳重な対策を取りましょう。
持ち出しの制御
情報の持ち出しが簡単にできてしまう環境では、内部不正による情報漏洩が起きやすくなってしまいます。ファイルの持ち出しは申請制で管理をし、未申請の場合は持ち出しができないように制御します。
また、私物デバイスを含む外部へのファイル転送に関しても、ルールを設定しておくと安心です。
犯行を正当化できない環境の整備
内部不正による情報漏洩が発生する状況では、犯行を実行する社員や関係者が何らかの正当化できる理由を持っている場合が多いです。そこで、社内の情報セキュリティルールや方針を見直し、犯行を正当化できない環境を整えておくことが重要です。
内部不正を防ぐには、社員や関係者が情報の取り扱いルールをしっかりと理解し、責任感を持って業務にあたる必要があります。秘密保持契約の締結や社員へのセキュリティ教育、コンプライアンス教育などが有効でしょう。
内部不正チェックシートの活用
内部不正を防げる適切な対策が取れているかどうかを確認するのに効果的なのが、内部不正チェックシートです。現在の自社の対策状況や不足している部分を知るためにも活用できます。
IPAの「内部不正による情報セキュリティインシデント実態調査-調査報告書-」では、セキュリティ対策の見直しに役立つ内部不正チェックシートが配布されています。社内の内部不正防止の参考にしてみてください。
参考:IPA/組織における内部不正防止ガイドライン
内部不正によって起きた情報漏洩事例
情報漏洩被害を未然に防ぐためには、実際に起きた事例を知っておくことも有効です。今回は次の3つの事例をご紹介します。
- 委託先従業員による不正が原因となった事例
- 元従業員による不正が原因となった事例
- 海外の委託業者による不正が原因となった事例
それぞれの状況で、どのように情報漏洩が起きてしまったのかを確認しておきましょう。
委託先従業員による不正が原因となった事例
1つ目の事例は、システム開発や保守、運用などを委託していたシステム管理企業の従業員によって引き起こされました。IDやパスワードを含む顧客情報を不正に入手され、顧客口座から現金が引き出されてしまったのです。
委託先の企業は、従業員が不正を行った分の被害額を支払う結果となりました。アクセス制御やログ監視、本人確認が適切に行われていれば防げていた可能性がある事例です。
元従業員による不正が原因となった事例
とある証券会社の元従業員が、顧客情報リストを盗み取った事例です。顧客情報には、氏名、住所や電話番号、性別、年齢などの基本情報を始め、口座番号や預かり資産額、金融資産などが含まれていました。
流出してしまった顧客情報の対象者には謝罪をしたうえで、情報が悪用される可能性があるとして注意が呼びかけられました。再発防止策としては、法令遵守意識の徹底や履歴管理、電子ファイルに関する管理ルールの再構築、点検の強化などが実施されています。
海外の委託業者による不正が原因となった事例
特にセキュリティ対策の実施状況や被害状況が把握しにくいのが、海外の委託業者による情報漏洩です。
再委託先の中国企業の従業員が、取引先情報や従業員情報などが含まれるプロジェクト管理データを未承認でダウンロードし、外部のクラウドにアップロードしていたという事例です。
被害を受けた企業は日本国内の企業に業務を委託していたものの、その委託先が中国企業に再委託をしていたことが情報漏洩を招いています。
また、安全性の確保されていない外部クラウドを個人アカウントで利用し、情報をアップロードしていたことから、再委託先企業におけるセキュリティ対策の甘さが露呈しました。
まとめ
社員や元従業員、委託先などの関係者によって引き起こされる内部不正による情報漏洩が増加傾向にあります。技術的な要因と人的な要因が組み合わさって起きる内部不正による情報漏洩は、被害が大きくなりやすく、対策が欠かせません。
データへのアクセス権限の見直しや、情報やファイルの管理と検知、持ち出し制御などの適切な対策を取る必要があるでしょう。ご紹介した内部不正事例も参考にしながら、自社に合った対策方法を模索してみてください。
内部不正による情報漏洩対策として、情報セキュリティポリシーに沿った個人情報ファイルの管理と社員に対するセキュリティへの意識づけに有効なのがP-Pointerです。
P-Pointerは、社内のパソコンやファイルサーバの中から、ファイルの内容や属性情報をもとに保管ルールに違反している個人情報ファイルを検出する「個人情報ファイル検出・管理ソリューション」です。
ファイルの所在をチェックし、自動で移動や削除が可能なため、個人情報ファイルの把握と安全管理に課題をお持ちの企業様に最適なツールです。
どこにどのような情報が保存されているかを事前に把握しておくことで、効果的な情報漏洩対策が図れます。
無料でP-Pointerの資料をダウンロードできますので、ぜひご確認ください。