国内の個人情報漏えい件数は年々増加傾向にあります。情報漏えい事故の原因の一つとして挙げられるのが、企業・組織内での内部不正行為によるものです。内部不正の脅威は、未然に防ぐことが難しく、インシデントが起こってしまうと、事業の根幹を揺るがすような事態にまで陥ってしまうことにあります。本記事では、内部不正の脅威と手口、そして発生を防ぐための対策方法について解説します。
内部不正と人的要因
2024年1月にIPA(情報処理推進機構)から発表された「情報セキュリティ10大脅威2024 」において、「内部不正による情報漏えいなどの被害」という項目が、昨年度4位から順位を上げて3位となりました。また、昨年12月に発表されたその年のセキュリティに関する重要トピックスを取り上げるJNSA(日本ネットワークセキュリティ協会)による「JNSA 2023 セキュリティ十大ニュース 」においては「元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策」というニュースが2位となりました。このように、セキュリティにおける内部不正の問題は、着実にその重要度を増しています。
内部不正行為とは何か?
内部不正行為とは、組織の従業員や元従業員、あるいは業務委託先といった関係者が、重要情報や情報システムといった情報資産の窃取、持ち出し、漏えい、消去・破壊を行うことを指します。「不正」という言葉からの連想で、悪意ある行動を結びつけてしまいがちですが、悪意がなくとも、組織における情報管理規則に反して情報を持ち出したことによって、紛失や漏えいにつながってしまったというケースも、内部不正に含まれるため注意が必要です。
情報漏えいと人的要因
数多くの情報漏えいインシデントが報告されていますが、その要因に目を向けると、企業・組織内の従業員・元従業員、そして関連先や委託先企業の担当者による情報資産の持ち出し、紛失など、人的要因の多さが浮かび上がってきます。
東京商工リサーチ「2023年「上場企業の個人情報漏えい・紛失事故 」によると、情報の不正利用や持ち出しにより情報漏えいした件数は、前年の5件から約5倍に増加したといいます。実際、従業員が個人情報を不正に流出させたことによって刑事事件にまで発展したり、大手電力会社がグループの子会社を通じて顧客情報を不正に閲覧していたことが発覚したりと、様々な事故が起こりました。
また、JIPDEC(日本情報経済社会推進協会)「2022年度 個人情報の取扱いにおける事故報告 集計結果 」によれば、「誤配達・誤交付」が43.0%、「誤送信」が24.7%、「紛失・減失・き損」が11.2%となり、ここでもやはり人的要因の多さが目立ちます。
なぜ人的要因が脅威になるのか
人的要因による情報漏えいは、組織の技術情報や顧客情報などが持ち出されて、不特定多数に公開、あるいは競合他社に提供など、内部以外の人の目に触れることで被害が発生します。企業・組織においては、このような重要情報の管理責任が問われ、技術情報が漏えいしたことで競争力が著しく低下するなどの影響が考えられます。悪意のあるなしに関わらず、漏えいした情報の重要性や規模によっては、事業の根幹を揺るがす事態になりかねません。特に悪意がある内部の人間による不正では、被害が容易に大きくなることや、悪意のない不正によるものは未然に防ぐことは難しいといったことも脅威に繋がります。加えて、重要情報を持ち込まれた側の企業・組織においても、不正に取得された情報であることを知りながらも第三者に公開・提供した場合は、刑事罰を受ける可能性があることも覚えておく必要があります。
内部不正はなぜ起きるのか
内部不正の中で、特に人が故意に不正を行う要因についての理論の1つに、「不正のトライアングル」というものがあります。
不正のトライアングル
例として、「Aさんが顧客情報を、同業他社の転職先に持ち込んでしまった」という行為をしたとします。ここに、「機会」「動機」「正当化」という3つの要素を当てはめてみます。
「機会」:Aさんは、顧客データをいつでも大量に持ち出せる状況にありました。
「動機」:Aさんは、同業他社に転職するので情報を転職先にもっていき、転職先での業務を有利に進めたいと考えました。
「正当化」:以前、先輩が情報を持ち出したという噂があり、自分も同様に黙認されるはず、と考えました。
このように、「機会」「動機」「正当化」という3つの要素が相互に作用することで、不正が発生しやすくなるというのが「不正のトライアングル」の考え方です。
内部不正の手口
ここからは、代表的な内部不正の手口についてみていきましょう。
付与されているアクセス権限の悪用
担当業務よりも不用意に高い権限が付与されていて、それを悪用するという手口です。先のAさんの例でいえば、業務上必要な最低限の顧客情報にのみアクセスできる設定であることが適切であったのにもかかわらず、業務では不必要な情報までアクセスできる権限が付与されており、その結果、大量の顧客情報にアクセスできてしまった、というようなことが当てはまります。アクセス権は必要最小限のユーザにのみ付与し、業務に応じて適切な操作だけを可能にする管理が必要です。また、アクセス権限についての定期的な棚卸をして、現状に照らして適切な設定となっているか確認をすることも重要です。
