目次 1. はじめに 本調査の実施概要 既存調査研究のまとめ 海外の調査研究 国内における既存調査 関連する心理学の理論 本調査における定義と分類 事例調査

Transcription

1 組織内部者の不正行為によるインシデント調査 - 調査報告書 年 7 月

2 目次 1. はじめに 本調査の実施概要 既存調査研究のまとめ 海外の調査研究 国内における既存調査 関連する心理学の理論 本調査における定義と分類 事例調査 内部不正の概況 判例調査概要 インタビュー調査概要 本調査における内部不正のモデル アンケート調査及び分析結果 アンケート調査概要 集計結果の分析と考察 まとめ 参照文献 付録 1: 事例集 ( インタビュー調査 ) 付録 2: 事例集 ( 判例調査 ) 付録 3: アンケート調査票 CERT は 米国 CERT/CC の登録商標または商標です VERIZON, VERIZON BUSINESS などは 米国 VERIZON および その他の国における登録商標または商標です その他 本書に掲載されている会社名 商品名 製品名などは 一般に各社の商標または登録商標です

3 1. はじめに 企業や組織で 不正アクセスやウイルス感染 情報漏えい等の情報セキュリティの事故 ( 以下 インシデント ) の発生が連日のように報道されている その被害は増加傾向にあり ますます深刻化している 近年のインシデントは これまでの愉快犯的な行為から 経済的利得や組織活動の妨害へと犯罪の目的が変化 多様化している インシデントは 発生場所の観点から 組織の外部からの攻撃と内部における不正行為の大きく 2 つに分類することができる 組織外部からのサイバー攻撃は インターネットから組織のネットワークへのウイルスや DDoS 攻撃 標的型攻撃メール等がある 一方 組織内部で起きるのが 内部者による不正行為である 内部者は 情報や情報システムにアクセスする権限を持つ者の場合が多く アクセス制御等による技術的な対策のみでは限界がある そのため 不正行為が発生する環境要因や心理的要因等についても考慮する必要がある インシデントの発生状況をみると 米国 CERT の 2011 CyberSecurity Watch Survey では 2010 年に発生した全てのサイバー犯罪のうち 標的型攻撃などの組織の外部からの攻撃に起因するものが 73% を占め 残りが組織の内部者による不正行為によって引き起こされたものと報告されている また Verizon のレポートである 2012 Data Breach Investigations report[1] では両者の差が更に顕著で 全データ漏洩 / 侵害事例において 外部からの攻撃によって引き起こされたものの割合が 95% であるのに対して 内部者によるものは ( 業務上のビジネスパートナーによるものを含めても ) わずか 3% しかない ( 残りの 2% は内部と外部の両方に関わるもの ) このように サイバー犯罪の発生件数は 外部からの攻撃によるサ イバー犯罪が大きな割合を占めている また 日本ネットワークセキュリティ協会 ( 以下 JNSA 1 ) が 2010 年に 実施した 2010 年のインシデントに関する調査 2 によると 内部者の不正行為 3 による個人情報の漏えいに関 するインシデントは 2005 年から 2010 年の間 毎年の全ての漏えい人数のうち 4% から 30% を占めている インシデント発生による被害額の観点では 前述の CyberSecurity Watch Survey の報告によると 外部からの攻撃によるものと 内部者の不正行為によるものについてどちらの被害額が大きいかの質問に対して 外部からの攻撃が 38% であり 内部者による不正行為が 33% であった このように 件数は少ないものの 組織が受ける被害額の大きさでは 同程度の割合と認識されており 内部者による不正行為は看過できないものである 内部者は価値のある重要な情報の場所を知っており 社内の情報システムの知識やアクセス権をもつことから 内部者による不正行為が発生すると被害が大きくなると考えられる 例えば Ponemon Institute が発表した Second Annual Cost of Cyber Crime Study によると 内部者の不正行為による年単位で計算された 2010 年 2011 年の平均被害額はおよそ 10 万米ドルであり これは Denial of Service( 約 19 万米ドル ) Web-based attacks( 約 14 万米ドル ) Malicious code( 約 12 万 5 千米ドル ) に次いで大きい額である ( ボット ウイルスなどによる平均額はおよそ 2 千米ドルである ) これらから内部者による不正行為は 組織として対策を講じなければならない重要な課題の 1 つであることは明らかである しかし 国内における組織の内部者による不正行為に関する国内での実証的な取り組みは 2010 年に公表された ( 財 ) 社会安全研究財団による 情報セキュリティにおける人的脅威対策に関する調査報告書 [1] があるのみである この報告書では サイバー犯罪で検挙された事例として 悪意を持った内部者の不正行為を対象に分析している ただし JNSA が 2010 年に実施した 2010 年のインシデントに関する調査 ~ 発生確率編 ~ によると内部者の不正行為には 必ずしも悪意を持っていたとは言い難い うっかりミス や業務遂行上迫られた ルール違反 等の事案が多数あると指摘しているものの そのような犯罪として立件に至らない事例は含まれていない 内部者の不正行為に関して 犯罪として立件に至った重大なインシデント 1 JNSA:Japan Network Security Association JNSA の調査では 社員 管理下にある他社社員 ( 派遣社員など ) が 不正アクセス その他の不正な行為によって情報を持ち 出して悪用した場合を 内部犯罪 内部不正行為 と定義し 本調査で対象となる内部者の不正行為を含んでいる 1

4 の事案の分析である この重大なインシデント ( 情報セキュリティの事故 ) は ハインリッヒの法則の重大な事故 災害と捉えることができる ハインリッヒの法則では 1 件の重大な事故 災害の背景には 29 件の軽微な事故 災害が起こっており 300 件もの ヒヤリ ハット 4 が起きていると言われる 犯罪として立件に至った重大なインシデントの背景にある 犯罪として立件に至らなかったものや ヒヤリ ハットに関するものも発生しないように対策を講じる必要がある 内部者による不正行為の対策を検討するには 犯罪として立件に至らない事例やヒヤリ ハットに関する事例について情報収集が必要である しかし これらの情報は 風評被害が発生する恐れ や 利害関係者との調整がつかない 等の理由から公開されることが稀であり 情報共有も困難である したがって 実態が把握されておらず これまで内部者による不正行為の発生しやすい環境や 効果的な対策等の検討が難しかった 本調査は 内部者による不正行為の対策を検討していくために 内部者による不正行為に関する実態を明らかにする基礎的な調査である ここで 以降 うっかりミス 企業内のルール違反 等を含めた全体の内部者の不正行為を 内部不正 とし その中で 犯罪として立件に至ったものを特に 内部犯行 と呼ぶこととする 本調査では 内部不正の誘発要因 及びそれに対する抑止 防止対策の考察に関して 既存調査 [2] とは異なるアプローチをとる 既存調査では 調査対象事例を基に誘発要因を導出し 対策を考察している それに対して本調査では 組織に所属する幅広い人々を対象として内部不正に関わる実態を明らかにするために Web アンケートを使って意識調査を行い その中で主に どのような要因が不正行為をしたいという気持ちをどの程度高めるか どのような抑止 防止策が不正行為への気持ちをどの程度低下させるかに関して尋ねるという方法をとる 4 重大な事故や災害に至らないが 重大事故につながりかねない事故寸前の危険な事例のこと 2

5 2. 本調査の実施概要本調査は 図 1 の流れのように 文献調査と事例調査を行って事例を分析し 事例分析をもとに内部不正の誘発要因や効果的な対策についてアンケート調査を行い その結果を考察した 以下に 本調査の流れや実施内容について説明する 文献調査 (3 章 ) 内部不正に関する国内外の関連調査報告書や 犯罪を心理学や環境の観点から捉えた研究について調査した 事例調査 (4 章 ) 内部不正の調査に関わった調査員 対策を立案するコンサルタント 企業の CISO 及び法律家などの協力を得て内部不正に関して未遂 (1 件 ) も含め 20 件の事例を収集した その際 公開されている内部犯行の事例と比較するために判例調査も行い 10 件の事例を収集した 事例分析 (4 章 ) 収集した事例から 内部不正と内部犯行の傾向の比較や 内部不正者の特性に関する分析を行い 代表的な2つの想定モデルを策定した そして この 2 つの想定モデルの内部不正の誘発要因について考察した アンケート調査 (5 章 ) 内部不正対策される側の社員や職員を対象にした 3,000 人の Web アンケートと 内部不正対策する側の経営者及びシステム管理者を対象とした 110 人のアンケートの 2 つを実施した 社員や職員への Web アンケートでは 事例分析の代表的な 2 つの想定モデルをもとにシナリオを設定し そのシナリオにおいて 内部不正の誘発要因や効果的な対策について質問した また 経営者及びシステム管理者へのアンケートでは 効果的な対策について質問した これらのアンケート結果を集計 分析した まとめ (6 章 ) 本調査の結果をまとめる 文献調査 事例分析 アンケート調査 まとめ 事例調査 図 1 調査概要図 3

6 3. 既存調査研究のまとめ 本章では 内部不正に係る既存の関連調査や研究を紹介し これらの調査や研究を参照して 本報告書の内部不正者や内部不正の定義 内部不正の分類や引き起こす要因等を示す 海外の調査研究を3.1 節 国内の調査を3.2 節で述べる さらに 内部不正者の心理面や行動面から予防 防止するという観点から犯罪心理学について3.3 節で述べる 3.1 海外の調査研究米国では CERT の Insider Threat Study team 5 が 1996 年から 2002 年までに 150 の内部犯行の事例を収集し 重要インフラを含む特定部門の事例分析を行い 2009 年に発表した Common Sense Guide to Prevention and Detection of Insider Threat [8] の中で内部犯行の予兆の検知 犯行に対する防護のためのベストプラクティスを公表している 6 本節では CERT の調査研究における内部犯行者の定義や内部犯行の分類等について概説する CERT Insider Threat Study による内部犯行の定義 CERT が 2008 年に報告している Insider Threat Study( 以降 ITS)[7] では 内部犯行者を定義し 内部犯行を 3 つに分類している 内部犯行者の定義は 表 1 の 3 つの条件を満たす者としている なお 内部犯行者の定義や内部犯行の分類概要などの和訳は 国内調査 [1] を参照した 表 1 内部犯行者の定義 現在もしくは過去の社員 その他の被雇用者もしくはビジネスパートナー 組織の IT システム ( ネットワーク システム データ ) への正規に認められたアクセス権を持っている もしくは持っていた者 意図的にそのアクセス権を用い 組織の情報の機密性 完全性 可用性に対して負の影響をもたらした者 ITS では 内部犯行を 3 つに分類し それぞれの概要と特徴を示している また 内部犯行のポイントについてもまとめている 内部犯行の分類及び特徴を表 2 内部犯行のポイントを表 3 に示す 表 2 内部犯行の分類概要及び特徴 分類 概要 特徴 概要 組織の財やサービスをごまかし (deception) やぺてん (trickery) で手に入れる 1 システム悪用 (Employee Fraud) 特徴 しばしば内部者の金銭的問題が関係する 1/3 のケースで 外部の手引き者が存在した 情報改ざんについては 同僚がおぜん立てすることが多い 内部脅威者のストレスを引き起こすものが観察される ( 例えば借金 家族問題等 ) 概要 機密や知財に関連する情報などを組織から盗み出す 2 情報の持ち出し (Theft of Information) 特徴 内部脅威者は 情報窃取のリスクに関連する個人的な傾向 (personal predispositions) をもつ たとえば 期待に反した待遇 ( 報酬 昇進 オンライン活動への自由 倫理感 プロジェクト期限等他 ) についての不満を持っ 5 Insider Thread Center, 6 Insider Thread Center, Insider Threat Study 4

