【内部不正の事例】教育産業、電機大手、家電量販などで被害の大きい内部不正事件が起きる
2014年に起きた教育産業大手による個人情報の大量流出事件は記憶に新しい。子どもと保護者などの個人情報約3504万件が流出するという、国内では史上最悪の流出事件となった。委託先社員によって持ち出され、名簿業者に販売、さらには競合他社がそれを利用するという「内部不正で考えうる最悪の事態」が重なっている。
これ以外にも2014年以降に大規模な内部不正事件がいくつか起きている。IPA(独立行政法人情報処理推進機構、以下IPA)のまとめを見てみよう。
IPAによる2014年の内部不正まとめ(内部不正の現状とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
このうち象徴的な内部不正の事例を三つ取り上げ、何がポイントだったのかを見ておきたい。
事例1:技術者がフラッシュメモリーの技術情報を持ち出し。海外の転職先で利用(2014年3月)
フラッシュメモリーの技術情報が内部不正によって持ち出された事例(内部不正の現状とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
電機大手のフラッシュメモリー研究データを、提携先企業の社員が取得。この社員に対し、海外の企業が研究データを提供することを条件にヘッドハンティングした。流出データを基にしてフラッシュメモリーの製造が行われた。
背景:技術者の退職によって、技術情報が持ち出された典型的なパターン。犯人である技術者は処遇に不満があったと言われている。
影響:海外の競合他社に技術情報を持って行かれた影響で、シェアを大きく失ったと言われている。賠償金300億円を得て和解はしているものの、元の賠償請求は1,100億円であり、企業の経営を左右する事態であったことは間違いない。
事例2:教育産業大手で約3504万件の個人情報流出。委託先社員がスマートフォン接続で入手し名簿業者へ転売(2014年7月)
教育産業大手での内部不正流出。委託先SEによるものだった(内部不正の現状とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
教育産業大手の内部不正事件では、委託先社員が顧客情報をコピーして名簿業者に売り渡した。顧客データベースを管理する委託会社の社員による不正で、お金に困った末の犯行だった。
背景:この企業は内部不正対策が比較的しっかりしていた。データベースを扱う部署への入出管理を行っていたほか、USBメモリーの利用を禁止する流出対策ソフトも導入されていた。しかしながらスマートフォンをUSBで接続した場合に、外部メモリーとして使える機能(MTP:Media Transfer Protocol)への対策が行われておらず、犯人がその穴を偶然に見つけて犯行におよんだ。また金銭目的で個人情報を名簿業者に売ってしまい、名簿業者間で転売が繰り返されたことで、流出をストップさせる方法がないという事態に陥っている。
影響:対応と改善策のために膨大なコストが発生している。まず流出した顧客に対して500円の金券をお詫びで出し、流出関連の事務費用を含めて特別損失306億円を出した。この影響で、20年前の上場以来初となる最終赤字(107億円:2015年3月期)となった。
さらに会員が94万人減少し、役員2名が辞任。改善策として情報管理の別会社をセキュリティ会社と設立し、抜本的に情報管理を見直した。これら流出に関連するトータルコストは400億円にも及ぶと見られている。
事例3:家電量販店の社員が顧客情報などを盗む。転職先から遠隔操作を行っていた(2015年1月)
家電量販店チェーンの元社員が、退職前に事務所のPCに遠隔操作ソフトを導入してから退職。別の量販店チェーンに就職し、そこから遠隔操作ソフトを使って元の会社のネットワークにアクセスし、顧客情報などを盗みとっていた。
背景:同業他社へ転職した社員が、遠隔操作ソフトで情報を盗みとった例。元会社のシステムが、退職者でも90日間アカウントが有効になっていたことが原因の一つだった。
内部不正による情報流出は、大きな金銭的損失を出す場合がある。中堅・中小企業であれば企業の経営を脅かす事態になるだろう。
企業側の課題は適切な内部不正対策だ。IPAがまとめた資料によると、社員は「社内システムの操作の証拠が残る」「アクセスした人への監視」「同僚がルール違反をして処罰された」などを恐れているが、それらの対策を実行している企業は少数となっている。つまり企業側の対策が十分ではないのである。企業は、前述のような社員が恐れる対策を取るべきだ。
目次へ戻る
【内部不正対策】人、組織、技術の三つの輪で内部不正を防ぐ
では内部不正を防ぐには、企業はどのような対策が必要なのだろうか。IPAがまとめている対策の柱は三つ、「人」、「組織」、「技術」の面からの検討である。
