トピックス 2022.04.20 会社の内部犯行による情報漏洩。起こる原因や防ぐ方法は？

現在、数々の企業で社内から機密情報を持ち出し、外部に流出するという内部犯行が起きています。

もし情報漏洩が発覚した場合、あなたの会社は大きな損失を受け、倒産の危機もあるでしょう。そのため、このようなことが起きないように対策を行わなければなりません。

そこで今回は、内部犯行が起こる原因や起きないための対策について紹介します。

この記事を読むことで内部犯行のリスクを減らせるかもしれませんので、ぜひ参考にしてみてください。

内部犯行とは、従業員や会社関係者が自社に対して犯罪をする行為のことです。

内部犯行の種類には、セキュリティ関連のものがあり、機密情報を外部に販売や公開するなどの情報漏洩が該当します。

内部犯行は犯罪ですが、毎年あらゆる規模の会社で起きており、非常に危険な問題として扱われています。

IPAが発行した「情報セキュリティ10大脅威 2021」でも、脅威性の高さから10大脅威の1つに選ばれているほどです。

内部犯行による情報漏洩が発覚すると、企業の信頼が大きく失われます。

IT技術の発達により、技術革新のスピードが早くなり、グローバルな競争も激化しています。

どれほどの大手であっても、倒産やリストラの対象となるリスクはゼロではありません。

変化の激しい時代を生き抜くために、一つの会社でしか通用しないスキルを持たないことは、むしろリスクになります。

会社に頼るのではなく、自ら高いスキルを求めて、次の段階に進むというキャリア重視の転職者は今後も増加するでしょう。

さらに、もし取引先や個人情報を漏洩させてしまった場合、賠償金を払わなければなりません。

そのため、経営面でも大きな損失が出ます。最悪の場合、倒産の可能性もあるでしょう。

実際に内部犯行が起きた例として、ベネッセがあります。

ベネッセでは、2014年に派遣社員の男性が個人情報を盗んで販売したという事件が起きました。

男性は自身のスマートフォンからデータの収集を行い、名簿業者へ販売したそうです。約20回の販売を行い、合計で約2,900万件もの個人情報を業者に渡していたことが発覚しました。