7 分類 概要 特徴 ている 組織を辞めた後に侵入可能なように アクセス経路を作っていることが多い 前兆があるが ほとんどの場合 組織は技術的な前兆を見落としている 管理者は 前兆を見逃がさないようにモニタリングをすべきで そのようにポリシーを策定すべきである 信頼 (Trust) は リスクを軽減する 概要 特定個人 組織 ( 含む組織のデータ システム 日常業務 ) に損失を与えるという意志に基づいた悪意ある行動 3 破壊行為 (IT Sabotage) 特徴 IP 7 を金銭目的で売ろうとするものは少なく むしろ 転職や起業などの際の自己のビジネスの優位のため また 外国政府などへ持ち出す IP を盗む者は たいてい 科学者 エンジニア プログラマやセールスパーソンである 盗む対象は 通常の業務で扱っている情報が多いので これを防ぐのは困難である 転職 処遇などの組織への不満 肩書などはすべて情報を盗む意思決定に影響する 情報は さまざまな手法を使い 退職から 1 ヶ月以内に盗まれている 退職の 1 ヶ月前と 1 ヶ月後の合わせて 2 ヶ月のモニターが必要である この間の外部とのやり取りをすべてログしておくべきである 表 3 内部犯行調査で明らかになったポイント 1. 多くの内部犯行者は悪意ある行動に身を冒す個人的な傾向を有している 2. 多くの内部犯行者の不満は期待が裏切られたことに端を発する 3. 処罰や ( 従業員にとって ) 好ましくない出来事が破壊行為の発生確率を上げる 4. 多くの場合 犯行の兆候を示す振る舞いが確認されている しかしそれらは看過さ れる 5. 内部犯行者は侵入するため そして痕跡を隠すために組織の経営層に気づかれぬ ように裏口を設ける 大半の行為は退職後にその裏口を用いて行われる 6. 組織は技術的な前兆を見落としている 7. 物理的 技術的アクセス制御の欠如が破壊行為を容易にする 知的財産等を対象とした既存調査知的財産に係る内部犯行が近年注目されていることから CERT は知的財産を対象とした内部犯行を積極的に分析しており 2010 年に Spotlight On : Insider Threat from Trusted Business Partners [11] を公表している この調査報告書では 知的財産 (Intellectual Property: 以下 IP とする ) を特許 著作権 商標 意匠 科学的公式 ソースコードの一部であり 顧客に関する機密情報のような財産的な情報 (Proprietary Information) を含めた独自 創造的な発想と定義している そして 内部者である 信頼あるビジネスパートナー (Trusted Business Partner( 以下 TBP)) による IP の盗難のケースに焦点を当てて考察している TBP やこれに関連した項目に関して 同調査では表 4 のように定義している 7 Intellectual Property ( 知的財産 ) 5

8 表 4 知的財産に関する内部犯行の定義及び分類 IP の盗難 TBP 用語 定義内容等 内部者が IT を利用し IP を組織から盗むことを指す 但し ID 8 の盗難は除かれる 契約に基づいて ある組織 ( 企業 団体 ) に向けてサービスを提供する外部企業 団体 ( 組織的 TBP) または部外者 ( 個人的 TBP) を指す このサービスを提供するためには 組織は TBP に対して特許データ 重要資料 内部インフラの構成等の情報へのアクセス権限を提供しなければならない 組織的 TBP の例としては 組織から 顧客向けのサポート業務を委託された企業があり 9 一方 個人的 TBP の例としては その組織と個人契約を締結するコンサルタントや契約社員及び臨時の社員 ( パートタイム ) 等が含まれる 10 TBP に関係する内部犯行の事例は 内部犯行者のポジション アクセス権限の種類 場所 動機 大きく 5 つの内部犯行の項目に分類されている 各 5 項目において 2 つの TBP( 組織的 TBP 個人的 TBP) と詳細化した種類で発生割合として 表 5 のような結果を得ている 表 5 IP 盗難事例の詳細 項目犯行者のポジションアクセスの種類場所内部犯行分類動機 種類 組織的 TBP 個人的 TBP 技術系 27% 79% 非技術系 73% 21% 許可済み 100% 38% 未許可 0% 62% TBP 82% 53% 対象組織 0% 3% TBP と対象組織の双方 18% 0% リモート環境 0% 44% システム悪用 82% 12% 情報の持ち出し 18% 24% 破壊行為 0% 65% 経済的利得 73% 12% 復讐 0% 53% 競合 8% 18% 名声 風評 8% 3% 不明 8% 15% TBP との関係も含めた内部犯行の低減及び検出に関するアドバイスは表 6 の通りである 8 ID:Identification 9 このような組織と組織的 TBP との関係は 組織的関係 (organizational relationship) とレポート内で呼ばれている 10 このような組織と個人的 TBP との関係は 個人的関係 (individual relationship) とレポート内で呼ばれている 6

9 表 6 内部犯行の低減 検出に関するアドバイス 1. TBP のポリシーと処理手順を理解すること アクセスが許可された IP をモニターすること 3. アクセス権限を管理すること 4. TBP の人事ポリシーと処理手順を理解すること 職場で起こるネガティブな問題点を予測し 管理すること 6. 関係者のアクセス権限を削除した際 システム上でも確実に実施すること 7. 責務の分離を強化すること 8. 情報を保護する責任が TBP にもあることを 明確に契約に記述すること 3.2 国内における既存調査国内における事例に基づいた分析として注目すべき文書は ( 財 ) 社会安全研究財団より 2010 年 3 月に公表された 情報セキュリティにおける人的脅威対策に関する調査報告書 [1] である この報告書では CERT の分析や調査を参照し 警察機関の有する事件資料を基にした内部犯行の事例調査について報告している この報告書では 収集した 30 事例について多次元尺度法 (Multi Dimensional Scaling) 13 による事件の類型化を行い 事例を システム悪用 情報流出 Ⅰ( 道具的犯行 ) 情報流出 Ⅱ( 表出的犯行 ) 破壊行為 の 4 つのタイプに分けている 情報流出 Ⅰ( 道具的犯行 ) は CERT の報告書の表 2 の 情報の持ち出し に対応しており 情報流出 Ⅱ( 表出的犯行 ) を追加している 情報流出 Ⅰ( 道具的犯行 ) 情報流出 Ⅱ( 表出的犯行 ) の定義は以下のとおりである 情報流出 Ⅰ( 道具的犯行 ): 情報持ち出しなどの違反行為が ある目的( たとえば情報売却による金銭獲得 ) に沿った合理的な手段となっている 事例 情報流出 Ⅱ( 表出的犯行 ): 情報持ち出しなどの違反行為が 心理的満足を得る( たとえば鬱憤晴らし 情報を把握することで心理的な優位性を保つ ) 手段となっている 事例 4 つのタイプの特徴を把握するために 表 7 のように 個人的 人格的特徴 環境要因 犯行状況 について示す 11 ここで言うポリシー 手続きとは 組織的 TBP 内での物理的セキュリティ 従業員教育 従業員の経歴調査 セキュリティ対応手順 或いはその他の ( 不測の事態に備えての ) 防護策などのことである 12 TBP は従業員の経歴を徹底的に調査し 大丈夫と判断してから重要なデータの扱いを任せることを TBP と業務契約を結んでいる組織は主張すべきと ここでは言っている 13 分類対象物の関係を低次元空間において点の布置で表現する多変量解析の一手法 7

10 表 7 国内調査による内部犯行の特徴 種類 個人的 人格的な特徴 (IT 能力 / 技術 ) 環境要因 業務の専門性 職場への不満 システム悪用 業務で使用している端末が使用できる程度の IT 技術の者が多くを占めていた ( 高い IT 能力を有さない ) 情報流出 Ⅰ ( 道具的犯行 ) 内容及び特徴 システム管理などの相対的に高い IT 技術を有する者が多い 情報流出 Ⅱ ( 表出的犯行 ) 情報流出 Ⅰ と同じ傾向 破壊行為 情報流出 Ⅰ と同じ傾向 分業化され 専門化された業務に就いている者が多く 業務の監視性については 全体的に低い状況であった 何らかの不満を抱えている者が多い 不満を感じていない者が相対的に多い システム悪用と同じ傾向 情報流出 Ⅰ と同じ傾向 犯行状況 動機 その他 経済的な逼迫感 システム悪用と同じ傾向 嫌がらせや鬱積した感情の発散 情報流出 Ⅱ と同じ傾向 個々の事例や分類によって大きく異なり 日常業務で使用していたシステムに 組織の内部または外部からアクセスして犯行を行った事例や 情報収集のためキーロガーを利用していた事例 他の従業員のメールを自宅で自動受信設定していた事例もあった また ルーティンアクティビティ理論 [3] (2.3.1 節 ) を用い 内部犯行発生に不可欠な 3 つの要素 ( 動機づけられた犯罪者 潜在的な被害者 監視性の低い環境 ) の観点から 実施可能な対策を考察している 例えば 動機づけられた犯罪者 では 時期に応じた対策と情報システム面からのポイント ( システム開発者 運用者による犯行を防ぐための対策 ) は表 8 の通りである 表 8 国内既存調査における対策のポイント 対策 ポイント詳細項目内容 採用予定者が担当することとなる職務を遂行するために必要な 適性を有しているかのチェックを行う 時期に応じた対策 情報システム面からのポイント 入社前在職中退職期退職後システム運用 情報及び情報システムの取り扱い及び利用に関して契約に盛り込み及び違反した場合の措置についても書き込んでおく 労働条件 処遇条件について採用時に明確化しておく 職場全体のコミュニケーションを良くしておく 抑止システムの整備及び兆候の把握 コミュニケーションが重要 アカウントの無効化 退職後もモニターが必要であることを認識すべき システム開発者 運用者による犯行を防ぐための対策として以下のポイントがある システム開発 運用は複数の者で担当する システムへのアクセス権限を適切に管理する 実際の業務に当たっても一人に任せきりにしない チェックシステムを導入しておく 8

11 3.3 関連する心理学の理論不正行為者が その置かれた環境との相互作用に影響されることを前提とし その環境について一定のパターンを分析 導出できれば その結果を予防に利用できると考えられる 本節では 内部不正の分析に関係すると考えられる犯罪心理学や環境犯罪学の 3 つの理論 ( ルーティンアクティビティ理論 状況的犯罪予防 不正のトライアングル ) について概説する ルーティンアクティビティ理論犯罪心理学では 集団や犯罪行為に影響を与える犯罪者の行動と心的プロセスを分析している 図 1 に示すのは 犯罪の三角形といわれるものである ルーティンアクティビティ理論 (Routine Activity Theory) では 犯罪者 犯行対象物 場所の 3 つの要因が重なった場合に犯行が発生するとしている 犯罪を未然に防ぐためにはこれらを同時に起こさないよう 外側の三角形で表現している要素 監視者 行動規制者 管理 が必要であることを示している 要因 対策 行動規範者 犯罪者 問題 場所 犯行対象監視者 管理者 ( 動機づけられた ) 犯罪者行動規範者 ( 潜在的な ) 犯行対象物監視者 ( 監視性の低い ) 場所管理者 図 1 ルーティンアクティビティ理論の概要図 ( 出典 ) ( 財 ) 社会安全研究財団 : 環境犯罪学と犯罪分析 [3] より引用 状況的犯罪予防ルーティンアクティビティ理論では 違反者の意図や目標対象に対して 外部からのコントロールや抑止が困難な場合もある 一方で 監視者の設置などによって外部からのコントロールを可能な 環境 を適切に定めることを主眼として 犯罪機会の低減 予防する研究に 状況的犯罪予防の理論がある 状況的犯罪予防とは ある特定の犯罪問題を削減するための 極めて実践的かつ効果的な手段 と定義され 犯罪に関連する多くのプロセスや要因について予防するための方策を検討するために用いられる 状況的犯罪予防は 犯罪予防策として表 9 の 5 つに分類される 表 9 状況的犯罪予防における犯罪予防策の 5 分類 (1) 犯行を難しくする : 技術的な対策を強化することで犯罪行為を難しくする (2) 捕まるリスクを高める : 管理や監視を強化することで捕まるリスクを高める (3) 犯行の見返りを減らす : 犯行を難しくするための技術的対策によって 犯行者から適切な目標物を遠ざけることや隠すことが困難な場合に適用 (4) 犯行の挑発を減らす : 外部からの挑発による犯罪行為を抑止 (5) 犯罪を容認する言い訳を許さない : 犯行者による自らの行為の正当化理由を排除する 9

12 状況的犯罪予防には 直接的に犯罪を防止する対策から間接的に犯罪を防止及び抑止する対策まで含まれている 上記で説明した 5 分類は 更に各々 5 つに細分化されており 合計で 25 分類の対策が定義されている 状況的犯罪予防を参考にすると 25 分類の対策の観点から犯罪防止および抑止について検討可能である 図 3 では この 25 分類を情報セキュリティ対策に対応させた例を示している 不正のトライアングル ACFE の創設者でもあるドナルド R クレッシーは 横領の発生要因は脆弱な内部統制や不十分な監視システムが根本的な原因ではなく 当事者が雇用主の信頼に意図的に背くことにより不正行為が発生すると分析している 具体的には 動機 プレッシャー ( 他人に打ち明けられない経済的な問題 ) を抱え 機会 ( この問題が自分の経済的に信頼されている立場を利用すれば 秘密裏に解決できること ) を意識し 正当化 ( その解決策を実行しても 信頼された人物としての自分のイメージを損なわないですむような理由付け ) を考えつく時に発生すると考え この 動機 プレッシャー 機会 正当化 を不正のトライアングルと定義している 14 ( 図 2 を参照 ) 不正のトライアングルに基づいて内部不正対策を行う場合には 不正のトライアングルの 3 つの要因に関して低減する対策を検討することになる 例えば 作業のモニタリングを実施する等の対策を実施することで内部不正を行う 機会 を低減させて 内部不正の件数の低減を図ることができる 動機 プレッシャー 機会 正当化 図 2 不正のトライアングル 14 Donald R. Cressey "Fraud Triangle" 及び Other People s Money : A Study in the Social Psychology of Embezzlement 10

