企業向け情報漏洩対策ソリューション

25/01/16

内部不正対策とは?主な手口と効果的な方法を解説

顧客情報の持ち出しや機密データの漏洩、不正送金、経費の私的流用など、内部不正は企業・団体の信用を一瞬で失墜させ、甚大な損害をもたらします。また特に高度な機密情報や個人情報を扱う企業・医療機関・公共機関では、より確実な対策が求められます。

本記事では、内部不正の主な手口と傾向を分析すると共に、IPAガイドラインに基づく実効性・網羅性の高い対策を解説。アクセス管理から従業員教育まで、具体的な進め方とツールによる効率的な運用方法を提案します。

目次

  1. 内部不正の基礎知識
  2. 内部不正対策に役立つ「内部不正防止ガイドライン」
  3. 内部不正対策の3つの柱と具体的な対策
  4. 内部不正対策の課題と解決策
  5. まとめ

内部不正の基礎知識

一定規模の企業・団体であれば、多くの組織が内部統制や個人情報保護等の対応のため、何らかの形で内部不正対策に取り組んでいます。しかし、形式的な対応では防げない内部不正も、後を絶ちません。

ここでは、内部不正の定義や類型について、改めて全体像を確認しましょう。

内部不正とは?定義と影響

内部不正とは、組織の内部関係者(従業員、派遣社員、委託先社員など)が引き起こす情報漏洩、データ改ざん、資産の流用といった、組織に損害を与える行為を指します。

一般には故意によるものを指しますが、本来踏むべき手続きの省略等、過失による事故も内部不正に含める場合があります。内部不正が発生すると、金銭的な損失だけでなく、社会的信用の失墜や取引先との関係悪化など、組織に深刻な影響をもたらします。

対策が不十分だった場合、個人情報保護法違反にくわえ、Pマーク認証の取り消しなど、組織の事業継続にも関わる事態となりかねません。

内部不正の主な類型

これらの内部不正を、よりくわしく分類すると以下のようになります。

分類具体例
情報関連の不正・顧客情報や個人情報の持ち出し・漏洩
・営業秘密・技術情報の流出
・データの改ざんや破壊
・システムの不正利用
金銭的な不正・会社資産の横領
・経費の私的流用
・売上金の着服
・預かり金の流用
業務プロセスの不正・検査の未実施や記録の改ざん
・品質基準・仕様の無視
・業務手続きの省略
・必要な資格・許認可の無視
取引先との不正・架空発注や水増し請求
・取引先からのキックバック
・発注先との談合
・取引先への便宜供与

情報漏洩や経理担当の横領などは日々報じられていますが、大規模な事例として以下が挙げられます。

・2014年、通信教育大手で数千万人の個人情報が名簿業者に流出した例
・2021年、大手化学メーカーの技術情報が海外社へ流出し、元従業員が不正競争防止法違反で有罪となった事例
・2022年、通信大手元社員が営業秘密を転職先に持ち出し不正競争防止法違反で有罪となった事例
・2024年、元行員が数年にわたり、銀行の貸金庫から十数億円相当窃取していたことが発覚した事例

※関連記事:
・情報漏洩の事例【最新版 2024年 上半期】
・ウイルスより恐ろしい、退職者による情報漏洩!

内部不正対策が不十分だとどうなるか

こうした内部不正では、単なる「従業員の不祥事」ではなく、組織の管理体制そのものが問われる場合があります。たとえば、従業員が顧客情報を長期にわたって持ち出していた場合、対外的にも以下のような説明が求められるでしょう。

  • いつから情報漏洩が始まり、どの範囲の情報が流出したのか
  • アクセス権限は必要最低限に設定されていたのか
  • 不正な操作を監視していなかったのか
  • 定期的な監査はおこなっていたのか

必要な対策がおこなわれていなかった場合、社会的な信用の喪失はもちろん、Pマーク認証の取消しで入札資格を失うなど、組織としても長期の影響が出ることになります。

不正のトライアングル(動機・機会・正当化)とは?