結果、ベネッセは情報漏洩によって、260億円の損失を出すことになりました。

ソフトバンクでも内部犯行による情報漏洩が起きています。

2020年に営業秘密を不正入手したことでソフトバンクの元社員である男性が逮捕されました。

男性は、パソコンに表示した秘密情報をカメラで撮影し、SDカードでデータを持ち出したそうです。

ロシアの元外交官に情報を渡して金銭を受け取ろうとしたことが犯行の理由でした。

このように、さまざまな会社で関係者による機密情報の漏洩が行われています。

内部犯行による情報漏洩が起きてしまう原因は、不正のトライアングル理論で説明できます。

不正のトライアングル理論とは、「機会」「動機」「正当化」の3要素がそろうと不正が起きるという理論です。米国の犯罪学者、ドナルド・R・クレッシーが提唱しました。

1つ目の「機会」とは、機密情報を入手できる状態のことを言います。

例えば、社員全員が機密情報を閲覧できたり、個人のスマートフォンでデータを持ち出せてしまう状態のことです。

もし情報を簡単に持ち出せる状況であれば、内部犯行のリスクが高くなります。

2つ目の「動機」とは、社員が内部犯行をする理由です。

例えば、借金をかかえているなどの金銭的な理由があります。機密情報を売ることで多額の収入が得られるため、外部に持ち出してしまう人がいるわけです。

他にも、会社に不満があるという犯行動機も考えられます。

「社内での評価が低い」「給料があがらない」という理由で会社に不満を持つ人がよくいるのではないでしょうか。

不満を持ち続けていると、会社の将来がどうでもいいと感じ、内部犯行を企てる人も少なくありません。

さらに、転職時に機密情報を持ち出す人もいます。自身を売り込むために選考で実績を提示したいからです。

転職では企業から即戦力を求められます。そのため、採用される確率を上げるために企業の機密情報を利用することがあるのです。

このように、内部犯行をする人には必ず動機があります。

3つ目の「正当化」とは、内部犯行をする理由をつけて自分の行いを正しいものだと感じる状態のことです。

「周りもやっているし自分もいいだろう」や「お金が必要だから仕方がない」という甘い考えによって犯行に及んでしまいます。

このような正当化によって、機密情報を持ち出すことは正しい行為だと感じるようになってしまうのです。

3つの要素を見ると、セキュリティ管理だけが問題でなく、人の心理的な部分も内部犯行の要因になっていることがわかります。

内部犯行を防ぐためには、「機会」「動機」「正当化」の要素がなくなるような組織作りが必要です。

まず、機密情報を持ち出す「機会」をなくす方法についての紹介です。

具体的な対策として、機密情報にアクセスできる人を制限する方法があります。

情報を分類し、所属先ごとに必要なデータのみアクセスできるようにします。不要なデータには、アクセスできないように設定をしましょう。

その際、機密情報にアクセスしたログを残すことが大切です。ログをチェックすることで、不正アクセスがないか確かめられるためです。

アクセス制限とログの確認によって、機密情報を持ち出しにくい仕組みができます。

他にも、退職者にまだアクセス権限が残っている場合、すぐに削除することも有効です。

退職者が機密情報を持ち出すリスクがあるため、付与したアクセス権限を管理し、必ず処分しましょう。

USBメモリやスマートフォンの使用制限も情報漏洩の対策になります。

社内で使用できるUSBメモリを管理したり、スマートフォンの使用ルールを決めたりすることで、外部へのデータの持ち出しを防げます。

次に、「動機」や「正当化」を取り除く方法の紹介です。

有効な対策の1つとして、社内研修の実施があります。研修内で内部犯行をしてはいけない理由や罰則などを共有します。

社内のセキュリティに関するルールについても説明し、社員全員が機密情報を適切に扱えるようにしましょう。

また、社員の不満や悩みを解消するために、コミュニケーションをとることも大切です。

上司が部下の仕事に対する努力を評価したり、相談に乗ったりすることで不満を和らげることができます。

そのため、内部犯行を企てる気持ちが薄れていき、情報漏洩のリスクを減らせることにつながるでしょう。

内部犯行のリスクを減らすためには、セキュリティシステムの構築だけでは解決できません。社員一人ひとりが快適に働ける環境を作ることも大切です。

現在、従業員や会社関係者が意図的に外部に機密情報を漏洩する内部犯行が起きています。

情報漏洩が起こると、世間から会社の信頼が失われ、経営的にも大きな損失があります。ベネッセやソフトバンクなどの大企業でも、内部犯行による情報漏洩が発覚し、大きな問題となりました。

内部犯行は「不正のトライアングル」の3要素である「機会」「動機」「正当化」がそろったときに行われます。

「機会」は誰もが機密情報を入手できたり、データを外部に持ち出したりできる状態のことです。

「動機」は内部犯行を行う理由がある状態のことで、会社への不満や金銭的な問題がきっかけになることがあります。

「正当化」は内部犯行が正しい行為だと感じる状態のことで、「報酬のためなら仕方ない」などの理由付けを行う兆候があります。

内部犯行を防ぐには、不正のトライアングルの要素を取り除くことが重要です。

「機会」を取り除く対策として、「機密情報のアクセス制限とログの監視」や「退職者のアクセス権限の処分」、「USBメモリや個人用スマートフォンの使用制限」があります。

また、「動機」「正当化」を取り除くには、「社内研修の実施」や「社員とのコミュニケーション」が重要です。

内部犯行が起きないためにも、機密情報が漏れないようなシステムを作り、社員全員が気持ちよく働ける環境つくりを行いましょう。

【参考サイト】

ベネッセ個人情報漏洩事件のすべて｜企業は加害者？それとも被害者？
https://cybersecurity-jp.com/column/8418

ソフトバンク元社員に有罪判決　ロシアへの機密漏洩事件
https://www.asahi.com/articles/ASN795VMLN79UTIL016.html

情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html

内部犯行による情報漏えいを防止する効果的な手段
https://www.hitachi-solutions-create.co.jp/column/security/internal-crime.html

内部犯行による情報漏洩とは？過去の事例や脅威の理由を解説！
https://locked.jp/blog/what-is-internal-crime/

TEXT：セキュリティ通信 編集部
PHOTO：iStock