13 犯行を難しくする捕まるリスクを高める犯行の見返りを減らす犯行の挑発を減らす犯罪を容認する言い訳を許さない 1. 犯行対象を防御的に強化する スクリーンロックの設定 アクセス制御の設定 退職者の ID 削除 / 確認者設置 パスワードポリシーの設定 PC の物理チェーンロック 固定具 盗用防止スクリーン 6. 監視者を増やす 複数人での作業環境の設定 防犯ベルの設置 特権階級の分散化 / 管理者の増員 個人情報売買の監視 アクセスログの監視 11. 標的を隠す 電子ファイルのアクセス権限の設定 PC/USB メモリの保管場所設定 16. 欲求不満やストレスを減らす 職場での円滑なコミュニケーションの推進 上司や同僚に頻繁に相談できる環境整備 適切な人事 作業管理 ( 業務量の軽減 ) 21. 規則を決める 情報セキュリティポリシーの策定 個人情報管理策の作成 就業規則 障害対策等の手順の明確化 管理 / 運用策の策定 雇用契約 2. 施設への出入を制限する 7. 自然監視を補佐する 12. 対象を排除する 17. 対立を避ける 22. 指示を掲示する ID カード ( 身分証明 ) の確認 電子カードアクセス 手荷物検査 守りやすい空間の設計 ( 外部から見えるガラス面積の拡大 ) オフィスのフリースペース化 投書箱による密告者をサポートする 電子ファイルのアクセス権限の設定 PC の持込許可制度 業務上で必要な閲覧項目を絞る 紙の廃棄 / 溶解処理 情報セキュリティの管理部門を設置し 上司との対立を避ける 適切な人事 作業管理 ( 業務量の軽減 ) 情報セキュリティポリシーの掲示 個人情報管理策の掲示 就業規則の掲示 目的外利用の禁止の掲示 不正事例の掲示 ( 匿名 ) 3. 出口で検査をする ID カード ( 身分証明 ) の確認 手荷物検査 メールやネットの監視 8. 匿名性を減らす ID カード 社員バッチの携帯 ID による管理 持ち出し台帳による管理 13. 所有物を特定する PC/USB メモリに登録番号シールをつける 電子ファイル / 紙ファイルに管理番号をつける 複写台帳管理 18. 感情の高ぶりを抑える パワハラの禁止 人種的中傷の禁止 適切な人事 作業管理 ( 業務量の軽減 ) 23. 良心に警告する 持ち出し厳禁であることを掲示 管理レベルを表示 / 印字 不正競争防止法などの研修 教育 ルール厳守への自己サイン 4. 犯罪者をそらす 通路 / 出入り口の閉鎖 物理レベルに応じた入退制限 金属探知器 9. 現場管理者の利用 CCTV( 監視カメラ ) の設置 機密情報へのアクセスは複数人による作業制限 14. 市場を阻止する 不正競争防止法 不正監査 / 不正検査 個人情報売買の禁止 / 監視 19. 仲間からの圧力を緩和する 適切な人事 作業管理 ( 業務量の軽減 ) 24. 遵守を補佐する 利用 PC/USB メモリの登録管理 / 貸出規則を簡単にする 施錠保管キャビネットの設置 シュレッダーの設置 相談窓口の整備 5. 道具や対抗手段を制御する 非登録の PC/CD/USB メモリの持込 / 持出 / 書出し禁止 携帯電話の持ち込み禁止 メールやネットの利用制限 禁止 ( フィルタリング等 ) 10. フォーマルな監視体制を強化する 侵入警報装置 警備員 15. 利益を否定する 重要情報の暗号化 重要情報にノイズや電子透かし各種ウォーターマークを注入 20. 模倣犯を阻止する インシデントの手口の公開を慎重にする インシデントの証跡を残さない 25. 薬物 アルコールを規制する 職場での飲酒禁止 / 検査 アルコールなしの行事 図 3 状況的犯罪予防 (IT セキュリティ対策版 ) ( 出典 )5 カテゴリ 25 分類は ( 財 ) 社会安全研究財団 : 環境犯罪学と犯罪分析 P191 を参考とし セキュリティ対策の例を作成 11

14 3.4 本調査における定義と分類 CERT や社会安全研究財団の調査や研究では 組織内で発生した犯罪を対象としており 内部犯行を防ぐために多くの示唆を与えている 本報告書は 組織内で発生したインシデントとして 内部犯行を含む内部不正を対象としている 国内の組織などでの情報漏えい事案などをみると 情報セキュリティの内部の不正者によるルール違反等は 必ずしも悪意がないものや 犯罪として立件されないものが多く含まれている 前述したハインリッヒの法則を内部不正に適用すると 内部犯行を重大な事故とし 裁判に至らないケースやルール違反を軽微な事故やヒヤリ ハットとして位置付けることが可能である 内部犯行と内部不正はインシデントの規模のみが違うと考えると 内部不正の調査では ITS 及び国内の調査研究の内部犯行の予兆や対策のポイントなどが参考になると考えられる したがって 本調査では CERT と ( 財 ) 社会安全研究財団の報告書 [2]( 以降 既存調査という ) における定義を参考にして 内部不正者の定義や内部不正について分類する 内部不正者の定義既存調査では 内部犯行者を 正当なアクセス権限を所持している または 正当なアクセス権限を所持していた と定義している 本調査の事例では アクセス権限を持たない者による不正行為 ( 上司が使用している USB メモリを不正に入手する等 ) も見られ このような事例を含めることで より多くの事例を調査対象とすることができると考えられる 以上のことから 本調査の内部不正を行う者の定義は アクセス権を持っていない者 も含め その定義内容を表 10 に示す なお 下線で示した内容は 本調査で追加修正した部分である 表 10 本調査における内部不正者の定義 1. 現在もしくは過去の社員 その他の被雇用者もしくはビジネスパートナー 2. 組織の IT システム ( ネットワーク システム データ ) への正規に認められたアクセス権を持っている 者 及びアクセス権を持っていない者 3. 意図的にそのアクセス権を用い 組織の情報の機密性 完全性 可用性に対して負の影響をもたら した者 内部不正行為の対象情報及び分類既存調査では 内部犯行の分類である 情報持ち出し で対象となる情報は 機密や知財に関する情報 である また 道具的犯行 で対象となる情報は 換金のための情報 と定義されている 一方 本調査の対象範囲を考慮した場合 情報持ち出し で対象となる情報は 機密や知財に関係ない情報や重要な情報とはいえない情報 ( 例えば 職場の雰囲気や上司の近況情報などの情報 ) なども考えられる また 換金の目的では 情報のみでなく PC 等の物理的な情報資産の持ち出しも考えられる 道具的犯行 及び 表出的犯行 で対象となる情報でも 上司の近況情報など 換金のための情報とはいえない情報もあることが考えられる これらの機密や知財に関係ない情報や換金のための情報とはいえない情報は 企業内で重要情報と定められていない場合も考えられるが その情報が漏えいすることで間接的に企業に負の影響を与える場合も考えられる 以上のことから 本調査の内部不正で対象とする情報の定義は その他の情報 も含め その分類内容を表 11 に示す なお 下線で示した内容は 本調査で追加修正した部分である 12

15 表 11 本調査における内部不正の分類 1. システム悪用 (Employee Fraud) - システム悪用 : 組織の財やサービスをごまかし (deception) やぺてん (trickery) で手に入れる 2. 情報の持ち出し (Theft of Information) - 機密や知財に関連する情報及びその他の情報資産などを組織から盗み出す 道具的な犯行 : 情報セキュリティの違反行為が金銭的な利得を得るための不正 換金のための情報及びその他の情報や情報資産を獲得するといった目的に沿った合理的な手段として不正が行われる 表出的な犯行 : 蓄積した不満の発散や嫌がらせによる不正 情報の把握 持ち出し 公開等を行うことで心理的な優位性を保つなど 心理的満足のために情報セキュリティ違反行為がなされている 3. 破壊行為 (IT Sabotage) - 特定個人 組織 ( 組織のデータ システム 日常業務含む ) に損失を 与えるという意志に基づいた悪意ある行動 13

16 4. 事例調査本章では はじめに公開情報をもとに内部不正の概況を述べたのちに 具体的な事例調査として裁判の判例調査とインタビュー調査の結果を説明する また これらの事例調査の結果から本調査における内部不正のモデルを示す そして そのモデルから内部不正の発生要因について分析した 4.1 内部不正の概況 CERT や Verizon の報告書では 内部不正が原因となったインシデントの割合について述べられている 本節では 内部不正の発生に関して 断片的ではあるが情報を提供しているものを紹介する Computer Security Institute (CSI) の 2010/2011 Computer Crime and Security Survey によると 回答者である 149 人の IT 管理者のうちマルウェア感染を報告した企業が 67% もあったのに対して 内部者による業務目的以外のコンピュータの使用を報告したのは 25% 不正アクセス 権限昇格は 13% となっている Cyber-Ark による Snooping Survey 2011 によると 職場で破壊行為 或いは IT セキュリティ違反行為に遭遇したことがある IT 関連スタッフ及び役職の人の数は 全体の 18% を占めている ( 表 12 参照 ) これ以外にも 全体で 24% の回答者が自身で 或いは同僚が不正アクセスを行ったことがあると答えている ( 表 13 参照 ) 表 12 職場で破壊行為 或いは IT セキュリティ違反行為に遭遇した人の数 割合 EMEA 15 US C-Level 人数 % 人数 % 人数 % 遭遇した % % 11 16% 遭遇していない % % 44 63% 分からない % % 15 21% 合計 % % % ( 引用 )2011 年度版 Snooping Survey Cyber-Ark 16 表 13 機密情報にアクセスするために管理者パスワードを使用したことがある 或いは同僚がそうしたことがある人の数 割合 EMEA US C-Level 人数 % 人数 % 人数 % 使用あり % % 18 25% 使用なし % % 34 48% 分からない % % 19 27% 合計 % % % ( 引用 )2011 年度版 Snooping Survey Cyber-Ark Cisco による白書 Data Leakage Worldwide: Common Risks and Mistakes Employees Make では 10 か国で従業員 100 人 IT 管理者 100 人に対して行われた調査のうち 以下の 5 つの内部不正に関して 調査結果が報告されている (1) 会社内で使用許可の無いアプリケーションの利用 従業員全体のうち 78% が会社内のパソコンから個人使用の にアクセスしたことがある 15 Europe, the Middle East and Africa の略 16 Cyber-Ark 14

17 従業員全体のうち 63% が 会社のパソコンを業務目的以外 ( たとえばオンラインショッピング インターネットバンキングなど ) に毎日利用している 従業員全体のうち 83% が 会社のパソコンを業務目的以外に時々利用している IT 管理者全体のうち 70% は 会社で発生するデータ漏洩 損失事故の半分は そのような従業員のパソコンの利用に起因していると信じている (2) 業務で利用するコンピュータの悪用 中国では 42% ブラジルでは 26% インドでは 20% の従業員が 会社のセキュリティポリシーを無視し 設定を迂回している ブラジルでは 47% インドでは 27% イギリスでは 26% イタリアでは 22% ドイツでは 24% の従業員が 会社の機密情報を部外者と共有したことがある 中国では 43% インドでは 28% の従業員が 会社で使用する機器を管理者に無断で 部外者と共有したことがある 全体では 32% の回答者が仕事上で使用する機器を同僚と共有 19% が家族 友人と共有したことがある 63% が少なくとも 1 日に 1 回は会社の PC を個人使用している (3) 不正アクセス 表 14 従業員によるネットワーク 或いは立ち入り禁止区域への不正アクセスのケースに遭遇したことがある IT 管理者の割合 アメリカ ブラジル イギリス フランス ドイツ 遭遇した 46% 49% 36% 30% 26% 遭遇していない 47% 41% 55% 63% 62% 分からない 7% 10% 9% 7% 12% イタリア 中国 日本 インド オーストラリア 全体 遭遇した 40% 63% 28% 37% 30% 39% 遭遇していない 48% 32% 64% 49% 58% 52% 分からない 12% 5% 8% 14% 12% 10% ( 引用 )2011 年度版 Data Leakage Worldwide: Common Risks and Mistakes Employees Make 管理者の 46% が中企業 大企業の方が 小企業よりもそのような不正アクセスが横行している 管理者の 32% は小企業でもそのような不正アクセスが頻繁に発生していると回答している ドイツでは 22% の従業員が 部外者に付添なしでオフィスを歩き回らせている (4) リモート環境のセキュリティ 46% の従業員が 家で仕事をしているときに 業務用パソコンと個人使用のパソコンの間で 業務で使用しているファイルを送受信したことがある 75% 以上の従業員は公共の場で リモート環境で仕事をしているときに プライバシーガードを使用していない ( この傾向は ブラジル インド 中国で顕著である ) 68% の従業員は 公共の場において電話で業務上の話をするときに 声を落として話さない 家で働く従業員の 13% は 会社のネットワークにアクセスができないので 自分の個人使用のメールアカウントから 同僚 顧客に仕事上のメールを送る (5) パスワード ログイン / ログアウト手順の悪用 全体では 18% の従業員が 自身のパスワードを同僚と共有し 特に 中国 インド イタリアでは 25% がそうしている 全体では 少なくとも 3 人に 1 人の従業員が 長時間机から離れる際に パソコンをロックせずにログ 15