どんな時に内部不正が発生しやすいかという視点では、一般に動機・機会・正当化の3要素が重なったときが危ないとされています。これらは「不正のトライアングル」と呼ばれ、内部不正対策を考える上での基本的な考え方となっています。

「動機」は金銭目的や組織への不満など、不正行為の引き金となる理由です。
「機会」はシステムの権限設定の不備やログ管理の形骸化など、不正を可能にする環境です。
「正当化」は「どうせバレない」「皆やっている」という不正を自分の中で許容する心理です。

これら3つの要素のうち、組織としてもっとも効果的に対策できるのが「機会」です。適切なアクセス制御やログ管理、定期的な監査等、物理的に不正の機会を減らし、発覚を早めるような仕組みづくりが進められています。一方で「動機」や「正当化」は個人の内面に関わるため、従業員教育などを通じた地道な取り組みが必要となる部分があります。

内部不正対策に役立つ「内部不正防止ガイドライン」

本格的に内部不正対策をおこなうには、相応の予算と人員が必要です。また、どこまで実施すれば社会的に必要十分と言えるかも、悩ましいところです。

対策の担当者には、対策の妥当性を経営層に説明し、必要な予算やリソースを確保する役割が求められます。また、実際に対策を進める際には、抜け漏れなく網羅的な対策を講じる必要もあります。

実は、こうした課題に応える指針として、経済産業省関連機関のIPAが「組織における内部不正防止ガイドライン」を公開しています。

この内部不正防止ガイドラインには、多くの内部不正事例の分析と対策の知見をもとに、組織での対策の推進方法を示しています。IPAの内部不正防止ガイドラインは100ページ超ありますが、これだけの内容を自社で一から考えるのはなかなか困難です。こうしたガイドラインを元に全体像を把握したり、妥当性や網羅性が必要十分であることを社内に説明する根拠の一つとして、活用しましょう。

内部不正対策の3つの柱と具体的な対策

内部不正対策では、推進体制を構築し情報資産の棚卸しや優先順位などを付けた後、
(1)アクセス権限、(2)操作制限、(3)従業員教育、それぞれの分野での対策を実施します。

対策には、立ち入りの管理など物理的な対策もありますが、ここでは技術的管理や人的管理、またそれらを通じた原因究明と証拠保全について概観します。

(1)アクセス権限の適切な管理

内部不正防止の基本となるのが、適切なアクセス権限の管理です。必要最小限の権限付与を原則とし、定期的な棚卸しと見直しを行います。

 ・職務に応じた権限設定
 ・管理者IDの厳格な管理
 ・異動・退職時の速やかな権限変更
 ・アクセスログの取得・保管

(2)操作制限・モニタリング

権限管理に加えて、重要な情報資産への具体的な操作制限とモニタリングが必要です。

 ・外部記憶媒体の利用制限
 ・メール添付ファイルの制限
 ・印刷操作の記録
 ・大量データアクセスの検知
 ・通常と異なる操作パターンの把握

こうした対策には、セキュリティ専門企業による対策ソフト・システムを利用することが一般的で、TSS LINKでも複数の製品を提供しています。

※関連記事:
・社員がデータを持ち出す5大経路と実効性ある禁止方法
・パスワードをかけるファイル暗号化では不十分?企業に求められるファイルセキュリティ対策
・内部不正を防ぐ、ファイルサーバーのセキュリティ対策

(3)従業員教育と意識付け

技術的対策だけでなく、人的な対策も重要です。

 ・情報セキュリティ研修の定期実施
 ・誓約書の取得
 ・内部不正の事例共有
 ・通報制度の整備
 ・処分規程の明確化と周知

インシデント発生時の対応手順

対策とともに、万が一の際の対応手順も明確にしておく必要があります。

 ・発見時の報告ルート
 ・初動対応の手順
 ・証拠保全の方法
 ・調査委員会の設置基準
 ・対外公表の判断基準

これらの対策は、単独では十分な効果を発揮できません。セキュリティはもっとも弱い部分が狙われやすいため、(1)アクセス権限、(2)操作制限、(3)従業員教育の3つの柱をバランスよく組み合わせ、網羅的に実施することが重要です。
IPAガイドラインでは、これらの具体的対策についても実施手順や運用上の留意点を示しており、漏れのない効率的な対策の実現に役立ちます。

※関連記事:情報漏洩が発覚したら、こう対応する!

