内部不正とは、組織内部の人間が情報を不正に持ち出したり破壊したりする行為を指します。
デジタル化の進展や雇用・就業形態の多様化により、情報漏洩の手段・経路や内部者の範囲が拡大しており、企業には内部不正防止のための様々な取り組みが求められています。
内部不正の意味や実態、近年の実例、原因、防止対策などについて解説します。
内部不正とは?
内部不正とは、組織内部の人間が犯す情報セキュリティ上の不正行為を指します。
IPA(情報処理推進機構)が定めた内部不正対策ガイドライン(「組織における内部不正防止ガイドライン第5版」)では、内部不正を以下のように定義しています。
- 内部者(派遣社員・退職者・委託先社員なども含む)による重要情報の窃取、持ち出し、漏えい、消去、破壊など
- 不正競争防止法・個人情報保護法・刑法などに関わる違法行為だけでなく、情報セキュリティに関する内部規程に違反する行為(規程の無視・軽視・誤認識に由来する情報流出など)も含む
重要情報とは?
IPAの定義にある「重要情報」とは、企業が内部にとどめておきたいと考える重要な情報を指します。
言い換えれば、外部に流出すると事業に悪い影響を及ぼす恐れのある情報です。
具体的には、以下のような情報が該当します。
- 個人情報保護法により組織内部での適切な管理が求められている個人情報
- 不正競争防止法により保護される営業秘密(企業の競争力向上に有用な情報で、秘密として明確に管理され、一定の情報保有者の管理下以外では入手できないもの)
- 営業秘密には該当しないが、アクセスを一定範囲に限定したい情報
- 輸出入や国際間での技術提供の際に、安全保障の観点から外為法に基づいて適切な管理が求められる技術情報
企業としては、重要情報とそれ以外の情報を区別し、重要情報には重要度により格付けを施して、格付けに応じた管理(アクセス制限など)を行うことが求められます。
内部不正による被害・影響
内部不正が行われると、以下のような直接的・間接的な被害・影響が生じます。
- 営業秘密(独自技術・ノウハウなど)の流出による競争優位性低下
- 流出した情報に関係する事業の中断・中止・軌道修正などによる損失・コスト増加
- 内部不正の調査や社内での事後処理、損害賠償訴訟、刑事告訴・捜査協力などに要するコストの発生
- 社会的信用・評判・ブランドの低下による顧客離反・ビジネス機会損失・株価低下
- 個人情報や独自技術情報の流出により損害を被った取引先・顧客・ライセンサーなどに対する損害賠償の発生
内部不正の手口・情報流出経路
意図的な内部不正の主な手口や情報流出の経路・媒体をまとめると以下のようになります。
| 手口 | 経路・媒体 |
| 通常業務で知り得た情報(顧客情報・技術情報・事業計画など)の持ち出し 在職時に取得した情報を退職後に漏洩 情報システムへのアクセス権限を有する者が権限を悪用して情報を詐取 アクセス権限を不正に入手して情報を詐取 データやシステムの破壊・改ざん | USBメモリ 電子メール SNS Webアップロード ハードディスク ドライブパソコン紙面 |
現代の内部不正の実態
IPAが2015年に行ったアンケート調査(「内部不正による情報セキュリティインシデント実態調査」)によると、従業員300名以上の企業の8.6%(300名未満の企業の1.6%)で内部不正が発生しています。
意図的な内部不正の手口、不正を起こした人の属性、起こした理由で多かったものをまとめると以下のようになります。
| 従業員300名以上の企業における割合 | 従業員300名未満の企業における割合 | |
| 手口 | 内部規程違反 80.0% 職務で知りえた情報の持ち出し 75.5% 職務で知り得た情報の目的外利用(売買など) 58.2% システムの破壊・改ざん 50.0% | 内部規程違反 75.7% 職務で知りえた情報の持ち出し73.0% 職務で知り得た情報の目的外利用(売買など) 56.8% システムの破壊・改ざん 54.1% |
| 属性 | システム管理者37.3% 技術者・開発者35.5% 派遣社員19.1% 委託先社員17.3% 経営層・役員13.6% 退職者12.7% | 技術者・開発者37.8% システム管理者29.7% 退職者24.3% 派遣社員13.5% 委託先社員8.1% 経営層・役員5.4% |
| 理由 | 内部不正を起こしたことがある人が不正の理由として挙げた事項の割合 | |
| ルールを知りながらつい違反してしまった 40.5% ルールを知らずに違反した 17.5% 業務を終わらせるために持ち出す必要があった 16.0% 処遇や待遇に不満があった 11.0% ルール違反の常習者がいたので自分もやった 7.0% 転職や起業を有利にするため 3.5% 企業・組織や上司に恨みがあった 3.0% 情報・機材を換金するため 1.5% | ||
内部不正の被害事例