18 オンの状態に放置している 20% の従業員は システムへのログイン パスワード情報を自分の会社のパソコン内に保存 紙に書いて机の上 鍵のかかっていないキャビネットなどに置きっ放し 或いはパソコンに貼り付けている インド イタリア イギリスでは 10% の従業員が 職場のネットワークへのログイン パスワード情報を記したメモを机の上に置きっ放しにしている その結果 パソコンが盗まれた場合 盗難者が機密データにアクセスできてしまう状態になっている イギリス フランスでは 5% の従業員が個人の口座 ( 金融機関の口座も含む ) のログイン パスワード情報を印刷したものを机の上に置きっ放しにしている 中国では 28% の従業員が 自身の金融機関の口座にアクセスするためのログイン パスワード情報を会社で使用する機器に保存している ここで挙げられている内部不正の多くは 犯罪として立件されないようなケースであるが これらの報告結果は それがごく一部でのみ発生するレアケースである可能性が低いことを示唆している VERIZON 社が アメリカ合衆国シークレットサービス (USSS 17 ) と共同で公表している過去 3 年間にわたる調査結果は ( データ漏洩 / 侵害限定ではあるが ) 内部不正がどのような職種の人によって行われているのか報告している ( 表 4 参照 ) それによると 一番多いのが一般従業員で 以下 財務 / 会計スタッフ 幹部と続く 報告書でも指摘されているが 高い権限を持った人のみがそれを使って機密データ 価値の高い情報を窃取するのではなく 権限の低い人もその権限レベルで入手できる ( 換金可能な ) 情報を不正に入手しようとする 表 4 内部者によるデータ漏洩 / 侵害の割合 内部不正者のタイプ 割合 一般従業員 / エンドユーザー 85% 財務 / 会計スタッフ 22% 経営幹部 / 上級管理職 11% ヘルプデスクスタッフ 4% システム / ネットワーク管理者 3% ソフトウェア開発者 2% 不明 1% その他 1% ( 引用 )2011 年度データ漏えい / 侵害調査報告書 VERIZON USSS:United States Secret Service 18 VERIZON ビジネス RISK チーム 16

19 4.2 判例調査概要 判例収集判例調査では まず 判例データベースを使用して判例を検索し 内部犯行に該当する判例を抽出する作業を行った 判例収集の目的 手順などは表 15 の通りである 表 15 判例収集方法 項目目的情報源調査方法その他条件 内容 内部犯行における 動機 手口 発生環境 被害状況などの詳細情報を得る 裁判所ウェブサイトを含む判例データベース 1) 内部犯行の公開情報を基に 判例に含まれると考えられるキーワードを幾つか決める 2) 上記のデータベースを使い 判例のキーワード検索を行う ( 検索キーワード及びその結果は表 16 を参照 ) 3) 上記 2) の各検索結果グループ (No.1~11) から 10 件程度の判例情報をチェックし 内部犯行の定義に該当する判例があるか確認する 具体的には 判例における 内部者 ( 元従業員を含む ) 内部犯行と IT システムとの関連性 内部犯行の対象と情報資産及び IT システムや IT サービスとの関連性 内部犯行によって組織の情報が受けた影響 ( 機密性 完全性 可用性 ) を確認する 4) 内部犯行に該当する事例があると判断された 4 つのグループ ( 検索結果 No.5 No.6 No.10 No.11) から 最新の判例を中心に 10 件選別する その判例の選別に当たっては 下記の その他条件 に該当するかどうかを基準にした 個別調査を検討している判例が以下の条件を満たすかどうかをチェック 判例中の内部犯行行為を 表 10 にある内部不正の 4 分類のうちのどれかに特定できる 判例要旨に 不正行為者 対象 動機 監視性に関する情報が含まれている 表 16 判例調査対象グループ 検索結果 No. 検索キーワード 19 該当件数 1 内部 不正 情報 横領 147 件 2 内部 不正 情報 流出 248 件 3 内部 不正 情報 アクセス 164 件 4 内部 不正 情報 妨害 478 件 5 営業秘密 流出 66 件 6 営業秘密 アクセス 111 件 7 営業差止等請求事件 10 件 8 個人情報 横領 40 件 9 個人情報 漏洩 57 件 10 電子計算機 背任 9 件 11 電子計算機 詐欺 46 件 19 キーワード検索においては 不正 という言葉が使われているが 検索対象となっているのは犯罪事例のみであり うっかり ミス ルール違反 などのケースは対象になっていない 17

20 4.2.2 判例調査で得られた傾向判例調査の結果から得られた傾向を報告する 判例調査で得られた事例数は 合計 10 事例である これらの事例を分類すると 道具的な犯行 が 9 件 道具的な犯行 と 表出的な犯行 の双方に分類できる事例 ( 道具的な犯行且つ表出的な犯行の事例 ) が 1 件であった そのため 表 17 では 道具的な犯行 が 10 件 表出的な犯行 が 1 件となる 裁判の際 企業が現従業員を相手取るケースはほとんどなく 企業の元従業員や委託先の従業員が被告であるケースが多い 表 17 判例調査件数分類 システム悪用道具的な犯行表出的な犯行破壊行為不明 該当件数 0 件 10 件 1 件 0 件 0 件 次に 個々の犯罪事例を別の観点から分類するために 節で紹介したルーティンアクティビティ理論を利用した 個々の事例を 動機づけられた犯罪者はどのような職種についていたのか ( 動機づけられた犯罪者 ) 犯行対象物は何であったか( 潜在的な犯行対象物 ) 犯行発生場所の監視性は高かったか/ 低かったか ( 監視性の低い場所 ) といった観点から分類することにした 更に 動機づけられた犯罪者はどのような職種についていたのか に関して言えば この中に 動機 犯罪者 の二つの要素があることから これを 犯罪者の職種は何であったか 犯罪者の動機は何であったのか の二つに分解した この 4 つの観点に基づく結果は図 4 及び表 18 の通りである 不正行為者は 5 種類 犯行対象物は 5 種類 動機は 4 種類 監視性は 2 種類となった ( 表 18) 図 4 を見ると 不正行為者は 開発者が 50% と最も多く 次いで一般社員が 30% 管理職とその他がそれぞれ 10% である 対象は開発情報と顧客情報がそれぞれ 50% と最も多く 動機は転職 起業が 90% である 監視性については 内部犯行が行われた環境において業務に対する監視者が設定されていた事実 (IT システムによって重要情報に対する不正な操作を管理者に通知する等の機能が利用されていた場合も含む ) があったと確認できた場合に 高い その事実が無かった場合や確認できない場合に 低い とした 今回の調査では 全ての事例において その事実が確認できなかったため 監視性は低い が 100% となっている 18

21 不正行為者 ID パスワード 0.0% 対象 動機 高い 0.0% 監視性 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% システム管理者 0.0% 一般社員 ( 元社員を含む )30.0% 金銭 10.0% 情報 0.0% 開発情報 50.0% 管理職 10.0% その他 10.0% 転職 起業 90.0% 低い 100.0% 開発者 ( 元従業員 ) 50.0% 顧客情報 50.0% 図 4 判例調査結果の詳細分類 (n=10) 社内情報 0.0% 物理装置 0.0% 組織 上司への不満 0.0% 表 18 判例調査結果の詳細分類 (n=10) 分類項目件数比率 犯罪行為者 対象 動機 監視性 一般社員 ( 元社員を含む ) 3 30% 管理職 経営者 2 20% その他 1 10% 開発者 ( 元従業員 ) 4 40% システム管理者 0 0% ID パスワード 0 0% 開発情報 5 50% 顧客情報 5 50% 社内情報 0 0% 物理装置 0 0% 金銭 1 10% 情報 0 0% 転職 起業 9 90% 組織 上司への不満 0 0% 高い 0 0% 低い % 不正行為者を軸に対象 動機 及び監視性を分離した結果を表 19 に示す 開発者については 全てのケースで 対象は開発情報であり 動機は転職目的が多い ( 動機については 不満且つ転職の事例があったため合計 6 件である ) 一般社員については 全てのケースにおいて 対象は顧客情報であり 動機は転職目的である また 監視性は低い 表 19 判例調査結果 ( 不正行為者 ) 一般社員 ( 元社員を含む ) 社内情報 顧客情報 対象動機監視性 ID パスワード 開発情報 物理装置 不満情報転職金銭高い低い システム管理者 開発者 ( 元従業員 ) 管理職 その他

22 4.3 インタビュー調査概要 インタビュー事例収集 インタビュー調査では 主にインシデントに関わった調査員 及び企業の CISO 法律家などから協力を 得て 表 20 に示した調査概要に基づき 面談形式で確認した 表 20 インタビュー事例収集プロセス 項目目的調査対象者調査方法その他 内容 内部不正における 動機 手口 発生環境 被害状況などの詳細情報を得る ここでいう内部不正には 内部犯行に加えて うっかりミス や 組織内でのルール違反 など ( の内部犯行扱いになっていないもの ) も含まれる インシデントに関わった調査員 及び企業の CISO 法律家など 上記の調査対象者に対してインタビューを実施する 内部不正の傾向の把握 個々の事例の具体的な情報の収集 事例が発生した環境及び内部不正防止対策実施状況に関する情報の収集の 3 つの目的に沿ってインタビュー調査を実施するため インタビュー項目を表 21 表 22 のように設定した 個別調査を検討しているインタビュー事例が以下の条件を満たすかどうかをチェック 事例中の内部不正行為を 表 10 にある内部不正の 4 分類のうちのどれかに特定できる 不正行為者 対象 動機 監視性に関する情報がインタビュー回答に含まれている 表 21 インタビュー調査項目 ( 内部不正の傾向 個別事例 不正発生時の環境に関する情報収集 ) 共通インタビュー項目 個別事例に関する項目 1. 内部不正事例の件数 代表的な事例の概要 例えば 次の1~4のうち どの内部不正や内部犯行が多く発生しているか (1システム悪用 2 情報持ち出し ( 道具的犯行 ) 3 情報持ち出し ( 表出的犯行 ) 4 破壊行為 ) 2. 内部不正の変遷や最近の傾向 3. 内部不正が発生した背景 想定される環境 動機 及び対象となる情報等の入手 持ち出し方法 4. 内部不正行為者の振る舞い ( 不自然な行動等 ) と そのような不正行為を抑止 予防するための対 策 ( 管理策等を含む ) 1. 動機及び環境 ( 主に共通インタービュー項目 3の詳細 ) 例えば 機密情報がお金になる ( 売買 脅迫 ) 転職時 インセンティブ等 のお土産等 動機 プレッシャー等 例えば 借金 ノルマ いじめや脅迫等 怨恨 例えば 上司や会社への仕返し等 例えば 働いている場所 使える時間 利用できる環 境 ( 端末 ネットワーク環境 リモート接続環境等 ) 管 利用できる手段や機会等 環境的要因 理者権限 知り得た内部情報 専門知識及び技術的 スキル等 コミュニケーション 例えば 上司や同僚とのコミュニケーションの状況等 例えば 働いている環境等での監視 通報 連絡体制 その他 監視 常習性等 の状況等 2. 振る舞いや抑止 予防対策 ( 主に共通インタービュー項目 4の詳細 ) 20

23 振る舞い ( 行動等 ) 抑止 予防 その他 ( 組織内ポリシーとの関係 ) 例えば 倫理観の欠如等 逼迫した業務等例えば 罰則規定 秘密保持誓約書への署名 監視 ( ログ 監視カメラ ) とその周知等例えば セキュリティポリシー及びプライバシーポリシー等との関連性 内部で解決した場合のインシデント情報の取扱いについて 表 22 インタビュー調査項目 (( 状況的犯罪予防の観点を取り入れて ) 内部不正防止対策に関する情報取集 ) 質問内容 1 犯行を難しくする 対策の有無 2 捕まるリスクを高める 対策の有無 3 犯行の見返りを減らす 対策の有無 4 犯行の挑発を減らす 対策の有無 5 犯罪を容認する言い訳を許さない 対策の有無 具体例内部不正が発生する環境では ID 管理やアクセス制御の設定が実施されていないことが考えられるため 1. 犯行対象を防御的に強化する 等を確認する ネットワーク経由の内部不正の事例では ネットワーク等の利用制限が実施されていないことが考えられるため 5. 道具や対抗手段を制御する 等を確認する 可搬可能な電磁媒体を用いた内部不正の事例では その媒体の持込及び持出の制限が実施されていないことが考えられるため 2. 施設への出入を制限する や 3. 出口で検査をする 等を確認する 内部不正が発生する環境では システム管理者が不足しているか または システム管理者が少人数で相互チェック等ができていないことが考えられるため 6. 監視者を増やす 等を確認する アクセス権限を有していない内部者による不正行為では 正規のアクセス権限を不正に入手することが考えられるため 7. 自然監視を補佐する や 9. 現場管理者の利用 等を確認する アクセス権限を有している内部者による不正行為では アクセス制限が適切に設定 実施されていないことや重要情報の暗号化が実施されていないこと考えられるため 11. 標的を隠す 12. 対象を排除する 15. 利益を否定する 等を確認する 内部不正が発生する環境では 円滑なコミュニケーションの推進や職場のストレスを低減する対策が実施されていないことが考えられるため 16. 欲求不満とストレスを減らす 17. 対立を避ける 18. 感情の高ぶりを抑える 等を確認する 内部不正が発生する環境では 規則やルールの設定 掲示等 及び相談窓口などの設置が実施されていないことが考えられるため 21. 規則を決める 22. 指示を掲示する 24. 遵守を補佐する 等を確認する 21

