2014年9月24日 [ コラム ]
内部不正はなぜ起こるか?
先日から報道等で頻繁に取り上げられている、某通信教育大手企業で発生した情報漏えい事件。報道によれば内部関係者による意図した情報漏えいとのことである。情報を盗んだ容疑者は、パチンコなどで数百万円の借金があり、盗んだ個人情報を売却することで利益を得て借金の穴埋めにしていたらしい。まさに、不正が発生する典型的なパターンである。
こうした企業・組織における不正の発生原因について専門家の意見などを参考にまとめた。
【不正のトライアングル】
不正が発生する要素として次の3つがあげられる。
- 不正を行う「動機」があること
- 不正を行うことのできる「機会」があること
- 不正を「正当化」してしまうこと
この3つの要素が絡み合いそれぞれが増長していくことで、最初はほんの出来心であった小さな不正でも、いつの間にか大きな不正に発展していくケースがよくあるらしい。各要素について具体的に解説していこう。
- 動機:他人に打ち明けられない金銭問題が発生する
- 仕事上のミスによる支出
- ギャンブルによる借金
- 異性関係による支出
- 自分の会社における処遇の不満
- 機密情報の売買がお金になる
- 機会:見つからず不正行為ができるという認識を持つ
- 誰にもチェックされず処理ができる
- 上司のチェックが甘く見つからない
- 他人もやっていたので、自分もできる
- 正当化:自分を納得させて不正行為に踏み切る
- 盗むのではなく、一時的に借りるだけ
- 自分は会社に不当な評価をされており、会社に貸しがある
- チェックをしない上司が悪い
動機はやはり「金銭の問題」が大半である。特に他人に打ち明けにくい原因による「金銭の問題」は自分でなんとか処理しようとする。この処理方法を考えたときに、不正のできる機会があるとついその機会を利用してしまう。そして、実行するときには自分の行為を何らかの方法で正当化する。このサイクルに一度はまると、二回目からは徐々にエスカレートしていく。今回の事件も一年に亘って情報の盗難を繰り返したようである。まさに「不正のトライアングル」によって大きな事件になってしまった事例といえよう。
それでは、どのようにすれば「不正のトライアングル」にはまることなく、不正行為を防止できるのだろうか。
3つの要素のうち、「動機」「正当化」は個人が感じることなので外部からコントロールするのは難しい。一方、「機会」はツールや仕組み、ルールによってコントロールが可能である。不正行為のできる機会を排除することで、不正を防止することが可能だ。
- ルールの徹底
会社の就業規則には一般的に罰則(懲戒)の項目がある。筆者もそうであるが、普段は懲戒のことなど考えたこともないので、どういった規則になっているかも知らなかった。実はこのコラムを書きながら初めて見た。
また、情報セキュリティにある程度の投資をしている企業・団体であれば、情報セキュリティポリシーを制定しているはずである。このポリシーにも一般的には罰則の項目がある。ただ同じようにあまり周知されていない項目であろうと思われる。
したがって、これらのルールを従業員に周知することで、懲戒や罰則について改めて知ることとなり、不正に対する抑止力として大きな効果が期待できる。
- アクセスログの取得・保存
不正ができる「機会」とは、すなわち他人に「ばれない」で不正行為ができてしまう環境があることであり、対策はこの機会をなくすことである。機密情報や個人情報、業務システムへのアクセスログを取得し保存しておくことで、何が行われているかをモニタリングしておくことが、不正行為の「機会」をなくすのに効果的といえる。
以上、内部不正の発生について解説したが、対策については下記資料を参考にされたい。
-
組織における内部不正防止ガイドライン
(独立行政法人情報処理推進機構)
http://www.ipa.go.jp/security/fy24/reports/insider/index.html
-
内部不正対策ソリューションガイド
(特定非営利活動法人日本ネットワークセキュリティ協会)
http://www.jnsa.org/result/2013/surv_acci/index.html
→内部不正防止対策製品としてNetEvidence Ax掲載中!
<NetEvidenceAxの詳細はこちら>