経産省推奨、内部不正防止ガイドラインとその事例(1)

07-S-08

内部不正対策として、ログ監視を行うことは重要です。
ログ監視は、内部不正発覚時には、迅速に調査を可能とするデータを提供するだけでなく、日頃から、ログ監視されていることを従業者に知らしめておくことは、内部不正の発生を抑制する効果もあります。

今回は、内部不正防止ガイドラインから、内部不正の事例やアンケート調査などから、内部不正が起こる原因と予防策をお伝えします。

内部不正の事例から予防策を探る

2014年の内部不正事件の事例
事例1 海外競合企業への技術情報の流出
2014年3月、F社のフラッシュメモリーの研究データを不正に持ち出し、転職先である韓国の半導体大手H社に提供したとして、F社と業務提携していた半導体メーカー G社の元技術者が、不正競争防止法違反(営業秘密開示)容疑で逮捕された。損害は1000億円を超える・・
①研究データ(営業秘密)をコピーし、不正に持ち出して退職
②研究データを提供する見返りに好待遇で転職
③研究データを使用して製造
動機:処遇に不満

事例2 委託SEによる個人情報漏えい
2014年7月、A社の顧客データベースを保守管理するグループ会社B社の委託先の元社員が、顧客の個人情報を名簿業者へ売り渡す目的で、記憶媒体にコピーし流出させたとして不正競争防止法違反の疑いで逮捕された。流出した個人情報は約3504万件。
①大量の顧客情報をダウンロードしスマートフォンにコピー
②顧客名簿業者に販売
③複数の業者へ転売
顧客データベースは厳重に管理されていたが、付与されたIDでアクセスされていた。

内部不正の状況~営業秘密の漏えい者と漏えい先~

(出典)経済産業省:「人材を通じた技術流出に関する調査研究報告書(2013年3月)」
(上位3位まで)

営業秘密の漏えい者
中途退職者(正社員)による漏洩50.30%
現職従業員等のミスによる漏洩26.90%
金銭目的等の動機をもった現職従業員による漏洩10.90%

営業秘密の漏えい先
国内の競業他社46.5%
国内の競業他社以外の企業14.1%
外国の競業他社10.8%

• ビジネス上有用なノウハウや技術等の営業秘密の流出は、従業員によるものが多くを占める。
• 流出ルートでは、退職者による漏えいが最も多い。
• 国内外の競業他社へ漏えいしている恐れがある。

内部不正への気持ちが低下する対策~従業員と経営者で意識格差あり~

(出典)IPA:組織内部者の不正行為によるインシデント調査 調査報告書(2012年7月)

社員(順位・割合)、内容、経営者(順位・割合)
1位 54.2% 社内システムの操作の証拠が残る 19 位 0.0%
2位 37.5% 顧客情報などの重要な情報にアクセスした人が監視される(アクセスログ監視等含む) 5 位 7.3%
3位 36.2% これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 10位 2.7%
4位 31.6% 社内システムにログインするためのIDやパスワードの管理を徹底する 3位 11.8%
5位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 10 位 2.7.%

一般的に、内部不正対策としてアカウント管理、アクセス制御などが行われているが、従業員にとって、最も抑止力が高い対策は「社内システムの操作の証拠が残る(54%)」すなわちログ監視が行われることである。
しかし、経営者、システム管理者が考える対策では、ログ監視は19位となっており、内部不正の対策としてログ監視を行うことに、社員と管理者の意識のギャップが見られたことから、経営者が講じる対策が必ずしも効果的に機能していない可能性がある。

内部不正が発生する要因

(出典)IPA:組織内部者の不正行為によるインシデント調査 調査報告書(2012年7月)

不正行為への気持ちを高める要因
順位 内容 割合
1 不当だと思う解雇通告を受けた 34.2%
2 給与や賞与に不満がある 23.2%
3 社内の人事評価に不満がある 22.7%
4 職場で頻繁にルール違反が繰り返されている 20.8%
5 システム管理がずさんで顧客情報を簡単に持ち出せることを知っている 20.1%
6 社内ルールや規則に違反した際、罰則がない 18.7%
7 上司の仕事の取り組み方や上司の人間性に不満がある 18.3%
8 職場で人間関係のトラブルがある 17.8%
9 社内のだれにも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている 16.4%
10 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった 16.1%

• 不正行為を働く動機を高める要因は、処遇面の不満に関する項目が上位を占める。(社員向けアンケート)

内部不正へは「人」的対策を

内部不正の予防策
1. 犯行を難しくする
技術的な対策を強化することで犯罪行為を難しくする
2. 捕まるリスクを高める
管理や監視を強化することで捕まるリスクを高める
3. 犯行の見返りを減らす
犯行を難しくするための技術的対策によって、犯行者から適切な目標物を遠ざけることや隠すことが困難な場合に適用
4. 犯行の挑発を減らす
外部からの挑発による犯罪行為を抑止
5. 犯罪を容認する言い訳を許さない
犯行者による自らの行為の正当化理由を排除する

社内ルールの整備や管理体制などの組織面での対策、内部不正を難しくする技術面での対策だけでなく、正規のアクセス権限を持つ内部者による不正行為には、「人」的対策が重要です。
「人」的対策として、「内部不正への気持ちが低下する対策」として、従業員の回答で比率の高かったログ監視を取り入れてみてはいかがでしょうか。

ここでは、経産省推奨の内部不正防止ガイドラインより、内部不正の事例と予防策をお伝えしました。