近年発生した内部不正の事例を2つ取り上げ、被害の内容や企業が取った対応などを紹介します。
事例① 楽天モバイルに転職のソフトバンク元社員による営業秘密の不正持ち出し
ソフトバンクに在籍しネットワーク構築に関わる業務に従事していた社員が、2019年末に退職する際に、4G・5G通信ネットワークの基地局設備や固定通信網に関する技術情報を不正に持ち出した事例です。ソフトバンクは同情報が営業秘密に該当するとしています。
同社員は当該情報を保有したまま楽天モバイルに転職しており、楽天モバイルの業務用PC内に当該情報が保管されていることから、ソフトバンク側は当該情報を楽天モバイルが利用している可能性が高いと見ています。
一方、楽天モバイル側の見解では、当該情報を業務に利用していた事実は確認されておらず、当該情報に5G関連技術情報は含まれていないとしています。
2021年5月、ソフトバンクは同社員と楽天モバイルに対し、同情報の利用停止・廃棄、約1,000億円の損害賠償、同情報をもとに建設されたと考えられる基地局の使用差止を求めて民事訴訟を提起しました。
同訴訟は現在係争中です。
それに先だって、ソフトバンクは同社員による被害を警視庁に申告しており、警視庁は2021年1月に同社員を不正競争防止法違反の容疑で逮捕し、同年2月に起訴しました。
2022年12月の一審判決(東京地裁)は同情報が営業秘密に当たると認定し、同社員が転職先で役立てようとして同情報をクラウドサーバーにコピーしたりメールで送信したりして持ち出したとして、営業秘密侵害罪により懲役2年・執行猶予4年・罰金100万円を言い渡しました。同社員は判決を不服として控訴しています。
ソフトバンクは今回の出来事を受けて以下の再発防止策を打ち出しています。
- 情報資産管理ポリシーの厳格化・棚卸し、アクセス権限の再度見直し
- 退職予定者の業務用情報端末アクセス権限停止・利用制限強化
- 全役員・社員向けセキュリティ研修の必修化(未修者による重要情報資産アクセスを禁止)
- 業務用OA端末利用ログ全般に対する監視システム導入
事例② 学生マンション大手ジェイ・エス・ビーの従業員による顧客情報の持ち出し
学生向けマンション賃貸を始めとする不動産事業を展開するジェイ・エス・ビーの従業員がマンション契約者の顧客情報を持ち出した事例です。
2023年1月、マンション契約者に対し同社のブランド名を用いてウォーターサーバーや電気・インターネット契約の勧誘が盛んに行われ、それに関する問い合わせ・苦情が同社に多数寄せられたことで、情報流出の疑いが発覚しました。
勧誘元や社内の調査、警察への相談などを経て、同従業員が顧客情報を外部の業者に提供していた疑いが浮上し、外部専門家を交えて面談を行ったところ、同従業員は情報持ち出し・漏洩の事実を認めました。同従業員には懲戒解雇処分が下されました。
同従業員は同社顧客管理システムにアクセスし、マンション契約者29,000人の個人情報(入居物件名や氏名・性別・住所・電話番号・年収、緊急連絡先電話番号、学校名・在籍予定期間など)を入手して、外部の業者に漏洩していました。
同社は漏洩情報を入手した業者から書面により勧誘停止・当該情報削除完了の確約を取得するとともに、捜査当局と連携して引き続き真相解明と被害発生防止に向けた対応を進めています。
また、セキュリティ強化対策として、全社を対象に顧客管理システムの一部機能使用制限措置を取っており、さらに、当該システムの全体的なセキュリティ見直し、情報管理ルールの徹底、個人情報保護に関する教育などを継続的に実施していくとしています。
内部不正が発生する原因
内部不正の原因を説明する理論としては「不正のトライアングル」が有名です。原因を「人的要因」と「技術的要因」に分類する考え方もよく用いられます。
不正のトライアングル
「不正のトライアングル」は内部者による横領の発生原因を説明するために犯罪学者ドナルド・クレッシーにより考え出された理論です。
内部不正の原因の説明にも応用されます。
この理論によると、不正の原因は「動機・プレッシャー」「機会」「正当化」の3要素からなり、この3要素が組み合わさって「不正のトライアングル」が成立したときに不正が発生します。
内部不正の場合、以下のような要素が組み合わさって発生すると考えられます。
- 動機・プレッシャー:個人的な金銭問題、処遇・待遇・人間関係に関する不満・復讐心、強い出世欲など
- 機会:内部不正を秘密裏に実行できる手段・環境があること(重要情報が適切に管理されておらず持ち出しや不正アクセスによる詐取が容易、など)
- 正当化:不正を正当化するもっともらしい理由を抱くこと(例:「会社・上司のほうこそ自分に不正を働いている」「自分は不当に評価されているのだから不正な手段に出てもいたしかたない」「情報管理のルールなんて徹底していないのだから多少破ったって構わない」)
人的要因・技術的要因
人的要因は不正を犯す人自身の中にある要因です。
