不正のトライアングルとは?企業の内部不正に繋がる要因と対策を解説
「不正のトライアングル」という言葉をご存知でしょうか。急速に普及したテレワーク環境などを背景に、内部不正が増大する可能性が懸念されています。そのような懸念が広がる背景や対策について、不正のトライアングルという考えを元に、解説します。
目次[非表示]
- 1.不正のトライアングルとは?
- 2.不正のトライアングルを満たさないために
- 3.テレワークと不正のトライアングルの関係
- 4.テレワーク環境下での内部不正対策とは?
- 4.1.機会の低減
- 4.2.コミュニケーションの担保
- 4.3.従業員の行動ログから予兆を検知
- 5.【関連情報】
▼セキュリティ担当者必見!情報漏えいの実態をまとめたお役立ち資料はこちら
不正のトライアングルとは?
米国の犯罪学者のドナルド・R・クレッシーが、犯罪の裁判記録などを元に、人が不正行為を働く際に原因となる3つの要素をモデル化したものが、不正のトライアングルです。
そして、ドナルド・R・クレッシーは、「①機会」「②動機」「③正当化」の3つの不正要素がそろったときに不正が発生すると提唱しています。では、3つの要素を具体的に見ていきたいと思います。
①機会(Perceived Opportunity)
機会は、不正が発生しうる可能性のある環境を指します。他人からの監視の目がないことや、職場のシステムに抜け穴があるなど、不正を容易に起こすことが出来る環境は、不正の機会の要素を満たしていると言えます。
②動機(Perceived Pressure)
動機は、不正を行う必要性がある環境を指します。例えば、「過大なノルマ」や「個人的に金銭トラブルを抱えていた」などの環境は、不正を行う動機が満たされている環境と言えます。
③正当化(Rationalization)
正当化は、不正を行った行動を正当化する不正を行った人物の考え方を指します。例えば、「組織のためである」「理不尽なことを求められているから」などと言った理由から責任転嫁してしまうような考え方を行ってしまう状況です。
不正のトライアングルを満たさないために
不正のトライアングルを満たさないための方法として、不正の機会や動機となる要因にアプローチを行い、従業員による不正リスクを低減する方法があります。
具体的には、社内の情報セキュリティに対して規則整備を行い、不正が物理的に行えない状況を作り出す方法があります。また、ブラザー・シスター制度や1on1など、職場での悩みやプライベートの悩みをキャッチするような人事制度を取り入れることも対策として期待できます。
テレワークと不正のトライアングルの関係
一方で、不正のトライアングルを満たす要因が別の事象から発生してしまうこともあります。たとえば、新型コロナウイルスの感染拡大を契機にテレワークの導入が急速に広まりましたが、その労働環境の変化が、不正のトライアングルの要素に影響し、不正へのリスクが懸念されました。
なぜ、テレワーク環境が不正のトライアングルに影響してしまうのか、その要因を紹介します。
機会の増大
テレワークによって、他人の監視がなくなり、同じ場所で働くことによる相互の牽制がなくなったことで、不正の機会に大きな影響を与えました。具体的には、以下のような情報漏えいや、情報改ざんを行う機会に繋がっています。
- 他人の目がない環境により、情報の持ち出しを堂々と行う機会を得る
- 社内ネットワーク外での仕事により、社内ネットワークの制限から逃れられる(ProxyやFWの制限等)
- 家で仕事をするために業務資料を持ち帰るという名目で、USB等の外部デバイス媒体を使用する
- オフィスでの人の目を気にすることなく、数字の改ざん等を行える環境である
テレワークは、仕事を行うために情報を持ち出すことが必然となる状況でもあるため、不正の機会に繋がっていると言えます。
動機の見過ごし
テレワークの導入によって、毎日顔を合わせていたときに比べるとコミュニケーション機会が減ったと感じる人は多いのではないでしょうか。
テレビ会議システムや社内チャットツールが普及したことで、オンライン上のコミュニケ-ション環境は整っているものの、オフィスですれ違ったときの挨拶や、相手の表情や服装の変化を読み取るようなことは、オンライン上では難しくなります。
部下や同僚が悩んでいることに気づかないことや、心境の変化を見過ごしてしまう可能性が高まっています。さらに、一人で仕事に打ち込む時間が増え、抱え込み悩むという方も多いでしょう。このような環境が、不正の動機を助長しうる可能性も考えられます。
テレワーク環境下での内部不正対策とは?
内部不正対策として、不正のトライアングルを満たさないためには、3つの方法が考えられます。
機会の低減
まずは、テレワーク環境下で起こり得る不正の機会を減らすことです。情報セキュリティ部門が中心となり、オフィス環境と変わらないセキュリティ環境を提供することや、ログの収集ツールやIT資産管理ツールを導入し、従業員への監視を表明することで、牽制することができます。
コミュニケーションの担保
2つ目は、人事的なアプローチです。テレワーク環境下だからこそ、1on1を強制的に実施するような施策や部署を跨いだコミュニケーションの場を設け、従業員の変化や不満などを気づく環境を整備することが、内部不正対策に繋がります。
従業員の行動ログから予兆を検知
最後に、従業員の行動分析から機会、動機の両面にアプローチする手法を紹介します。テレワークなど仕事してる姿が直接見えない環境であっても、従業員のPCログを分析し、不正機会を検知したり、過重労働などによるメンタルヘルスの予兆をつかみ取る方法です。
詳しくは以下のお役立ち資料で紹介しています。
あくまで従業員を監視するのではなく、内部不正から会社と従業員の両方を守るという観点で、有効な対策手段をご検討ください。
【関連情報】
〇関連資料
〇エルテスのサービス
・Internal Risk Intelligence(内部脅威検知)
〇関連コラム