24 4.3.2 インタビュー調査で得られた傾向インタビューで得られた事例数は 全体で 20 件であり 未遂 (1 件 ) のものを除くと総数 19 事例である 内訳として 道具的な犯行が 9 件と最も多く 次いで表出的な犯行が 6 件である ( 表 23 を参照 ) 表 23 インタビュー調査件数分類 システム悪用道具的な犯行表出的な犯行破壊行為分類不能 該当件数 1 件 9 件 6 件 1 件 2 件 節で用いた方法で これらの事例を分類した結果を図 5 及び表 24 に示す 不正行為者は 一般社員が 52.6% と最も多く 次いでシステム管理者と開発者が 15.8% その他が 10.5% である また 対象は顧客情報が 52.6% と最も多く 動機は組織 上司への不満が 42.1% 金銭が 31.6% であり 監視性は高いが 73.7% である 不正行為者 対象 動機 監視性 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% ID パスワード 15.8% 金銭 31.6% 高い 26.3% 一般社員 52.6% 開発情報 10.5% 情報 15.8% 管理職 5.3% 顧客情報 52.6% 転職 起業 10.5% その他 10.5% 低い 73.7% 開発者 15.8% 社内情報 15.8% 組織 上司への不満 42.1% システム管理者 15.8% 図 5 インタビュー調査結果の詳細分類 (n=19) 物理装置 5.3% 表 24 インタビュー調査調査結果の詳細分類 (n=19) 分類項目件数 ( 比率 ) 不正行為者 対象 動機 監視性 一般社員 % 管理職 経営者 1 5.3% その他 % 開発者 % システム管理者 % ID パスワード % 開発情報 % 顧客情報 % 社内情報 % 物理装置 1 5.3% 金銭 % 情報 % 転職 起業 % 組織 上司への不満 % 高い % 低い % 不正行為者を軸に対象 動機 及び監視性の分類結果を表 25 に示す 一般社員の場合 対象は顧客情報 ID パスワード 社内情報の順で多く 動機は組織や上司に対する不満 金銭目的である システム管理者については 対象は顧客情報 社内情報であり 動機は情報及び金銭目的である 開発者の場合 開発情報が多く次いで顧客情報であり 動機は転職と情報である 22

25 表 25 インタビュー調査結果 ( 不正行為者 ) (n=19) 社内情報 顧客情報 対象動機監視性 ID パスワード 開発情報 物理装置 不満情報転職金銭高い低い 一般社員 システム管理者 開発者 管理職 その他 インタビュー調査で得られた対策状況 IT セキュリティ版状況的犯罪予防 ( 図 3 参照 ) を参考に 表 22 の観点からインタビュー調査を行い 内部 不正が発生した事例における対策状況を以下に示す 20 - 情報システムの正規のアクセス権限を持たない内部者による不正行為では ID パスワードの管理などの 犯行を難しくする で定められた項目が実施されていない事例が多い 例えば 特定の重要情報に対してアクセス権限を持たない内部者が 社内システムの初期設定の ID 及びパスワードを用いて社内システムを利用することで 重要情報にアクセスできてしまう事例があった ( 表 22: 1. 犯行を難しくする に関連 ) - 情報システムの正規なアクセス権限を持つ内部者が行った内部不正では 監視者を増やすなどの 捕まるリスクを高める で定められた項目が実施されていない事例が多い 例えば 特定の重要情報に対してアクセス権限を持つ内部者が 重要情報を複写し不正に持ち出す事例があった ( 表 22: 2. 捕まるリスクを高める に関連 ) - 犯行を難しくする 及び 捕まるリスクを高める 対策が施されている企業や団体では さらなる対策の強化として 対象ファイルの暗号化などの 犯行の見返りを減らす 対策が施される傾向がある 例えば ID パスワードの管理やアクセス権限の設定などが正しく管理及び遵守されている企業や団体などでは 重要情報の管理策強化の一環として 重要情報の暗号化等が実施されている事例があった ( 表 22: 3. 犯行の見返りを減らす に関連 ) - 多くの事例において コミュニケーションによって職場のストレスを低減するなどの 犯行の挑発を減らす 及び規則やルールを定め 掲示するなどの 犯罪を容認する言い訳を許さない 対策が施されていない なかには ルールは定められているが 掲示されていない 或いは形骸化している事例もあった ( 表 22: 4. 犯行の挑発を減らす 5. 犯罪を容認する言い訳を許さない に関連 ) 20 これらの 4 点は インタビュー事例 19 件における内部不正防止対策実施状況に関してのものではなく 調査対象者が提供し てくれた対策実施状況に関する意見をまとめたものである 23

26 4.3.4 インタビュー調査のまとめ インタビュー調査結果をまとめたものを表 26 に示す 表 26 インタビュー調査のまとめ 1. 情報持ち出しの事例が他に比べて多く発生している ( 表 17 参照 ) 判例調査及びインタビュー調査の結果では IP(Intellectual Property) に関する内部不正の事例では 1システム悪用 2 情報持ち出し 3 情報破壊の 3 分類のうち 2 情報持ち出しが他の分類に比べて多く発生している また 2 情報持ち出しの中では 表出的犯行よりも道具的犯行が多く発生している 2. 持ち出し情報の対象の多くは顧客情報であるが その他の事例も存在する インタビュー調査では 顧客情報の持ち出しが最も多い 一方 判例調査では 開発情報の 持ち出しが多い 3. 現状の ISMS 21 及び PMS 22 等の組織的対策の効果は限定的であるインタビュー調査では 現状の ISMS や PMS 等の組織的対策 ( 主に ポリシーの設定や周知及び懲戒等の職務規定への関連性の告知等 ) については 防止 抑止効果が低いとする意見もある 逆に 情報資産の特定や責任範囲の明確化等 事後対策については 一定の効果があるとする意見もある 以上のことから 一部では効果が認められる意見と 他では一定の効果があるとする意見があるため その効果は限定的と考えられる 4.4 本調査における内部不正のモデル モデルの策定及び要因分析インタビュー事例及び判例において 4 つに分類した項目のうち 不正行為者 と 対象 に注目し 以下の 2 つの内部不正のモデルを抽出した モデルⅠ: 営業職員による個人情報の持ち出し / 不正利用表 25 で示したように インタビュー調査概要によると 不正行為者は一般社員 ( 営業職を含む ) が最も多く 個人情報を対象とした内部不正の事例が最も多い なお 営業職員とは 営業に関連した業務に携わる従業者 ( 元従業者を含む ) であり 個人情報の中には 顧客情報や従業員情報などが含まれる モデルⅡ: 開発者による開発情報の持ち出し / 不正利用表 19 で示したように 判例調査によると 不正行為者は開発者が最も多く 開発情報を対象とした内部不正の事例が最も多い また このケースを策定した理由は 開発情報の持ち出し等による不正行為に対して 今後 一層の留意が必要となることが想定されるからである なお 開発者とは 開発に関連した業務に携わる従業者 ( 元従業者を含む ) であり 開発情報の中には ソースコードや設計情報及び社内システムの仕様情報などが含まれる 21 ISMS: Information Security Management System ( 情報セキュリティマネジメントシステム ) 企業や組織で情報を適切に管理する仕組みであり 国際規格の ISO/IEC や ISO/IEC 等を含む 22 PMS: Personal information protection management systems( 個人情報保護マネジメントシステム ): 個人情報の取り 扱いや管理する仕組みであり 日本工業規格のプライバシーマーク制度 (JIS Q 15001) 等を含む 24

27 これらのモデルにおいて 内部不正の誘発に関連していると考えられる要因について考察する 4 章で紹介した国内の既存調査では ルーティンアクティビティ理論に倣って 内部犯行発生に不可欠な要因を 犯罪者となるリスクを持つ人 潜在的な被害者 ( 物 ) 環境 としている これに対して 不正のトライアングルでは 動機 プレッシャー 機会 正当化 の 3 つの要因から内部不正が発生するとしている 事例調査結果における傾向と これらの要因を比較し 本調査では 内部不正誘発要因を 動機 プレッシャー 環境 と 機会 を統合した 環境 機会 国内の既存調査及び不正のトライアングルにはないその他の要因として ( 内部不正者の ) 知識 経験 と設定する 表 27 に 3 つの要因の詳細を示す 表 27 本調査における内部不正の要因分類 分類 内容 内部者が不正行為を起こす動機であり 内部不正行為に至るプレッシャー ( 業務量 ノ 動機 プレッシャー ルマ等 ) や慢心及び帰属意識などが含まれる 関連するキーワード : 転職 満足度 給与 賃金 賞与 不公平感 怨恨 業務量 ノ ルマ 好奇心 顕示欲 慢心など 不正行為を行った内部者が 環境によって受ける要因であり 技術 (IT システム ) や物 理的な環境及び組織のルールや教育などが含まれる 環境 機会 例えば システム的な環境としては アクセス権限 出入検査等 物理的な環境としては 職場環境 持込 持出制限等を含む 関連するキーワード : アクセス制御 出入検査 職場環境管理 持出 持込制限 監視 時間 コミュニケーション ルール 規則 告知 教育など 不正行為を行った内部者が 持っている知識や経験であり 詳細には特定の経験や権 限 役割 ( 持っていること ) や知識 ( 知っていること ) 及びスキル ( できること ) などが含ま れる 知識 経験 例えば 正当に付与されたアクセス権限を行使して重要情報を不正に持ち出す場合等を含む 例示 : 持ち出す方法を知っている 発覚しなかったことを知っている 証拠を削除することができる アクセスする権限をもっているなど 想定モデルの特徴 2 つの想定モデルおける 3 種類の内部不正の要因 並びに要因以外の特徴は表 28 の通りである 表 25 によると 一般社員による情報持ち出し事例は4 件である 同様に 表 19 によると 開発者による開発情報持ち出しは 5 件である モデルⅠ Ⅱの特徴を帰納的に見つけるには件数が少ないため 両想定モデルに該当する事例に関する更なる聞き取り調査を行い そこから得られた情報を表 28 にまとめた 23 なお 下表の下線部は モデルⅠとモデルⅡの共通する内容である 23 表 24 の内容は その内容から個々の内部不正事例が特定されないように 調査で得られた情報を抽象化したものである 25

28 表 28 モデル Ⅰ 及び Ⅱ の特徴 モデル Ⅰ( 営業 ) モデル Ⅱ( 開発 ) 動機 プレッシャー知識 経験環境 機会要因以外の特徴 業務が日々繁忙または業務上のノルマがきつく 自宅でも業務する必要がある 情報を使い転職を有利に進めたい ( 数例 ) 社内システムを利用する程度の IT 技能を有する 対象物へのアクセス権限を有している 企業は業績を求める傾向になり ジョブローテーションが少ない 評価及び接遇処遇への納得度が低い場合もある 監視が不在であり 不正行為を行う時間がある 犯行の発覚は 離職後に発覚する場合のみであり 離職後の転職先での利用を計画的に行なっている事例もある 自らが作成したファイルのオーナーは自分であり 自分の所有物であるという誤った認識がある 頻回転職が数例存在する ソフトウェア開発ができる程度の IT 技能を有する 対象物へのアクセス権限を有している 評価及び接遇処遇への納得度が低い 監視が不在であり 不正行為を行う時間がある 犯行が離職後に発覚する場合と 企業に在籍している状態で発覚する場合の2 種類のケースがある 前者は離職 ( 転職 ) が起因した不正行為で 後者は自らが作成した成果物は自分の所有であると誤って認識し 離職の意志がないケースである 5. アンケート調査及び分析結果 本章では 本調査で実施した内部不正に関する意識について行ったアンケート調査の結果を示す 5.1 アンケート調査概要 本調査では 想定モデルに基づき アンケートを設計し 内部不正に関する意識調査をした アンケート調査 は 以下の 3 つの構成に分けて実施した 1 シナリオ無し : シナリオを設定せずに内部不正行為への気持ちを高める要因及び対策に関する意識を調査 2 シナリオ付き : 想定モデルに基づくシナリオを設定し 内部不正行為への気持ちを高める要因 ( シナリオの行為に理解或いは共感を含む ) 及び対策に関する意識を調査 3 有効対策等の上位 5 つの選択 : 内部不正行為への気持ちが低下する対策 及び内部不正への気持ちを高める要因について上位 5つの選択 本調査の実施にあたっては 有識者によるレビューを実施し 設問の設計 調査方法について検討した 本 24 調査では 社員を対象としたアンケートと経営者 システム管理者のみを対象としたアンケートに分けて実施した 社員向けアンケートの概要を表 29 経営者 システム管理者向けアンケートの概要を表 30 に示す アンケート調査票については 付録 3: アンケート調査票を参照 24 対象となる社員には 非正規雇用形態 元社員 経営者を含む 26

