記事ページ メインビジュアル 記事ページ メインビジュアル
記事

内部不正による情報漏えいの事例と発生を防ぐ為の対策

企業が情報漏えいしてしまう原因として、従業員の誤操作や誤送信、サイバー攻撃によるものがありますが、じつは内部不正による漏えいも非常に多く、問題となっています。

このような内部不正の発生には企業側にも要因があり、漏えいが判明すれば被害者への損害賠償など責任を問われる可能性もあります。

では、内部不正による情報漏えいが起こる要因とはなにか、またそれを防ぐにはどのような対策を講じるべきか、まとめて解説します。

内部不正による情報漏えいの現状

情報処理推進機構(IPA)が発表した「企業における営業秘密管理に関する実態調査2020」報告によれば、営業秘密の漏えいルートについて以下のような結果になりました。

営業秘密の情報漏洩ルート グラフ 出典元:IPA 独立行政法人 情報処理推進機構

最多となったのが「中途退職者による漏えい」であり、前回調査で最多の「現従業員等の誤操作・誤認等による漏えい」を上回る結果となりました。

このように、内部不正による情報漏えいが増加傾向になっている状況です。

同じくIPAの公開した(pdfデータがダウンロードされます→)「内部不正による情報セキュリティインシデント実態調査」データによれば、内部不正、外部攻撃の発生状況について、以下のような結果になりました。

内部不正による情報セキュリティインシデント実態調査 グラフ

内部不正の発生有無は、調査した従業員数300名以上の企業で3.2%、従業員数300名未満の企業で1.6%です。

一見、数が少ないと感じられますが「わからない」の回答が3割前後になっていることもあり、実際はもっと多いと考えてよいでしょう。

内部不正による情報漏えいの事例

内部不正による情報漏えいが発生するとどのような経過をたどるのか、事例を紹介します。

【事例1】退職者による営業秘密不正取得

【事例1】退職者による営業秘密不正取得 イメージ

2015年1月、家電量販店チェーンの元社員が営業秘密を不正取得した事件です。

手口としては、この元社員が退職前に社用パソコンに遠隔操作ソフトをインストール、競合となる転職先のパソコンからこのソフトを使って不正に営業秘密を取得したとのことでした。

この元々勤務していた家電量販店チェーンでは退職後も90日間アカウントが有効になっており、これが原因で営業秘密にアクセスできてしまっていました。

また、同時に20年来の元部下にもメールで情報を送信するよう依頼しており、2つの方法で情報を取得していたことが分かっています。

なお、この元社員は不正競争防止法違反(営業秘密の不正取得)の容疑で逮捕されています。

【事例2】元社員による個人情報及び営業関連データ持ち出し

【事例2】元社員による個人情報及び営業関連データ持ち出し イメージ

2017年2月、EC構築・マーケティング支援事業をおこなうGMOメイクショップ株式会社が、元従業員により不正に情報が持ち出されたと発表しました。

ことが明るみになったのは、元従業員が退職後に個人で業務を請け負っていた企業(A社)関係者から「GMOメイクショップで知り得た顧客情報、営業関連データを持ち込んでいる可能性がある」と通報があったことでした。

同社が調査したところ、元従業員は上記の情報を自身の保有するハードディスクドライブに記録し、A社貸与のパソコンに保存していたことが分かりました。

元従業員が持ち出した情報はつぎのようになっています。

総件数:32,800件
①店舗の運営者情報(ショップID、企業名、住所、電話番号、運営者名、メールアドレス):28,001件
うち、13,495件の店舗において、売上に関する情報(ショップID、商品数、平均商品単価、ショップ会員数、月間流通額、月間注文数)
②同社代理店の担当者情報(企業名、住所、電話番号、担当者名):4,579件
③同社主催のセミナー参加者情報(企業名、住所、電話番号、氏名):220件

同社はA社から当該パソコンの貸与を受けて持ち出された情報などを確認し、その場で削除の対応をおこないました。

また、元従業員が持ち出しに使用したHDDは同社で管理し、外部専門機関にフォレンジック調査も依頼しています。

内部不正が起こる原因

内部不正が起こる原因は「技術的要因」「人的要因」の2つであるとされています。それぞれ具体的にどのような要因なのか、解説します。

技術的要因

技術的要因 イメージ

技術的要因とは、技術面で情報漏えい対策が不十分であり、不正をはたらきやすく発覚もしにくい状況にあることです。具体的には、以下のようなことが挙げられます。

  • ●権限管理がされておらず、誰でも容易に機密データを閲覧できる
  • ●機密情報や社用パソコン、USBなど許可なく容易に持ち出せる
  • ●ログの監視などをしておらず、データを持ち出しても見つからない

人的要因

人的要因 イメージ

人的要因とは、企業に対しての不満がある、周囲がやっているからなど、人(従業員)が不正をしてもよいと思わせる状況であることです。

IPAが実施した「組織内部者の不正行為によるインシデント調査」で、対象者に「不正行為への気持ちを高めると思うもの」をアンケートしたところ、つぎの3つが大きく影響していることが分かりました。