内部不正対策は、人的要素=職場環境・教育、組織=管理体制・ルール、技術的要素=システム、の三つが必要だ(内部不正の実例とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)。
内部不正は技術的な対策だけでは防げない。人的要素=職場環境・教育、組織=管理体制・ルール、技術的要素=システム、の三つの輪で、内部不正が起きにくい職場環境をつくることが大切だ。
内部不正対策は、IPAが「組織における内部不正防止ガイドライン」で詳しくまとめている。
参照:IPA: 「組織における内部不正防止ガイドライン」
10の要素と30の対策項目があるが、ここではジャンルごとにまとめ直して概要を紹介しよう(内部不正の現状とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)。
基本対策:重要情報の特定、システム対策
内部不正を防ぐ、最低限の基本対策は三つある。
内部不正による情報漏えいのリスク低減策(内部不正の実例とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
・基本対策1:重要情報を特定し適切なアクセス権限を付与
どれが重要情報なのか格付けを行い、重要度ごとに取り扱いを決める。従業員に分かるように「機密情報」などと表示すること(ラベル付け)。また重要情報へアクセスできる人を最小限とし、アクセス権限は定期的に見直す。特に重要な情報は、時間やアクセス数などの条件を決めて制御する。
・基本対策2:重要情報の持ち出し・可搬媒体の持ち込み監視
モバイル機器やUSBメモリーの業務利用、持ち込みを制限する。特にサーバールームへの持ち込みと利用を厳しく制限すること。デバイス制御ソフトによってUSBメモリーやスマートフォン、デジタルカメラを接続できないようにする。
・基本対策3:定期的な操作履歴の監視・監査
重要情報へのアクセス履歴、利用者の操作履歴等のログを記録する。ログを定期的に監査し、多量のファイルへのアクセス、業務範囲外のファイルへのアクセス、大容量のデータコピーなどの異常な事態がないかチェックする。
ケース別対策1:退職に伴う情報漏えい
営業秘密の漏えいは、中途退職者によるものが最も多い。そのため退職前の監視強化と、退職時の手続きをしっかりすることが重要だ。
中途退職者に対する監視強化(内部不正の実例とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
・退職前の監視強化
退職の数週間前からその従業員のパソコン等をシステム管理部門等の管理下に置く。なんらかの形で監視されていると意識させることで不正行為を抑止する。退職する従業員の電子メールのやりとりや、USBメモリーへのコピー、プリントアウト等による情報の持ち出しを、操作ログを取り監視する。また重要な情報へのアクセスやUSBメモリーの利用を制限する。
・退職時の手続き
入館証を回収し、貸出機器を返却させる。速やかに情報システムのアカウントを削除すること。退職後に重要情報が競合他社に渡らないよう秘密保持契約(誓約書を含む)を結ぶことが望ましい。さらに、非常に重要な情報を扱っていた従業員が競合相手に転職しないよう、競業避止義務契約を締結する。ただし、職業選択の自由を侵害しないよう適切な範囲に設定する必要がある。
ケース別対策2:システム管理者による不正行為
システム管理者は大きな権限を持つだけに、内部不正が起きた場合に大きな事故に発展する可能性が高いので注意したい。
システム管理者による不正行為による危険要因(内部不正の実例とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
・適切な権限管理
特定のシステム管理者に権限が集中しないように権限を分散する。システム管理者が一人の場合は、操作履歴をシステム管理者以外の者が確認するといった方法でリスクを低減させる。システム管理者が相互に監視し、不正を行うことが困難な環境をつくる。またシステム管理者ごとにIDを割り当て、内部不正行為を特定できるようにする。
・システム管理者の監視
システム管理者のアクセス履歴や操作履歴を記録し、システム管理者以外の者が定期的に監査する。担当者にログが記録されていることを通知する。
ケース別対策3:委託先からの情報漏えい等
難しいのが委託先での情報漏えい対策だ。契約をはっきりさせるだけでなく、委託先のセキュリティ対策がしっかりしているかチェックすることも欠かせない。
委託先による情報漏えいの危険要因(内部不正の現状とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
・重要情報の取り扱いに関する委託先管理
