2015年も大小規模問わず様々な情報漏えい事件が発生した。組織内部者の不正行為による情報漏えい事件は、損害賠償金の支払だけではなく、社会的信用の失墜など企業に与えるダメージは大きい。今回は、2015年に起きた情報漏えい事件から、内部不正を起こさせない為に必要なセキュリティ対策について解説していく。

事例1: 市職員による個人情報の持ち出し

「某市役所から約68万人分の個人情報が漏洩」というニュースは記憶に新しいだろう。2015年6月、市職員による情報の不正持ち出しが発覚。調査を進めていった結果、外部に個人情報が流出していたことが判明した。職員Aは約6年間にわたり、約68万件の有権者情報を含むデータを、複数回無断で持ち出し、自宅PCに保存した。その後、自宅PCからインターネットのレンタルサーバーに、誤って個人情報を含んだファイルを保存してしまったことで、漏洩が発覚した。

今回は、意図的に漏洩させた訳ではなかったが、無断で個人情報を持ち出せた環境下にあったため、組織としての情報管理のルーズさが浮き彫りとなった。

事例2:退職者による、営業秘密情報の不正利用

家電量販大手A社の元営業社員が、販売戦略に関する営業秘密を不正に取得したとして逮捕。あらかじめ社員PCの中に無断で遠隔操作ソフトをインストールしておき、転職先から情報を不正に抜き取ったのだ。さらには、元部下が協力者となり、営業秘密を含んだファイルをメール転送したことも発覚した。

今回、A社では退職後90日間アカウントが有効であったことが最大の抜け穴となったが、不正な遠隔ソフトがインストールできたこと、そして操作状況の確認に漏れがあったことも不正行為の後押しとなった。

内部不正防止対策で必要なこととは?

内部不正は「動機」「機会」「正当化」の3つが揃うと発生しやすいと言われている。つまり「仕事に対しての不満(動機)」があり、「不正入手が可能な環境(機会)」にいて、犯行者が「正しい評価をされないからしょうがない(正当化)」といった自分勝手な理由づけがされた時に起こりやすい。「動機」「正当化」については、社内体制や人事評価の見直しが必要となるため、社員個々の不満を完全に取り除くのはなかなか難しい。しかし「機会」に関しては、情報を外に持ち出せないような技術的対策をとることで、大幅に低減することができる。

では、内部不正を起こさせないために必要な具体的な対策とはどのようなものがあるのだろうか?