29 表 29 アンケート調査の概要 ( 社員向け ) 対象 項目 概要 全国 ( インターネットアンケート調査会社が有する調査モニター ) 社員 ( 非正規雇用形態 元社員 経営者を含む ) 標本抽出方法回収数期間実施方法 インターネットアンケート調査会社が保有するモニターから 回答者の内部不正行為の業務との関わり 内部不正の経験に基づき 割付 抽出を行った プレ調査を実施して対象者のスクリーニングを行い その後本調査を実施した 3,000 件 2012 年 1 月 13 日 ~2012 年 1 月 18 日本調査のモデルは IT を利用した内部不正行為を想定しているため IT をある程度活用できているネットユーザーの回答を収集できる Web アンケート形式で実施した また クロス集計 統計解析等による分析を想定し 充分なサンプルを確保できるよう 3,000 サンプルを収集した アンケートの回答者は 内部不正行為の経験や業務との関わりのない者が多く含まれることを想定し シナリオ付きとシナリオ無しの調査を実施した シナリオ付の設問 (3) では 仮説に基づいたシナリオを 2 種類作成して調査を実施した シナリオ付の設問は 回答者がシナリオの主人公 ( 回答者以外 ) になったと仮定した場合 シナリオ無の設問 (2) は 回答者自身について尋ねている また 上記で説明したシナリオ付き / 無しとは別に 有効な対策 (1) 内部不正行為への気持ちが最も低下する対策 (5つの対策を選択等) を訪ねている 調査項目 ( シナリオを読んで ) 内部不正行為にどの程度理解 ( 或いは共感 ) できるか 内部不正行為への気持ちを高める要因 ( 環境 機会 知識 経験 ) 内部不正行為への気持ちが低下する対策 属性情報 表 30 アンケート調査の概要 ( 経営者 システム管理者向け ) 対象 項目 概要 全国 ( インターネットアンケート調査会社が有する調査モニター ) 経営者及びシステム管理者 標本抽出方法回収数期間実施方法 インターネットアンケート調査会社が保有するモニターから プレ調査を実施して対象者のスクリーニングを行い その後本調査を実施した 110 件 2012 年 2 月 17 日 ~2 月 21 日本調査のモデルは IT を利用した内部不正行為を想定しているため IT をある程度活用できているネットユーザーの回答を収集できる Web アンケート形式で実施した 27

30 現在導入している内部不正に関わる対策 調査項目 ( 対策導入済みの企業に対して ) 効果があると考えられる対策 ( 対策未導入の企業に対して ) 今後導入してみたい対策 本調査では内部不正を誘発すると考えられる要因に関してアンケートを行った これは 4.4 節に示した 3 つの要因である 動機 プレッシャー 環境 機会 知識 経験 に分類される 各設問内容を 3 つの要因で整理したものを表 31 に示す 表 31 アンケート設問 ( 要因 ) 要因アンケート設問内容 ( 要因の詳細 ) 動機 プレッシャー 環境 機会 知識 経験 自分が作成した成果物 ( 顧客情報の一覧等 ) は 自由に使ってよいと思う 条件のいい企業から転職の誘いがあり これまでの成果 ( 顧客情報 ) を公開することで 有利に転職できると思う 社内の人事評価に不満がある 上司の仕事への取り組み方や上司の人間性に不満がある プロジェクトや業務の進め方に不満がある 業務が忙しいため 自宅で作業する必要がある 給与や賞与に不満がある 退職金に不満がある 不当だと思う解雇通告を受けた 職場で人間関係のトラブルがある ルールを違反しても個人や企業を特定されない自信がある システム管理がずさんで 顧客情報を簡単に持ち出せることを知っている パソコンや USB メモリ等の情報端末の持込制限が厳しい ( 情報端末への書き込み以外の方法で保存する必要がある ) 職場に管理者がいないため 見つからない 情報の持ち出しに関して社内に相談窓口がない 社内システムにログインするための ID やパスワードの管理が徹底されていない 退職者のアカウントが削除されていない ( 退職者も社内システムにログインできる / 退職者のアカウントを利用して社内システムにログインできる ) 職場への入退口に警備員がいない ( 誰もが職場に入ることができる ) 不正を行う十分な時間がある 職場で頻繁にルール違反が繰り返されている 社内ルールや規則 ( セキュリティポリシーを含む ) が徹底されていない 社内ルールや規則 ( セキュリティポリシーを含む ) が厳しく 遵守するための負担が大きい 社内ルールや規則を違反した際 罰則がない ルール違反や禁止行為の内容を張り紙等で周知したり 社内教育の制度が整っていない 職場のパソコンや社内システムへのアクセス管理が徹底されていない ( 誰もがパソコンや社内システムにログインできる ) 社内の重要な情報が暗号化されていない ( 社内の重要な情報を誰もが閲覧できる ) パソコンやシステム内の情報の持ち出しに関して制御をしたり 監視するシステムがない パソコンや USB などの会社備品に会社の管理シールが貼られていない ( 私物と備品の区別がつかない ) 職場に監視カメラがない 社内への入退出時に手荷物検査がない ( 社内に私物を持ち込むことができる ) 顧客情報などの重要な情報を自由に持ち出せる権限をもっている 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている 同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている 社内の誰にも知られずに 顧客情報などの重要な情報を持ち出せる方法を知っている これまでに 顧客情報などの重要な情報を持ち出しても 誰からも注意や指摘を受けなかった 社内で 自分以上に情報システムについて理解している人がいない 28

31 要因アンケート設問内容 ( 要因の詳細 ) かつて同僚がルール違反を行ったことが発覚したが 社内で処罰されなかった 自分が情報システムの管理者ではないが 情報システムへのアクセス管理を操作できる 自分が情報システムの管理者ではないが 不正操作した証拠を消去することができる 社内の開発物や重要な情報を誰にも知られずに閲覧 編集する方法を知っている 社員の大半のパソコンのセキュリティ設定が管理されず 社員任せになっている 本調査では 社員と 経営者 システム管理者に 内部不正に関わる対策についてアンケートを行った これ は 上述のように 状況的犯罪予防のカテゴリをもとに作成した効果的と考えられる対策である 表 32 に 対 策と状況的犯罪予防の対応関係を示す 表 32 アンケート設問 ( 対策項目と状況的犯罪予防の対応 ) 5 つのカテゴリ詳細項目アンケート設問内容 ( 対策 ) 犯行を難しくする 捕まるリスクを高める 犯行の見返りを減らす 犯行の挑発を減らす 犯罪を容認する言い訳を許さない 1. 犯行対象を防御的に強化する 退職者のアカウントは 即日 削除する( 退職者は退職日以降に 2. 施設への出入を制限する社内システムへログインできない ) 3. 出口で検査をする ネットワークへの利用制限を設ける( メールの送受信先の制限 4. 犯罪者をそらす Web メールの制限 Web サイトや閲覧制限がある ) CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを 5. 道具や武器を規制する制限する 6. 監視者を増やす 7. 自然監視を補佐する 8. 匿名性を減らす 9. 現場管理者の利用 10. フォーマルな監視体制の強化 管理者を増員する等 社内の監視体制を強化する 顧客情報などの重要な情報にアクセスした人が監視される ( アクセスログの監視等を含む ) システム管理権限が複数人に設定され ルール違反の相互監視が徹底されている 社内システムの操作の証拠が残る 社内システムにログインするための ID やパスワードの管理を徹底する 職場に監視カメラを設置する 情報システムの管理者以外に 情報システムへのアクセス管理を操作できない 11. 標的を隠す 社内の重要な情報を暗号化する( 社内の重要な情報を誰もが 15. 利益を否定する閲覧できない ) 12. 犯行対象を排除する 重要情報のアクセスは認められた社員や職員に限定されてい 13. 所有物に名前を付けるる パソコンや USB メモリなどの会社備品に会社の管理シールを貼 14. 市場を壊する ( 私物との区別がつく ) 16. 欲求不満とストレスを減らす 17. 対立を避ける 18. 感情の高ぶりを抑える 19. 仲間からの圧力を緩和する 20. 模倣を阻止する 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 上司や同僚に頻繁に相談できる環境がある 21. 規則を決める 職務上で作成 開発した成果物は 企業に帰属すること( 不正競争防止法に抵触すること ) を研修で周知徹底する 22. 指示を掲示する 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 23. 良心に警告する 職務上で取り扱いに関する罰則規定を強化する 24. 遵守を補佐する ルール違反( 職務違反や個人情報管理策や情報セキュリティポリシーを含む ) に抵触しそうな行為についての問い合わせ窓口を設置する 25. 薬物 アルコールを規制する これまでに同僚が行ったルール違反が発見されたことがある これまでに同僚が行ったルール違反が発覚し 処罰されたことがある 29

32 アンケート調査結果 本節では アンケート調査結果の集計と分析を行った結果を述べる 社員向けアンケートの結果 (1) 内部不正の気持ちを高める 3 つの要因の全体的な結果このアンケートでは 不正をしたいと思う気持ちを高めると思うもの ( 上位 5 つ ) という質問によって 3 つの誘発要因のすべての項目を並べて 内部不正が高まる上位 5 項目を選択させた 図 6 の結果から 不当だと思う解雇通告を受けた が 34.2% と上位の中でも特に高い割合となっている これに 給与や賞与に不満がある 社内の人事評価に不満がある 職場で頻繁にルール違反が繰り返されている システム管理がずさんで 顧客情報を簡単に持ち出せることを知っている が 2 割を超えて続く結果となった 不当だと思う解雇通告を受けた 給与や賞与に不満がある 社内の人事評価に不満がある 職場で頻繁にルール違反が繰り返されている システム管理がずさんで 顧客情報を簡単に持ち出せることを知っている 社内ルールや規則を違反した際 罰則がない 上司の仕事への取り組み方や上司の人間性に不満がある 職場で人間関係のトラブルがある 社内の誰にも知られずに 顧客情報などの重要な情報を持ち出せる方法を知っている かつて同僚がルール違反を行ったことが発覚したが 社内で処罰されなかった条件のいい企業から転職の誘いがあり これまでの成果 ( 顧客情報 ) を公開することで 有利に転職できると思うパソコンやシステム内の情報の持ち出しに関して制御をしたり 監視するシステムがない 自分が情報システムの管理者ではないが 不正操作した証拠を消去することができる これまでに 顧客情報などの重要な情報を持ち出しても 誰からも注意や指摘を受けなかった 社員の大半のパソコンのセキュリティ設定が管理されず 社員任せになっている ルールを違反しても個人や企業を特定されない自信がある 業務が忙しいため 自宅で作業する必要がある 顧客情報などの重要な情報を自由に持ち出せる権限をもっている 職場のパソコンや社内システムへのアクセス管理が徹底されていない 退職金に不満がある 社内システムにログインするための ID やパスワードの管理が徹底されていない 社内ルールや規則 ( セキュリティポリシーを含む ) が徹底されていない 社内の開発物や重要な情報に誰にも知られずに閲覧 編集する方法を知っている プロジェクトや業務の進め方に不満がある 職場に管理者がいないため 見つからない 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている 同僚が顧客情報などの重要な情報を自由に持ち出していることを知っている 社内で 自分以上に情報システムについて理解している人がいない 自分が作成した成果物 ( 顧客情報の一覧等 ) は 自由に使ってよいと思う 退職者のアカウントが削除されていない 自分が情報システムの管理者ではないが 情報システムへのアクセス管理を操作できる 不正を行う十分な時間があった 社内の重要な情報が暗号化されていない ルール違反や禁止行為の内容を張り紙等で周知したり 社内教育の制度が整っていない 職場に監視カメラがない パソコンや USB メモリ等の情報端末の持込制限が厳しい 社内への入退出時に手荷物検査がない パソコンや USB などの会社備品に会社の管理シールが貼られていない 社内ルールや規則 ( セキュリティポリシーを含む ) が厳しく 遵守するための負担が大きい 職場への入退口に警備員がいない 情報の持ち出しに関して社内に相談窓口がない 4.8% 4.4% 4.2% 3.8% 3.4% 3.1% 20.8% 20.1% 18.7% 18.3% 17.8% 16.4% 16.1% 15.7% 14.8% 14.8% 13.2% 13.2% 13.1% 12.7% 11.6% 11.5% 11.2% 10.6% 10.6% 10.4% 10.2% 10.0% 10.0% 10.0% 9.7% 9.6% 8.4% 8.2% 7.9% 7.6% 7.0% 6.1% 23.2% 22.7% 34.2% 図 6 不正行為への気持ちを高める条件 30

