2020年6月10日に、東京地方裁判所で一つの判決(※1)がありました。犯人には、窃盗罪として懲役2年、執行猶予5年が下されました。
この事件は、2019年12月に発生した、本来処分するはずだった行政文書が含まれるHDDを、金銭的な目的で委託先の従業員が持ち帰り、ネットオークションを通じて転売したというものです。
内部不正という脅威の高まり
昨年は、他にもセキュリティ専門企業でも元従業員による不正行為で個人情報流出などがありました。また、情報処理推進機構(IPA)が発表した2020年7月に発表した「IPAの10大脅威2020」の「組織における脅威ランキング」(※2)では、「内部不正による情報漏えい」が企業にとっての脅威第2位となっており、昨年順位の5位から順位を伸ばしています。
さらに、2020年に入ってからも、内部情報記録したUSBメモリ外部持ち出し(※3)、個人情報の無断提供(※4)など内部犯行によるインシデント事例が発生しています。
順位 | 「組織」向け脅威 |
---|---|
1 | 標的型攻撃による機密情報の窃取 |
2 | 内部不正による情報漏洩 |
3 | ビジネスメール詐欺による金銭被害 |
4 | サプライチェーンの弱点を悪用した攻撃 |
5 | ランサムウェアによる被害 |
6 | 予期せぬIT基盤の障害に伴う業務停止 |
7 | 不注意による情報漏洩 |
8 | インターネット上のサービスからの個人情報の窃取 |
9 | IoT機器の不正利用 |
10 | サービス妨害攻撃によるサービスの停止 |
表1:情報セキュリティ10大脅威2020 組織向けの脅威の順位
動機や正当化の増加
内部不正の発生に関する考え方の一つに、不正のトライアングル理論(※5)があり、この理論では「動機」「機会」「正当化」の3つの要素が、内部不正の発生につながると考えられています。
今は、コロナ禍により感染拡大防止策として、外出の自粛や在宅勤務が推奨され、私たちの生活は大きく変化しました。このような変化やこの生活がいつまで続くのか見通しがもてない現状は、不安や恐れ、ストレスを感じやすくなります。(※6)
不安やおそれ、ストレスを感じやすい現状は、不正のトライアングル理論の3要素のうち、「動機」(コロナ禍による収入減、将来への不安)や、「正当化」(世界的な感染症が原因、国が助けないのが悪いなど)の要素になりえる可能性があります。
そのため、技術的なセキュリティ対策を施すなど内部不正を起こす意思を持つ人が悪意ある行動をとれない環境を構築する(「機会」を与えない)ことが、内部不正を防止するために大切です。
機会を与えない
まとめ
内部不正の発生を防ぐため、「動機」や「正当化」を低減する教育や啓発も大事ですが、内部不正では、「金銭」だけでなく、「不満、怨恨、道づれ」などさまざまなケースがあり、動機や正当化をなくすことは困難です。
そのため、内部不正を起こす意思を持つ人が悪意ある行動をとれないよう、スキを見せない(「機会」を与えない)ことが、内部不正を防止するために大切です。
参考
https://www.meti.go.jp/shingikai/sankoshin/sangyo_gijutsu/kenkyu_innovation/pdf/019_02_00.pdf