不正のトライアングルで言えば「動機・プレッシャー」「正当化」に当たります。
不正につながる動機や正当化を「現に今」胸に抱いているのであれば、人的要因が顕在化した状態です。そうした動機・正当化を抱きやすい性格や生活スタイルを持っている人は、潜在的に内部不正の人的要因を有していると言えます。
技術的要因とは、人に不正を犯す機会を与えてしまうような管理状況のことです。
例えば
- 情報システムの管理が甘く、アクセス権限を持たない人でも容易にアクセスが可能な状況
- アクセス履歴(ログ)を監視する仕組みがない状況
- USBメモリ・PCなどの持ち出し・持ち込みの制限が緩かったりする状況
などが、技術的要因に当たります。
内部不正を防止するためには、人的要因と技術的要因の両面への対策を練る必要があます。
内部不正防止の基本原則と主な防止対策
IPAの内部不正防止ガイドラインでは、状況的犯罪予防理論に基づいた内部不正防止の基本原則と対策例が提示されています。
状況的犯罪予防理論では、
- 犯行を難しくする
- 捕まるリスクを高める
- 犯行の見返りを減らす
- 犯行の誘因を減らす
- 弁明(正当化)をさせない
という5つの基本原則をもとに犯罪予防対策をまとめます。
内部不正防止対策に適用すると以下のようになります。
| 基本原則 | 主な対策例 |
|---|---|
| ①犯行を難しくする | ・アクセス管理の徹底(情報の格付けに基づいたアクセス制御 ・パスワードポリシー設定など)私物情報機器(USBメモリ・ノートPCなど)の持ち込みの制限未許可端末によるシステムへのアクセスを自動的に検知するシステムの導入SNSや公衆無線LANの利用制限社用機器持ち出し・持ち帰り時の検査社内端末設置場所への入退出制限退職者のアカウントの即時削除 |
| ②捕まるリスクを高める | アクセス・データ利用の実態把握アクセスログ監視システムの導入システム上の不審な動作を検知し不正行為発生の可能性を未然に警告するセキュリティシステムの導入監視カメラの整備社内通報制度の整備単独作業の制限 |
| ③犯行の見返りを減らす | データ・記憶装置・通信の暗号化退職者との間で競業避止義務契約を締結 |
| ④犯行の誘因を減らす | 公正な人事評価の実施労働条件・労働環境の適正化ハラスメントに対する迅速・適切な対応モチベーション管理システム・離職防止システムの導入 |
| ⑤弁明(正当化)をさせない | 内部不正防止対策を明確に策定し、就業規則・業務委託契約などに盛り込む内部不正防止対策の組織内外への掲示社内教育により管理ルール・防止対策を周知徹底情報の格付け・管理レベルを随所に掲示必要に応じて重要情報に関する秘密保持契約やルール遵守に関する誓約書を内部者と取り交わす |
内部不正防止対策を新たに策定したり、再検討したりする際には、IPAガイドラインのチェックシート(付録Ⅱ、102ページ以降)を利用すると便利です。
情報セキュリティ関連業者のなかには内部不正防止のための専門ツールや総合的なソリューションを提供しているところがあります。
そうしたサービスを利用すればより効果的な防止対策が可能になるでしょう。
内部不正が発生した際の対処法
内部不正による情報漏洩が疑われる事態が発生した場合、必要に応じて弁護士やデジタル・フォレンジック(不正に係る電磁的記録の証拠保全・調査・分析サービス)の専門機関などと連携しつつ、以下のような行動を迅速に遂行していきます。
- 被害状況の調査と被害拡大防止措置
- 内部不正の手口や容疑者の探索
- 個人情報流出時には、個人情報保護委員会への報告、流出した個人情報の所有者本人への通知
- 不正競争防止法違反などの刑事事件が疑われる場合は、警察への相談・被害届提出・告訴
- 民事訴訟・刑事告訴を見据えた証拠保全
- 人事担当者・法務担当者・弁護士などを交えて協議した上で、規程に基づき内部不正者への処罰を実施
- 再発防止策の策定と社内外への公表(社会的信用低下を防ぐため社外一般にも開示)
まとめ
内部不正は人的要因(不正の動機・正当化)と技術的要因(不正を犯しやすい管理体制)が合わさったときに起こります。
企業としては、不正の動機・正当化を抱かせない職場づくりや不正を起こしにくくさせるセキュリティ体制の構築のために、多種多様な取り組みが求められます。
内部不正発生時には弁護士などの専門家と連携して迅速に対応を進める必要があります。内部不正防止対策の一環として、専門家の活用方法や連携方法について検討しておくことが重要です。
木下慎也 弁護士
大阪弁護士会所属
弁護士法人ONE 代表弁護士
大阪市北区梅田1丁目1-3 大阪駅前第3ビル12階
06-4797-0905
弁護士として依頼者と十分に協議をしたうえで、可能な限り各人の希望、社会的立場、その依頼者らしい生き方などをしっかりと反映した柔軟な解決を図ることを心掛けている。