    <不正行為への気持ちを高める条件 ワースト3>
  • ●不当だと思う解雇通告を受けた(34.2%)
  • ●給与や賞与に不満がある(23.2%)
  • ●社内の人事評価に不満がある(22.7%)

このように、処遇や人事評価に関して不満がある場合の報復に不正をしようと思う人が多いため、こういった不満が多く聞かれる企業はリスクが高いといえるでしょう。

内部不正による情報漏えいを防ぐための対策

内部不正による情報漏えいを防ぐために、企業としてどのような対策を実施するのが望ましいのか紹介します。

アクセス制限

アクセス制限 イメージ

重要な機密情報が誰でも容易にアクセスできる状態にあると、情報の持ち出しが起こりやすいです。

そのため、職位・職種などで権限を設定し、システムなどでアクセス制限をかけるのが望ましいです。また、異動や退職などの際はすみやかにアクセス権の削除をおこなう必要があります。

アクセス権は業務に支障が生じない必要最小限の人数に設定し、不必要なアクセス権が付与される状態にならないよう、人事異動の時期など定期的な見直しをおすすめします。

委託先の従業員等に権限を付与する場合、秘密保持契約を結んだり、機密情報の閲覧が必要な時期を限定したりするとよいでしょう。

入退管理

入退管理 イメージ

機密情報を管理する部屋に、ICカードやバイオメトリックスでの認証が必要な入退室管理システムを設置し、許可された従業員のみ入室できるようにするとよいでしょう。

また、これにより誰がいつ入退室したか記録・監視しておけば、情報持ち出しの抑止力にもなります。

従業員は業務フロアまで、サーバー管理者はサーバールームまで入室可能、などとそれぞれ入退室可能な範囲を適切に設定しておくとよいでしょう。

情報機器及び記録媒体の管理

情報機器及び記録媒体の管理 イメージ

業務で使用するパソコンやタブレットなどの端末、USBなどの記録媒体は盗難や紛失が起きないよう管理を徹底することが重要です。

原則社外への持ち出し禁止、もしくは許可制にする方法もあります。完全に持ち出しを禁じる場合、情報機器をセキュリティワイヤーなどで机に固定するのもよいでしょう。

社用スマホやUSBメモリなどは鍵付きの引き出しや入退室の制限がある部屋に保管しておき、業務時間外は持ち出せないようにするのがおすすめです。

ログ・証跡の記録と保存

ログ・証跡の記録と保存 イメージ

機密情報へのアクセス履歴や利用者の操作履歴などを記録、一定期間保存するようなシステムの導入も漏えい対策として非常に有用です。

ログ・証跡を記録していれば情報の持ち出しがあった場合の早期発見、犯人の特定に役立ちます。記録していると公表しておけば、これも抑止力になります。

教育による周知徹底

教育による周知徹底 イメージ

どのような行為が内部不正になり、罪に問われる場合があるのか、全従業員に教育をおこない、情報の取り扱いの規則を周知徹底することも重要です。

事前にこのような教育を実施していないと、実際に不正をおこなった従業員が「不正行為だと認識していなかった」と言い逃れをする可能性も考えられます。

この教育は定期的にくり返し実施し、内容に関しては社内の状況にあわせて適宜アップデートしていくのが望ましいです。

退職時の手続き

退職時の手続き イメージ

前述のように、情報の漏えいは退職者が故意におこなうケースが増加しています。

退職時には秘密保持契約を締結し、業務上に得た顧客の情報やノウハウなどを漏えい・悪用しないことを誓約させるようにしてください。

場合によっては、職業選択の自由を侵害しない程度で、競業避止義務契約を締結する方法もあります。

まとめ

内部不正による情報漏えいは、技術的要因・人的要因のいずれか、もしくは両方の条件に当てはまる場合に起きやすいです。

情報漏えいが発生してしまうと、顧客やノウハウの流出、顧客・取引先の信用低下や損害賠償請求など大きな被害につながりかねません。

また内部不正で漏洩したのが「個人情報」である場合は、個人情報保護委員会などに対する報告義務が生じます。(改正個人情報保護法 2022年4月施行)事案発生を知った日から60日以内に、きちんと調査した上での確報を、個人情報保護委員会に報告しないとならないのです。

このように内部不正による情報漏えいは企業にとって大きな損失や負担に直結しますので、もし今はまだ不正を防ぐ対策をしていないというような場合は、「内部不正による情報漏えいを防ぐための対策」でご紹介したつぎのような対策を、早めに実施されることをおすすめします。

  • ●アクセス制限
  • ●入退管理
  • ●情報機器及び記録媒体の管理
  • ●ログ・証跡の記録と保存
  • ●教育による周知徹底
  • ●退職時の手続き

相談見積り無料・全国対応・緊急対応

CASE
よくある相談事例

ARTICLE
記事一覧

相談見積り無料・全国対応・緊急対応

page top