内部不正対策の課題と解決策

これまで見てきた内部不正対策には、いくつかの限界と課題があります。

運用負荷と人的ミスのリスク

内部不正対策の多くは日常的な運用が必要です。アクセス権限の管理、各種ログの確認、従業員教育の実施など、担当者の負担は小さくありません。

また、人手による運用は必然的にミスや見落としのリスクを伴います。特に、従業員の異動や部署の再編が発生するたびに、きめ細かな権限の見直しが必要となります。

対策の抜け漏れリスク

内部不正対策は、(1)アクセス権限、(2)操作制限、(3)従業員教育など、多岐にわたる施策を組み合わせて実施する必要があります。これらを個別に運用していると、対策の抜け漏れが発生しやすくなります。

たとえば、一時的なアクセス権限の付与を忘れたままにしたり、特定のシステムだけログ取得が漏れていたりといった事態が起こりえます。

高度な機密情報を扱う組織の課題

製造業の設計情報や、金融機関の取引データ、医療機関の診療・病歴情報など、特に高い機密性が求められる分野では、より確実な対策が求められます。

悪意をもった内部関係者による不正では特に、通常のルールベースの対策だけでは検知や防止が困難です。正規の権限を持つ利用者による情報持ち出しや、アクセス権限の悪用などは、従来型の対策では十分に対応できない場合があります。

内部不正対策の高度化に向けて

運用負荷の軽減、対策の抜け漏れ防止、そして高度な機密情報の保護。これらの課題を解決するためには、情報漏洩につながる操作自体を制限できる仕組みが必要です。

同時に、過度な制限は業務効率の低下や、使用を許可していないツールやサービスを従業員が勝手に使ってしまう「シャドーIT」を招く恐れがあり、セキュリティと操作性のバランスも重要な課題です。

導入実績多数!TSS LINKの情報漏洩対策ソフト「コプリガード」

TSS LINKは数十年にわたり製造業、官公庁、金融サービスなど、高い機密性が求められる組織向けに情報漏洩対策ソフトを開発・販売してきたセキュリティ専門企業です。

情報漏洩対策ソフト「コプリガード」は、ファイルサーバーからのファイルの持ち出しにつながるあらゆる機能・操作を制御。ファイルの閲覧だけ許可し、それ以外のコピー、印刷、メール添付、画面キャプチャーなど、情報流出につながる操作を一切禁止できます。もちろん、USBメモリーやスマートフォンなど外部デバイスへのコピーも禁止可能です。

つまり、「コプリガード」は、内部不正につながる情報漏洩可能な「機会」を広範囲にブロックしつつ、管理者側の容易な設定やファイルの編集操作は可能など、強固なセキュリティと、運用やユーザーの利便性を両立した仕組みになっています。

まとめ

内部不正は、組織の内部関係者による情報漏洩やデータ改ざん、資産の流用など、組織に深刻な損害をもたらすリスクです。特に近年は、デジタル化の進展により取り扱う情報資産が増大し、その価値も高まっていることから、内部不正のリスクと影響は一層深刻化しています。

内部不正が発生する背景には、「動機」「機会」「正当化」という3つの要素が存在します。このうち組織としてもっとも効果的に対処できるのが「機会」であり、そのための総合的な対策が必要です。

特に人手による運用の限界や対策の抜け漏れリスクを考えると、確実で効率的な運用を実現するには、専門企業による対策ツールの導入をご検討ください。

本記事の作成者:石川
所属:株式会社ティエスエスリンク / 営業部

情報漏洩対策ソフト

企業と個人のための「情報漏洩対策ソフト」:基礎から高度な選択まで

「情報漏洩対策ソフト」は、多様なニーズに対応しています。ファイルの持ち出し制限、USB管理、ファイル交換ソフトの制限など、基本的な機能から高度なセキュリティ要件まで、限られた予算内で、最適なソフトの選定方法と、導入の流れをこの記事で解説します。

ただいま、電話相談 実施中!

資料請求、ご質問、評価版のお申込みも承ります!

フォームからのお問い合わせ
To top