33 (2) 期待できる対策に関する結果このアンケートは (1) 内部不正の気持ちを高める 3 つの要因の全体的な結果 の高める要因とは逆に 内部不正行為防止に効果が期待できる対策( 上位 5 つ ) という質問によって 対策効果が期待できるものを選択させた 図 7 の結果から 約半数以上の 54.2% が 社内システム操作の証拠が残る を効果が期待できる対策としてあげている この結果から捕まるリスクが高めることが対策として効果があると考えられる さらに 重要な情報にアクセスした人が監視される が 37.5% 同僚が行ったルール違反が発覚し 処罰されたことがある も 36.2% と高い結果となった 社内システムの操作の証拠が残る 54.2% 顧客情報などの重要な情報にアクセスした人が監視される ( アクセスログの監視等を含む ) これまでに同僚が行ったルール違反が発覚し 処罰されたことがある 社内システムにログインするための ID やパスワードの管理を徹底する 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 情報システムの管理者以外に 情報システムへのアクセス管理を操作できない 社内の重要な情報を暗号化する ( 社内の重要な情報を誰もが閲覧できない ) 顧客情報などの重要な情報は 認められた職員のみがアクセスできるようにする CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限する システム管理権限が複数人に設定され ルール違反の相互監視が徹底されている 職務上で作成 開発した成果物は 企業に帰属すること ( 不正競争防止法に抵触すること ) を研修で周知徹底する これまでに同僚が行ったルール違反が発見されたことがある ネットワークへの利用制限を設ける ( メールの送受信先の制限 Web メールの制限 Web サイトや閲覧制限がある ) 退職者のアカウントは 即日 削除する ( 退職者は退職日以降に社内システムへログインできない ) 職場に監視カメラを設置する 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 上司や同僚に頻繁に相談できる環境がある 管理者を増員する等 社内の監視体制を強化する ルール違反 ( 職務違反や個人情報管理策や情報セキュリティポリシを含む ) に抵触しそうな行為についての問い合わせ窓口を設置する パソコンや USB メモリなどの会社備品に会社の管理シールを貼る ( 私物との区別がつく ) 37.5% 36.2% 31.6% 31.4% 29.2% 28.4% 26.8% 25.8% 24.8% 24.1% 23.9% 23.2% 22.4% 17.5% 15.3% 14.5% 12.3% 12.2% 9.0% 図 7 不正行為に対して効果的だと考えられる対策 31

34 動機 プレッシャー 不当だと思う解雇通告を受けた 条件のいい企業に対して有利に転職ができる 社内の人事評価に不満がある の順に内部不正行為への気持ちを高めるという結果となった これらの要因から 企業や団体の人事評価や待遇が 内部不正の誘発に比較的強い関係があると考えられる 環境 機会 職場で頻繁にルール違反が繰り返されている 社内ルールや規則を違反した際にも罰則がない システム管理がずさんで顧客情報等の重要情報が簡単に持ち出せる の順に内部不正行為への気持ちを高めるという結果となった これらの要因から ルール違反が発生しやすく 発生した場合でも処罰がないことが 内部不正の誘発に比較的強い関係があると考えられる 知識 経験 自分が情報システムの管理者ではないが 不正操作した証拠を消去することができる 社内の誰にも知られずに 重要情報を持ち出せる方法を知っている これまでに顧客情報などの重要な情報を持ち出しても誰からも注意や指摘を受けなかった の順に内部不正行為への気持ちを高めるという結果となった これらの要因は 情報持ち出しのスキルや 見つからない知識や経験が 内部不正の誘発に比較的強い関係があると考えられる 表 33 社員向け 3 つの要因に関するアンケート結果 ( 上位 3 位 ) (3) 内部不正の気持ちを高める各要因の概要社員向けのシナリオ無しのアンケートにおいて 内部不正を誘発すると考えられる 3 つの要因である 動機 プレッシャー 環境 機会 知識 経験 の中で どの内容が内部不正への意識を高めるかについてのアンケート結果を表 33 に示す 動機 プレッシャー 環境 機会 知識 経験 順位内容割合 1 位不当だと思う解雇通告を受けた 30.0% 2 位条件のいい企業に対して有利に転職ができる 10.2% 3 位社内の人事評価に不満がある 8.2% 1 位職場で頻繁にルール違反が繰り返されている 8.8% 2 位社内ルールや規則を違反した際 罰則がない 8.7% 3 位システム管理がずさんで 顧客情報を簡単に持ち出せることを知っている 8.4% 1 位自分が情報システムの管理者ではないが 不正操作した証拠を消去することができる 9.8% 2 位社内の誰にも知られずに 顧客情報などの重要な情報を持ち出せる方法を知っている 9.5% 2 位 これまでに顧客情報などの重要な情報を持ち出しても誰からも注意や指摘を受けなか った 内部不正行為への気持ちが高まると回答した回答者の割合 9.5% 32

35 (4) 内部不正の気持ちを高める各要因における質問項目の結果ここではシナリオ無しによる集計結果を示す 各設問項目では 不正行為を高まると感じる度合いとして 0% から 100% までを 5 つに分けて選択させた ( 図 8 参照 ) 本設問は 動機 プレッシャー に分類される要因について 不満やきっかけ等の心理的な側面から不正行為に関係する項目である 図 8 の結果から Q25-9 不当だと思う解雇通告を受けた は 他の選択肢と比較して 0%( 不正行為を行わない状態 ) と回答した割合が 13.2% と最も低く 不正行為をしたい気持ちが高まる という回答者が約 9 割となっている その他の要因を見ると Q25-2 条件のいい企業から転職の誘いがあり これまでの成果 ( 顧客情報 ) を公開することで 有利に転職ができる は 10.2% が 75~100% 高まる という回答であり Q25-9 不当だと思う解雇通告を受けた に続いて高い結果となった 0% 20% 40% 60% 80% 100% Q25-1 自分が作成した成果物 ( 顧客情報の一覧 ) は 自由に使ってよいと思う 33.2% 25.8% 22.9% 11.5% 6.5% Q25-6 業務が忙しいため 自宅で作業する必要がある 31.0% 28.6% 23.0% 12.0% 5.4% Q25-11 ルールを違反しても個人や企業を特定されない自信がある 29.7% 27.1% 23.5% 12.9% 6.8% Q25-10 職場の一部で人間関係のトラブルがある 28.6% 27.2% 23.7% 14.6% 5.8% Q25-5 プロジェクトや業務の進め方に不満がある 26.7% 30.3% 26.1% 12.6% 4.2% Q25-8 退職金に不満がある 26.5% 29.3% 24.6% 12.9% 6.7% Q25-2 条件のいい企業から転職の誘いがあり これまでの成果 ( 顧客情報 ) を公開することで 有利に転職ができる 26.3% 23.0% 24.5% 16.1% 10.2% Q25-7 給与や賞与に不満がある 22.7% 26.6% 25.5% 17.1% 8.1% Q25-4 上司の仕事への取り組み方や上司の人間性に不満がある 22.0% 27.1% 24.8% 18.1% 7.9% Q25-3 社内の人事評価に不満がある 21.8% 26.4% 24.7% 19.0% 8.2% Q25-9 不当だと思う解雇通告を受けた 13.2% 15.1% 20.9% 20.9% 30.0% 0%( 高まらない ) 1~25% 高まる 26~50% 高まる 51~75% 高まる 76~100% 高まる 図 8 動機 プレッシャー ( シナリオ無し ) 33

36 本設問は 環境 機会 に分類される要因について 環境 機会の側面から不正行為に影響を与えそうな要因に関係する項目である 図 9 の結果から Q26-9 職場で頻繁にルール違反が繰り返されている Q26-12 社内ルールや規則を違反した際 罰則がない Q26-1 システム管理がずさんで 顧客情報などの重要な情報を簡単に持ち出せることを知っていた が不正行為への気持ちを高めると回答した割合が 約 75% と最も高かった 0% 20% 40% 60% 80% 100% Q26-2 パソコンや USB メモリ等の情報端末の持込制限が厳しい 48.6% 23.4% 17.9% 2.7% 7.4% Q26-4 情報の持ち出しに関して社内に相談窓口がない 46.2% 26.2% 18.6% 6.8% 2.2% Q26-11 社内ルールや規則 ( セキュリティポリシーを含む ) が厳しく 遵守するための負担が大きい 45.8% 26.2% 18.8% 6.9% 2.4% Q26-18 職場に監視カメラがない 44.7% 26.7% 18.4% 7.4% 2.8% Q26-7 職場への入退口に警備員がいない 44.1% 27.0% 18.2% 7.9% 2.8% Q26-17 パソコンや USB などの会社備品に会社の管理シールが貼られていない 41.7% 29.0% 19.0% 7.2% 3.1% Q26-19 社内への入退出時に手荷物検査がない 40.0% 29.0% 20.0% 7.8% 3.1% Q26-13 ルール違反や禁止行為の内容を張り紙等で周知したり 社内教育の制度が整っていない 35.0% 30.8% 21.2% 9.5% 3.5% Q26-6 退職者のアカウントが削除されていない 33.9% 26.9% 23.0% 10.6% 5.5% Q26-8 不正を行う十分な時間がある 33.3% 28.0% 22.8% 11.1% 4.8% Q26-15 社内の重要な情報が暗号化されていない 31.9% 28.1% 23.7% 11.1% 5.1% Q26-3 職場に管理者がいないため 見つからない 31.5% 28.3% 22.8% 11.9% 5.4% Q26-5 社内システムにログインするための ID やパスワードの管理が徹底されていない 30.0% 28.4% 23.5% 12.7% 5.4% Q26-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない 30.0% 28.2% 23.8% 12.3% 5.7% Q26-10 社内ルールや規則 ( セキュリティポリシーを含む ) が徹底されていない 29.5% 29.6% 24.2% 11.8% 4.8% Q26-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり 監視するシステムがない 29.0% 29.1% 23.4% 12.8% 5.7% Q26-1 システム管理がずさんで 顧客情報などの重要な情報を簡単に持ち出せることを知っていた 27.6% 26.1% 24.4% 13.5% 8.4% Q26-12 社内ルールや規則を違反した際 罰則がない 26.2% 27.5% 23.6% 14.0% 8.7% Q26-9 職場で頻繁にルール違反が繰り返されている 25.3% 25.0% 24.6% 16.3% 8.8% 0%( 高まらない ) 1~25% 高まる 26~50% 高まる 51~75% 高まる 76~100% 高まる 図 9 環境 機会 ( シナリオ無し ) 34

37 本設問は 知識 経験 に分類される要因について 知識 経験の側面から不正行為に関係する項目である 図 10 の結果から 全ての項目において 7~8 割の回答者が内部不正への気持ちを高めると回答している 内部不正への気持ちが高まる要因として Q27-8 自分が情報システムの管理者ではないが 情報システムへのアクセス管理を操作できる は不正行為への気持ちが高まるという回答が 69.5% と最も低い結果となった 0% 20% 40% 60% 80% 100% Q27-8 自分が情報システムの管理者ではないが 情報システムへのアクセス管理を操作できる 30.5% 27.1% 22.9% 13.3% 6.2% Q27-6 社内で 自分以上に情報システムについて理解している人がいない 29.9% 25.1% 21.4% 8.7% Q27-2 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている Q27-11 社員の大半のパソコンのセキュリティ設定が管理されず 社員任せになっている 29.6% 29.2% 26.8% 26.8% 21.8% 23.0% 14.9% 14.3% 13.7% 7.5% 7.3% Q27-1 顧客情報などの重要な情報を自由に持ち出せる権限をもっている 29.1% 26.3% 22.9% 13.3% 8.3% Q27-10 社内の開発物や重要な情報に誰にも知られずに閲覧 編集する方法を知っている 28.9% 25.2% 22.8% 15.3% 7.9% Q27-3 同僚が顧客情報などの重要な情報を自由に持ち出していることを知っている 28.5% 26.4% 23.7% 13.5% 7.9% Q27-9 自分が情報システムの管理者ではないが 不正操作した証拠を消去することができる 28.1% 24.9% 23.1% 14.1% 9.8% Q27-7 かつて同僚がルール違反を行ったことが発覚したが 社内で処罰されなかった 27.9% 26.0% 23.2% 13.9% 8.9% Q27-4 社内の誰にも知られずに 顧客情報などの重要な情報を持ち出せる方法を知っている 26.9% 25.0% 23.3% 15.4% 9.5% Q27-5 これまでに 顧客情報などの重要な情報を持ち出しても 誰からも注意や指摘を受けなかった 26.6% 26.5% 22.3% 15.2% 9.5% 0%( 高まらない ) 1~25% 高まる 26~50% 高まる 51~75% 高まる 76~100% 高まる 図 10 知識 経験 ( シナリオ無し ) 35