在職中に割り当てられたアカウントの悪用
こちらは在職中に割り当てられたアカウントが退職後も削除されていなかったことを悪用し、そのアカウントで社内システムに不正にアクセスし、情報を入手してしまうというような手口です。営業秘密の漏えいについては、中途退職者によるものが多くを占めていることがわかっています。また、契約満了後または退職した契約社員による漏えいも発生しています。こうしたことから、在職中に使用していたアカウントが退職後も削除されていないと、内部不正の原因となることがわかります。
組織で利用を認めていないクラウドや外部記憶媒体等による不正な情報持ち出し
これはUSBメモリやHDD、SSDといった外部記憶媒体での持ち出しや、メールやクラウドストレージへの送信・アップロードによる持ち出し、スマホカメラでの撮影や、紙媒体にコピーしての持ち出し、といったものが含まれます。メールやクラウドについては、手軽に利用しやすいこともあり、私物のPCやスマホなどにメール送信したり、個人で契約しているクラウドサービスにアップロードしたりなど、悪意なく機密情報を持ち出すようなことが起こりえます。
これらの手口が実行に移されるのは、付与されている権限やアカウントが必要ではないタイミングでも有効になっている状況や、外部に情報を持ち出すことができる状況の場合です。この状況は不正のトライアングルにおける「機会」にあたります。
一方、「動機」や「正当化」については、当事者の内面が強くかかわってくるため、組織として対応するのは難しいところとなります。しかし、「機会」に関しては、従業員のセキュリティ意識向上はもちろんですが、情報の持ち出しができないよう、組織側でクラウドや外部記憶媒体の利用に制限を設けることができるため、対策が可能となります。
内部不正に関連する法律
もし内部不正行為によって技術情報や顧客情報を漏えいされた場合、漏えいした情報によっては個人情報保護法などによる法的なペナルティが科される可能性があります。組織として内部不正に意識を向け、内部不正行為をすると組織および行為者がどのような影響を受けるのかも含めて周知することが推奨されます。
個人情報 氏名、生年月日、住所、顔写真などにより生存する特定の個人を識別できる情報(他の情報と容易に照合でき、それにより特定の個人を識別できるものも含む)、「個人識別符号」が含まれる情報、要配慮個人情報、個人情報データベース 等 個人情報保護法の対象 安全保障貿易管理に関する重要技術情報 武器、原子力、化学兵器、生物兵器、ミサイル、先端素材、材料加工、エレクトロニクス、電子計算機、通信、センサ、航法装置、海洋関連、推進装置、機微品目 等 例)暗号技術、炭素繊維、半導体、情報セキュリティ技術、量子コンピュータ 等 外為法により規制の対象 営業秘密/限定提供データ 秘密管理性、有用性、非公知性を満たし、秘密として管理されている情報 例)製造方法、設計図、事業戦略 等 限定提供性、電磁的管理性、相当蓄積性を満たし、秘密として管理されていない情報 例)市場調査データ、ソフトウェア 等 不正競争防止法の保護対象
また、内部不正を行った者は、組織の規定により解雇等の懲戒処分を受ける可能性があります。このほか、内部不正の内容によっては、例えば以下のような法律に抵触し、罰則や損害賠償を負う可能性があります。
マイナンバー法 :特定個人情報を提供したり業務で知りえたマイナンバーを第三者に提供・盗用したりすることによる罰則
刑法 :窃盗罪、横領罪、背任罪 等
労働契約法 :労働契約違反による解雇・懲戒処分 等
民法 :契約上の債務不履行もしくは不法行為に基づく損害賠償 等
労働法 :秘密保持義務違反、競業避止義務違反 等
内部不正防止の基本原則
内部不正対策を考えるには、先に紹介した「不正のトライアングル」の3要素が揃ってしまわないようにすることが重要となります。「機会」「動機」「正当化」の3要素を完成させないための考え方の一つに、IPAが提唱している「内部不正防止の基本原則」がありますので、下に紹介いたします。
このように、当該3要素をそれぞれ低減するという視点で、組織内で対策を検討する必要があります。特に「機会」の低減は検討すべき要素が多いため、重点を置くべき項目です。
内部不正の事例
「元従業員による経費精算システムへの不正アクセスの事例」を紹介します。