重要度に合わせた取り扱い(受け渡しや廃棄)の手続きを定め、委託先、再委託先にも順守させる。関係者に開示した重要情報の廃棄・消去の記録を取得する。委託元は現状の体制(開発・運用チームの構成、役割)を把握し、定期的にチェックを行うこと。委託先は重要情報を管理する仕組みをつくること。また外部のセキュリティ監査を定期的に実施し、監査結果を報告させる。
・契約への安全管理事項の盛り込み
第三者が提供するサービス(クラウドなど)を利用する場合は、セキュリティ管理策、サービスレベル、ログの提供等を事前に確認し合意する。
ケース別対策4:職場環境に起因する不正行為
内部不正の動機の多くは、処遇や職場環境の不満によるものとなっている。公正な人事評価、適正な労働環境の整備が欠かせない。
職場環境の整備(内部不正の実例とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
・公平な人事評価
公平で客観的な人事評価を整備し、従業員が評価内容を納得できるように評価。また評価の結果を説明する機会を設けること。
・適正な労働環境
業務量や勤務時間を適正化する。特定の従業員の業務負荷が極端に高くならないようにする。
・良好なコミュニケーション
相談しやすい環境を整備し、業務の支援や上司や同僚との良好なコミュニケーションが取れる職場環境をつくる。
ケース別対策5:従業員による悪意のない不正行為
本人に悪気がない場合にも流出が発生する。自宅で作業するために社内情報を持ち出し、その際にPCの紛失・盗難に遭う事件が頻発している。メールの誤送信、SNSや掲示板への安易な書き込みにも注意すべきだ。
・教育による周知徹底
社員に対し、SNS等を利用した情報発信での注意事項、内部不正を発見したときの通報の手順などを教育する。またメールのアーカイブ等の監視やモニタリング等を行っていることを説明し、内部不正への抑止策とする。
・情報漏えい対策
USBメモリーなどの使用制限、BYOD(Bring Your Own Device:私物の端末を業務利用すること)のルール策定、SNSや掲示板へのアクセス制限、盗難紛失時の対策、データの暗号化などを行う。
ケース別対策6:早期発見
内部不正の予兆を見逃さず、発見した場合にいち早く対応できるように通報窓口を設置する。
・通報制度の整備
内部不正の通報窓口を設置し、具体的な利用方法を社員に対して教育する。また通報窓口(ホットライン等を含む)には、問題が発生した部門での隠蔽(いんぺい)行為を防ぐため、複数設置する。併せて通報者が通報行為により不利益を受けないよう匿名性を確保する。
ケース別対策7:内部不正発生時の対応(事後対応)
内部不正が起きた場合に被害を最小限に抑えるため、事後対応を決めておく。
内部不正発生時の事後対応(内部不正の実例とその対策~内部不正防止ガイドラインより有効な対策を探る~:IPA)
・対応手順、報告手順の事前の取り決め
上記のように初動対応から、抑制措置、事後対応までをシミュレートし、誰が責任を持って対応するのか決めておく。
・処罰を検討と再発防止策
抜本的な再発防止策を検討・実施し、被害者に対する損害補償を行う。併せて社員に対する処分と、社内への事例告知を行って再発防止に努める。
目次へ戻る
【内部不正対策まとめ】トップダウンで組織横断の取り組みを
この対策を実行するために、具体的なソリューションをJNSA(日本ネットワークセキュリティ協会)が「内部不正対策ソリューションガイド」としてまとめている。どのようなシステムを入れればよいのか、社員の教育プログラムはあるのか、といったことが分かるので参考にしてほしい。
JNSA(日本ネットワークセキュリティ協会):「内部不正対策ソリューションガイド」
最後に内部不正対策のポイントをまとめておこう。IPAでは四つのポイントを呼び掛けている。
内部不正にはトップダウンで組織を横断して取り組む
経営者は、経営戦略にのっとって内部不正対策の方向づけを行うとともに、対策実施のために必要な人材や予算などのリソースを確保する。
職場環境を見直し、内部不正が発生しにくい環境をつくる
「公正な人事評価」「適切な労働環境」「良好なコミュニケーション」を整備する。たとえ“穴”を見つけても不正行為の実行を思いとどまらせるような根本的な防止策を取る。
ITの技術進歩や新たな脅威等に応じ、継続的に対策を見直す
新しいITの採用やインフラのバージョンアップ時に要注意。導入済みの製品やソリューションを確認する。
ログの監視で早期発見する
ログを記録するだけでなく、定期監査を行うこと。チェックしていることを社員に通知して、抑止効果にする。
中堅・中小企業の経営者・担当者は、以上の四つを頭に入れて、内部不正対策に取り組んでほしい。内部不正はどの企業にも起きうることなので、コストを掛けて対策に取り組むことが大切だ。
目次へ戻る