内部不正による情報漏洩はなぜ発生する?事例と不正防止の基本原則を紹介
情報漏洩は、場合によっては内部不正が原因で発生する場合があります。そのため、企業は常に細心の注意を払う必要があります。内部不正による情報漏洩を防止するためには、過去の事例を参考にしながら原因と対策を把握することが大切です。
担当者のなかには、「内部不正の事例と発生原因について知りたい」と考えている方もいるのではないでしょうか。この記事では、内部不正による情報漏洩の事例と原因、防止するための基本原則を解説します。
目次[非表示]
- 1.内部不正による情報漏洩の事例
- 2.内部不正の発生原因
- 3.内部不正防止の基本原則
- 3.1.犯行を難しくする
- 3.2.捕まるリスクを高める
- 3.3.犯行の見返りを減らす
- 3.4.犯行の誘因を減らす
- 3.5.犯罪の弁明をさせない
- 4.ログデータから内部による情報漏洩の予兆を検知する
- 5.まとめ
- 6.参考情報
- 7.関連情報
内部不正による情報漏洩の事例
内部不正による情報漏洩は珍しいものではありません。自社で適切に内部不正を防止するためには、まずは過去の事例を参考にしながら不正に至るまでの経緯を知ることが大切です。
ここでは、内部不正による情報漏洩の事例を紹介します。
営業秘密の漏洩
ある企業では、従業員が機密情報の入ったCDを不正に持ち出し、販売していたという事件がありました。
機密情報を情報システムから入手することについては、部下に仕事の一環であると説明し、正規の手続きで機密情報が入ったCDを作成させることで証拠の隠蔽を図ったとされています。この内部不正が起こった原因としては、機密情報の入ったCDの持ち出し管理がされていなかったことが挙げられます。
顧客情報の漏洩
ある企業では、委託先のサイト運営企業の従業員が顧客情報を不正に持ち出し、競合他社に渡していたという事件がありました。
顧客情報を受け取った競合他社は、その情報を利用して営業活動を行っていたといわれています。この内部不正が起こった原因としては、委託先の情報セキュリティ対策が不十分であったことが挙げられます。
技術情報の漏洩
製造販売メーカーにおいて、元従業員が設計図を不正に持ち出し、競合他社で類似商品を製造・販売したという事件がありました。
この内部不正が起こった原因としては、退職時に重要情報や資産などの返却が適切に行われていなかったことが挙げられます。
個人情報の漏洩
企業において、業務委託先の従業員が顧客情報を不正に持ち出し、自宅に設置していたNAS(Network Attached Storage) に保存していたという事件がありました。
NASの認証機能の設定が不十分であったため、インターネットに顧客情報が流出するという結果になりました。この内部不正が起こった原因としては、委託先の情報セキュリティ対策の確認ができていなかったことや、顧客情報の取扱いおよび管理体制の不備に気づいていなかったことが挙げられます。
内部不正の発生原因
内部不正が発生する原因としては、人的要因と技術的要因の2つが挙げられます。いずれも社内体制の不備や環境によって引き起こされるため、注意が必要です。
ここでは、内部不正の原因となる人的要因と技術的要因の概要を紹介します。
人的要因
人的要因とは、従業員が原因となって発生する不正のことをいいます。組織体制や待遇への不満、金銭目的などが主な発生原因です。
また、意図せずに内部不正を行う場合もあり、情報セキュリティに関するルールの周知不足が原因と考えられます。
技術的要因
セキュリティ対策不足や監視体制の欠陥など、内部不正を行いやすい環境を技術的要因といいます。
機密情報に安易にアクセスできる環境や、操作ログが記録されていない環境が内部不正を招くと考えられます。
内部不正防止の基本原則
内部不正を防止するためには、不正ができない体制と環境を構築することが大切です。対策方法が分からないという場合でも、基本原則に沿って進めることで内部不正のリスクを軽減できます。
ここでは、内部不正防止の基本原則を紹介します。
犯行を難しくする
適切なアクセス権限の付与やセキュリティポリシーの策定により、内部不正をしにくくします。私物のUSBメモリやPCなど、外部機器の持ち込みを禁止することも有用です。
捕まるリスクを高める
監視カメラの設置や警備システムの導入、台帳による機器の持ち出しを管理し、証拠が残る環境を構築します。
現場には管理者を設置し、従業員の単独作業を制限することで、内部不正を抑制できます。
犯行の見返りを減らす
電子データを暗号化しておくことで、万が一持ち出された場合でも利益を得にくい状態にできます。
また、不要になったデータや機器は完全消去や物理的に破壊し、再利用できないようにしておくことも有用です。
犯行の誘因を減らす
従業員の欲求不満やストレスを解消し、犯行に及ぼさないようにすることが大切です。
具体的には、公正な人事評価や適性な労働環境の構築、従業員との円滑なコミュニケーションの推進が有効です。
犯罪の弁明をさせない
情報の取扱いに関する基本方針を社内外に周知することで、言い訳ができない状況を作り出せます。
また、誓約書へのサインや機器の持ち込みを禁止するポスターなどを用いることで、従業員の良心に警告することが可能です。
ログデータから内部による情報漏洩の予兆を検知する
エルテスでは、PCのアクセスログや印刷ログ、サイトの閲覧ログなど企業の様々なログデータを横断的に分析し、内部不正や情報持ち出しに至る行動の予兆を検知するサービス「Internal Risk Intelligence」があります。
勤怠データやPCのWEBアクセスログ、ファイルアクセスログなど複数のデータを活用し不正が発生する予兆や可能性を検知することで、リスクを未然防止します。
▼「Internal Risk Intelligence」 で検知できるリスクの詳細はこちら
まとめ
この記事では、内部不正による情報漏洩について以下の内容で解説しました。
- 内部不正による情報漏洩の事例
- 内部不正の発生原因
- 内部不正防止の基本原則
情報漏洩は外部による攻撃が原因で発生する場合がありますが、従業員による内部不正によって引き起こされるケースもあります。
内部不正へと発展する原因として、待遇への不満や単純なセキュリティ対策不足などが挙げられ、企業は社内体制を整備する必要があります。内部不正を完全に防止することはできませんが、基本原則に沿って対策を講じることで、情報漏洩のリスクを軽減できるはずです。
エルテスは、企業を守るためのデジタルリスクマネジメントを専門としたサービスを提供しています。社内の体制構築からリスクの検知、クライシス発生後のリスク対応、評判回復まで、一貫した支援が強みです。デジタルリスクにお困りの際は、お気軽にお問い合わせください。
参考情報
・組織における内部不正防止ガイドライン(独立行政法人情報処理推進機構)
関連情報
〇関連資料
・情報漏えいの実態~セキュリティ・コンプライアンス担当者必見~
〇エルテスのサービス
・Internal Risk Intelligence(内部脅威検知)
〇関連コラム