2018年 6月 6日公開

読んで役立つ記事・コラム

【アーカイブ記事】以下の内容は公開日時点のものです。
最新の情報とは異なる可能性がありますのでご注意ください。

組織内部の不正行為を防止する方法

執筆:マネジメントリーダーWEB編集部

現状チェックと対策の見直しで内部の不正行為を未然に防ぐ。
従業員が会社の顧客情報や技術情報を不正に持ち出すなど、内部から情報が流出する事故が後を絶ちません。このようなリスクを回避するには、内部不正防止施策の徹底がポイントとなります。

1. 内部不正の発生要因は「不正のトライアングル」

企業・組織の内部不正行為は、「不正のトライアングル」という「動機・プレッシャー」「機会」「正当化」の三つの要因全てがそろったときに発生するといわれています。

動機・プレッシャー

プレッシャー(ノルマ・業務量)や処遇への不満などが、不正行為に至るきっかけとなる。

機会

単独で業務を行う物理的な環境や、技術的・専門的に高度な業務で業務内容の管理が困難な場合、チェック機能などの組織ルールが確立されていない、またはルールはあっても機能していない場合など内部者による不正行為の実行が容易な環境のこと。

正当化

良心の呵責(かしゃく)を乗り越える(正当化する)都合の良い解釈や他人への責任転嫁など、内部者が不正行為を自ら納得させるための自分勝手な理由付け。

内部不正を起こりにくくするためには、これら三つの発生要因を低減させることが有効です。中でも企業・組織として能動的に対策できるのが「動機・プレッシャー」と「機会」の低減です。

目次へ戻る

2. 潜在する内部不正のリスク

多くの場合、内部者が不正行為を働く職場には、組織のルールに反したわずかな内部不正が隠れている傾向があります。また、そもそもルールがない、ルールがあっても不備がある、といった場合もあります。内部者が不正行為に至る環境を経営層が認識し、内部不正を発生させない対策と環境の整備が重要です。

1.権限が分散されていない

特定の従業員に多くの権限が集中している場合、第三者の目を避け単独で重要情報を持ち出し、不正に使用し、さらにそれらの操作履歴を消すことも可能になります。

2.監視ができていない

従業員のアクセスや操作の履歴等のログを記録しても、その記録を監視しない場合、不正行為の前兆となる行為を検知することができず、発見が遅れて、被害が拡大します。

3.職場環境が不適切、または処遇に不満がある

劣悪な労働環境では内部不正が発生する可能性が高まります。例えば、多大な業務量や長時間勤務など、高負荷な状況が続くと、それがプレッシャーになり社内ルールに違反してまでも業務を遂行しようと、内部不正に至る可能性があります。

また、昇進・昇格や給与等の処遇への不満、上司や同僚とのコミュニケーション不足も内部不正の要因です。

目次へ戻る

3. 内部不正行為(情報流出)の対策

近年増えている組織内部からの情報流出について、内部不正を防止するための具体策と、IPA 独立行政法人 情報処理推進機構が2016年3月に公開した「内部不正による情報セキュリティインシデント実態調査」を参考に対策のポイントをご紹介します。

1.適切な権限管理

アクセス権やIDの管理が重要であることは理解されていると思いますが、以下の点に注意して適切に権限が管理されているか再チェックしてみましょう。

  • 特定の管理者に権限が集中しないように権限を分散する。
  • 管理者同士が相互に監視し、不正や見落としがない環境を作る。

ポイント

企業の経営者・システム管理者が考える「効果があると思う対策」は、「重要情報は特定の職員のみがアクセスできる」ことが1位、「ネットワークの利用制限がある」が2位であり、アクセス管理による対策が重視されています。

しかし、昨今では、効率を求めIT化を進めるうちに、気づいたら特定のシステム管理者が多くの権限を持っていたというケースもあるため、アクセス管理だけでなく、適切な監視ができているか再度確認しましょう。

  • * 参考:IPA 独立行政法人 情報処理推進機構「内部不正による情報セキュリティインシデント実態調査」p39

2.ログの記録と従業員への通知

「ログを残しておく」ことは、万一不正が発生しても追跡調査することを可能にし、また「ログを記録していることを従業員に知らせる」ことは、内部不正の抑止に高い効果が期待できます。重要情報へのアクセスおよび操作の履歴等のログを記録するとともに、以下の点に注意しましょう。