2023年、元勤務先(A社)に不正アクセスして取得した情報をもとに、A社の取引先(B社)に対して誹謗中傷を流布していた男性が逮捕されたとの報道がありました。その元従業員の男性は、A社に個人的な恨みを持っていて、在籍中に使用したテスト用のアカウントでA社の経費精算システムに不正アクセスして、経費精算状況などをダウンロードした後、発信元を匿名化して通信できるTorを利用して、A社を誹謗中傷するメールをB社に送ったとのことです。その後、誹謗中傷メールを受信したB社が、A社に連絡したため犯行が発覚したようです。事件発生の原因は、テスト用のアカウントが削除されずに残っていたことです。このため、ID/パスワードを記憶していた元従業員に不正アクセスを許してしまいました。不正のトライアングルでいうところの『動機』を持っていた人物に対して、『機会』を与えてしまったということになります。
そのほかの内部不正事例
時期 概要 2022年2月 自治体職員が住民基本台帳を不正に検索して得た個人情報を漏えいさせたことが判明し、同年11月5日、住民基本台帳法違反容疑により逮捕* 2022年9月 飲食チェーンA社から飲食チェーンB社へ転職して、社長に就任した人物が転職の前後に元勤務先であるA社のデータを持ち出し、転職先のB社で両社の原価を比較する資料を作成させ、不正競争防止法違反容疑により逮捕* 2023年10月 国内大手通信関連会社から、元派遣社員によって約900万件の顧客情報が流出したため、不正競争防止法違反容疑で逮捕。* 2023年12月 国内大手部品メーカーの元社員が不正競争防止法違反の容疑で警視庁により逮捕*
内部不正の発生を防ぐための対策
前提として、内部不正対策には経営層の積極的な関与が必要となります。サイバーセキュリティと同様に内部不正は経営課題の一つであり、内部不正対策の責任は経営者にあります。内部不正から組織を守るためには、組織全体で横断的な管理体制を構築する必要があるため、経営層の関与が不可欠です。また、従業員側はこれを理解し、内部不正の組織および個人に与える影響を理解して、行動する必要があります。悪意をもって内部不正に走るのはもってのほかですが、悪意はなくとも、規約に反して安易に情報を持ち出すような行動は厳に慎まなければなりません。
【経営層】
内部不正対策の体制と仕組みの構築
事業リスクを理解した的確な意思決定
【従業員】
内部不正の定義とその影響を理解
内部不正を起こさない行動の実践
内部不正が起こってしまったら
しかしながら、内部不正は絶対に発生しないと言い切ることができないのもまた事実です。このため、万が一、発生してしまった場合の対応について、知っておく必要があります。内部不正の被害を最小限に抑え、再発を防止するためには、「適切な報告/連絡/相談」「インシデント対応体制」「内部不正者に対する適切な処罰」 を実現することが重要です。
具体的に従業員ができることとしては、内部不正に気付いたら躊躇なく適切なエスカレーション先に報告/連絡/相談すること、インシデント対応チームによるヒアリングの実施や情報提供の要請があれば、きちんと対応することが大切です。経営層は、こうしたセキュリティ対応がスムーズに行える社内のセキュリティ文化の醸成といったことも視野に入れる必要があります。また、これは従業員や経営層共に言えることですが、内部不正者に対して、法律や社内規程で定められた処罰でない、個人的な謝罪を強制するような対応は慎みましょう。
インシデント対応体制
内部不正を含めた、インシデントが発生してしまったら、迅速にインシデント対応を行う必要があります。インシデント対応の目的は、インシデント発生による被害とその影響範囲を最小限に抑え、速やかに事業継続できるようにすることです。ただし、その達成に向けてのアプローチは企業ごとに異なります。
BBSecのインシデント対応準備支援サービスは、これまで多数のお客様のインシデント対応体制構築をご支援してきた経験とノウハウに基づき、ITやセキュリティ専任者が不在の企業におけるインシデント体制構築から、CSIRTが設置されている企業やCSIRTの組成・運営を目指す企業まで、お客様のニーズやフェーズにあわせた最適なサービスを選択できるように豊富なインシデント対応準備支援メニューをご用意しています。インシデント初動対応準備支援 はこちら
内部不正による情報漏えいは、組織にとって重大なリスクとなります。しかし、適切な対策を講じることで、そのリスクを大幅に低減することが可能です。従業員一人一人がセキュリティ意識を持ち、組織全体で内部不正防止に取り組むことが求められます。
BBSecでは
サイバーインシデント緊急対応 突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。
サイバーインシデント緊急対応
ウェビナー開催のお知らせ
2024年8月21日(水)14:00~15:00 「セキュリティ担当者必聴!ペネトレーションテストと脆弱性診断 – 違いと効果、使い分けを解説 」
最新情報はこちら
Youtube動画公開のご案内
ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。
SQATチャンネルはこちら
Security Report TOPに戻る TOP-更新情報に戻る
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。