  • 管理者のログは、管理者以外の者が、定期的に確認し監視する。
  • 抑止の観点から、業務担当者にログが記録されていることを通知する。

ポイント

内部不正経験者が考える最も抑止力が高い対策は「ネットワークの利用制限がある(50.0%)」で、2位は「重要情報にアクセスした人が監視される(46.5%)」ですが、経営者およびシステム管理者は「重要情報は特定の職員のみアクセスできる(43.9%)」がトップで「重要情報にアクセスした人が監視される(27.0%)」は4位でした。

管理される側の従業員と管理する側の経営者・管理者との間で有効と考える対策にギャップが見られ、経営者が講じる対策は従業員への抑止力として必ずしも効果的に機能していない可能性があります。

  • * 参考:IPA 独立行政法人 情報処理推進機構「内部不正による情報セキュリティインシデント実態調査」p42

3.職場環境や処遇の見直し

従業員に不正行為を思いとどまらせる対策として、職場環境の整備が挙げられます。

経営者やマネジメント層が、昇進・昇格や給与等について公平で客観的であると思っていても、従業員が納得しているとは限りません。
また、特定の従業員に常態的に負荷がかかっている状況を経営層が気づいていないかもしれません。
内部不正防止の観点から、職場環境について見直しましょう。

適正な労働環境
職場環境や労働環境を整備して、業務量や勤務時間を適正化する。また、特定の従業員の業務負荷が極端に高い状況を是正する。
良好なコミュニケーション
相談しやすい環境を整備し、業務の支援や上司・同僚との良好なコミュニケーションが取れる職場環境作りを推進する。
公平な人事評価
公平で客観的な人事評価を整備し、従業員が評価内容を理解、納得できるよう、人事評価結果を説明する機会を設ける。また、適切な人員配置および配置転換をする。

ポイント

従業員が不正行為を働く動機を高める要因だと考えるのは、組織における労働環境の不満に関する項目が上位となっています。特に、故意の内部不正経験者のみの不正行為の動機では、1位の「業務が忙しく終わらせるために持ち出した(38.1%)」と、2位の「処遇や待遇に不満があった(26.1%)」、3位の「持ち出した情報や機材で転職を有利にしたかった(16.7%)」と比較して、割合が多くなっています。

  • * 参考:IPA 独立行政法人 情報処理推進機構「内部不正による情報セキュリティインシデント実態調査」p19

参考

内部不正による情報セキュリティインシデント実態調査(IPA 独立行政法人 情報処理推進機構)

目次へ戻る

4. 内部不正行為対策のまとめ

内部不正対策は組織内のルールの策定・周知・実施運用により、リスクが低減されます。
特にルールの周知と徹底は高い抑止効果があります。また、ルールの策定と運用にあたっては、経営者・管理者と従業員の意識のズレが生じないように、密接にコミュニケーションを図ることも大切です。

IPA 独立行政法人 情報処理推進機構では、2017年1月に「組織における内部不正ガイドライン」第4版を公開しています。ぜひ参考にしてみてください。

目次へ戻る

5. 内部不正を防止する環境を作るには

セキュリティを強化してオフィス内外からの脅威に備える

インターネット、パソコン・タブレット、サーバー、メール、オフィス文書など、不正を行う機会はさまざまな場所に潜んでいます。

アクセス・ログの管理・監視の強化を行い、内部の犯行、従業員の過失を未然に防ぎ、リスクに備えましょう。

オフィス内外からの脅威に備えるセキュリティ対策

セキュリティに関連する資料を無料でダウンロード

日々さらされている脅威から会社の「今」を守り、将来想定されているリスクから「未来」を守るため、セキュリティ対策は常に最新のものに更新しましょう。資料をぜひご覧ください。

守る! 備える! セキュリティ対策資料特集

  • * 本記事中に記載の肩書きや数値、社名、固有名詞、掲載の図版内容等は公開時点のものです。

目次へ戻る