38 本設問は 不正行為への気持ちを低下させる対策について 内部不正防止 抑止効果が期待できる対策に関係する項目である 図 11 の結果によると Q28-17 社内システムの操作の証拠が残る は 9 割の回答者が不正行為への気持ちが低下すると回答しており 最も効果が期待できる対策であると指摘できる これに続いて Q28-2 顧客情報などの重要な情報にアクセスした人が監視される Q28-6 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する Q28-20 情報システムの管理者以外に 情報システムへのアクセス管理を操作できない Q28-1 顧客情報などの重要な情報は 特定の職員のみアクセスできるようにする Q28-11 社内の重要な情報を暗号化する が続いて効果が期待できるという結果となった 0% 20% 40% 60% 80% 100% Q28-17 社内システムの操作の証拠が残る 11.5% 14.5% 20.4% 19.2% 34.4% Q28-2 顧客情報などの重要な情報にアクセスした人が監視される 13.1% 16.3% 23.5% 18.9% 28.2% Q28-6 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 13.3% 17.4% 23.5% 21.4% 24.4% Q28-20 情報システムの管理者以外に 情報システムへのアクセス管理を操作できない 13.5% 19.0% 24.4% 18.6% 24.6% Q28-1 顧客情報などの重要な情報は 特定の職員のみアクセスできるようにする 13.7% 20.2% 25.1% 19.6% 21.4% Q28-11 社内の重要な情報を暗号化する 13.9% 19.4% 24.3% 19.0% 23.5% Q28-19 これまでに同僚が行ったルール違反が発覚し 処罰されたことがある 14.0% 17.6% 24.3% 19.7% 24.4% Q28-14 CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限する 14.1% 22.9% 25.0% 19.4% 18.6% Q28-9 社内システムにログインするための ID やパスワードの管理を徹底する 14.1% 20.6% 24.7% 19.0% 21.6% Q28-16 システム管理権限が複数人に設定され ルール違反の相互監視が徹底されている 14.8% 19.5% 25.3% 19.6% 20.8% Q28-3 ネットワークへの利用制限を設ける 14.8% 20.5% 27.5% 19.4% 17.9% Q28-18 これまでに同僚が行ったルール違反が発見されたことがある 15.3% 18.7% 25.4% 20.1% 20.5% Q28-5 職務上で作成 開発した成果物は 企業に帰属すること ( 不正競争防止法に抵触すること ) を研修で周知徹底する 15.7% 21.0% 26.8% 17.5% 19.1% Q28-4 管理者を増員する等 社内の監視体制を強化する 17.6% 24.9% 25.3% 16.7% 15.5% Q28-12 退職者のアカウントは 即日 削除する 17.8% 20.7% 23.5% 15.7% 22.3% Q28-7 ルール違反や禁止行為 ( 職務違反や個人情報管理策や情報セキュリティポリシを含む ) に抵触しそうな事柄についての問い合わせ窓口を設置する 22.4% 26.6% 24.9% 13.8% 12.3% Q28-10 職場に監視カメラを設置する 23.5% 24.6% 22.4% 14.5% 15.0% Q28-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 23.7% 25.2% 24.5% 13.3% 13.3% Q28-13 パソコンや USB メモリなどの会社備品に会社の管理シールを貼る 24.6% 27.5% 23.2% 13.5% 11.2% Q28-15 上司や同僚に頻繁に相談できる環境がある 24.8% 27.1% 25.0% 12.0% 11.1% 0%( 低下しない ) 1~25% 低下する 26~50% 低下する 51~75% 低下する 76~100% 低下する 図 11 対策 ( シナリオ無し ) 36

39 (5) シナリオⅠによる検証 節にて定めたモデルⅠ( インタビュー調査において最も事例数のあった営業職員による個人情報の持ち出し / 不正利用 ) を基にシナリオを作成し アンケートを実施した このシナリオ付きのアンケート調査では アンケート回答者本人の気持ちを尋ねるのではなく 不正行為者を想定した気持ちを回答したことになる そのため 動機やプレッシャー の設問項目はシナリオの理解を確認するために用い 動機やプレッシャー に関連する設問として 新規に 不正行為に関する理解或いは共感 を尋ねる設問を追加した 具体的には 下記のようなシナリオを提示して 内部不正行為にどの程度理解 ( 或いは共感 ) できるか 内部不正を行いたいという気持ちを高める要因 気持ちを低下させる対策についてそれぞれ回答者に尋ねる形式をとった 表 34 にシナリオⅠの内容を示す 表 34 シナリオ Ⅰ の内容 <シナリオⅠ> B さんは 服飾系代理店である Y 社の営業系事務として 10 年以上勤務している B さんは人当たりが良く Y 社の営業職員や取引先の企業からも頼りにされることが多く それに応えることに仕事のやりがいを感じている 周囲からは 仕事ぶりに華やかさはないがコツコツと地道にやっていくタイプだと見られている そんな中 B さんを高く評価してくれている他社から転職の誘いがあり 転職を決意した その後 B さんが Y 社の顧客情報を持ち出したことが発覚した 上記のシナリオⅠを読んで 回答者が どの程度内部不正行為に理解 ( 或いは共感 ) できるかについて調査した結果を図 12 に示す この結果によると B さんの Q20-1 自分が収集したものであれば 持ち出してもよいと思う Q20-2 転職先で利用する といった行為について 理解 ( 或いは共感 ) する回答は 10% 程度と少ない 一方 Q20-6 悪意があると思う Q20-4 理解できない といった設問に対しては 非常にあてはまる あてはまる という回答が過半数を超える結果となった 37

40 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Q20-6 B さんの行為は悪意があると思う 22.6% 31.1% 31.3% 11.6% 3.4% Q20-7 B さんの行為は理解できない 22.7% 28.5% 30.1% 13.9% 4.8% 1.5% Q20-5 B さんの行為に悪意は無いと思う 12.8% 30.3% 28.1% 27.2% 1.9% Q20-2 顧客情報を持ち出すことも 転職先で利用することも共感できる 10.8% 20.8% 24.8% 41.7% 1.0% Q20-1 自分が収集したものであれば 持ち出してもよいと思う 10.0% 20.4% 26.4% 42.2% 1.1% Q20-4 処罰されなければ 持ち出してもよいと思う 6.0% 16.1% 26.5% 50.4% 0.7% Q20-3 見つからなければ 持ち出してもよいと思う 5.4% 15.3% 27.3% 51.3% 非常にあてはまるあてはまるどちらともいえないあまりあてはまらない全くあてはまらない 図 12 理解 共感 ( シナリオ Ⅰ) 38

41 環境 機会 に分類される要因について 個々の要因が不正行為への気持ちをどの程度高めるか尋ねた その結果を図 13 に示す これによると Q22-1 システム管理がずさんで 顧客情報を簡単に持ち出せることを知っていた を あてはまる と回答した人は約 70% を占める Q22-10 社内ルールや規則 ( セキュリティポリシーを含む ) が徹底されていない Q22-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり 監視するシステムがない も約 68% で高い結果となった Q22-1 システム管理がずさんで 顧客情報を簡単に持ち出せることを知っていた Q22-10 社内ルールや規則 ( セキュリティポリシーを含む ) が徹底されていない Q22-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり 監視するシステムがない Q22-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない Q22-5 社内システムにログインするための ID やパスワードの管理が徹底されていない Q22-15 社内の重要な情報が暗号化されていない Q22-13 ルール違反や禁止行為の内容を張り紙等で周知したり 社内教育の制度が整っていない Q22-12 社内ルールや規則を違反した際 罰則がない Q22-6 退職者のアカウントが削除されていない Q22-3 職場に管理者がいないため 見つからない Q22-8 不正を行う十分な時間がある Q22-17 パソコンや USB などの会社備品に会社の管理シールが貼られていない Q22-19 社内への入退出時に手荷物検査がない Q22-9 職場で頻繁にルール違反が繰り返されている 0% 20% 40% 60% 80% 100% 3.6% 12.3% 11.1% 10.3% 10.0% 10.3% 25.1% 20.8% 20.0% 19.4% 18.7% 17.4% 16.5% 16.8% 22.5% 38.5% 37.6% 36.2% 35.4% 31.9% 43.0% 42.1% 38.4% 45.2% 46.1% 47.6% 46.2% 45.0% 45.0% 37.4% 39.0% 45.9% 37.0% 38.4% 34.1% 30.5% 32.1% 24.4% 25.1% 25.1% 26.9% 27.3% 28.9% 12.0% 7.4% 9.3% 9.2% 11.6% 4.5% 4.8% 6.0% 5.2% 6.8% 6.8% 8.8% 4.8% 1.8% 1.8% 1.7% 2.2% 2.2% 2.1% 2.3% 2.5% 3.3% 2.8% 3.8% 4.1% 4.0% 3.1% Q22-2 パソコンや USB メモリ等の情報端末の持込制限が厳しい 10.7% 29.2% 37.6% 16.0% 6.5% Q22-4 情報の持ち出しに関して社内に相談窓口がない 8.0% 30.8% 43.0% 13.4% 4.8% Q22-7 職場への入退口に警備員がいない 8.1% 27.5% 43.9% 15.5% 5.0% Q22-11 社内ルールや規則 ( セキュリティポリシーを含む ) が厳しく 遵守するための負担が大きい 7.0% 24.6% 42.2% 18.9% 7.3% Q22-18 職場に監視カメラがない 7.0% 24.5% 44.7% 16.8% 7.1% 非常にあてはまるあてはまるどちらともいえないあまりあてはまらない全くあてはまらない 図 13 環境 機会 ( シナリオ Ⅰ) 39

42 知識 経験 に分類される要因について 個々の要因が不正行為への気持ちをどの程度高めるか尋ねた その結果を図 14 に示す これによると Q23-11 社員の大半のパソコンのセキュリティ設定が管理されず 社員任せになっている を あてはまる と回答した人は約 7 割を占める Q23-11 社員の大半のパソコンのセキュリティ設定が管理されず 社員任せになっている Q23-4 社内の誰にも知られずに 顧客情報を持ち出せる方法を知っている 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 20.8% 19.3% 47.6% 46.4% 25.4% 27.0% 3.9% 4.8% 5.8% 2.3% 2.4% Q23-2 顧客情報を自由に持ち出せる技術的なスキルをもっている 16.2% 48.3% 27.4% 2.3% Q23-8 自分が社内の情報システムの管理者ではないが 情報システムへのアクセス管理を操作できる Q23-10 社内の開発物や重要な情報に誰にも知られずに閲覧 編集する方法を知っている Q23-5 これまでに 顧客情報を持ち出しても 誰からも注意や指摘を受けなかった 14.7% 14.5% 17.4% 45.4% 44.6% 41.5% 31.8% 32.2% 32.4% 5.5% 6.3% 6.1% 7.8% 2.6% 2.4% 2.6% Q23-1 顧客情報を自由に持ち出せる権限をもっている 16.5% 41.1% 31.4% 3.2% Q23-9 自分が社内の情報システムの管理者ではないが 不正操作した証拠を消去することができる 11.7% 33.9% 42.1% 8.7% 8.5% 3.7% Q23-3 同僚が顧客情報を自由に持ち出していることを知っている 11.0% 33.5% 43.3% 3.7% Q23-7 かつて同僚がルール違反を行ったことが発覚したが 社内で処罰されなかった 11.0% 33.0% 42.9% 9.3% 10.9% 3.7% Q23-6 社内で 自分よりも情報システムについて理解している人がいない 9.7% 30.9% 44.4% 4.1% 非常にあてはまるあてはまるどちらともいえないあまりあてはまらない全くあてはまらない 図 14 知識 経験 ( シナリオ Ⅰ) 40

43 不正行為への気持ちを低下させる 対策 について尋ねた結果を図 15 に示す これによると シナリオⅠと同様に 一番多くの人が 非常にあてはまる あてはまる と回答したのは Q24-17 社内システムの操作の証拠が残る であった これに Q24-14CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限する Q24-9 社内システムにログインするための ID やパスワードの管理を徹底する Q24-6 顧客情報を持ち出した場合の罰則規定を強化する が続く結果となった 0% 20% 40% 60% 80% 100% 2.6% Q24-17 社内システムの操作の証拠が残る 31.6% 45.4% 19.5% 0.8% 3.5% Q24-14 CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限する 28.1% 46.7% 21.0% 0.8% 3.1% Q24-9 社内システムにログインするための ID やパスワードの管理を徹底する 28.6% 46.0% 21.1% 1.2% 3.5% Q24-6 顧客情報を持ち出した場合の罰則規定を強化する 30.2% 44.2% 21.2% 1.0% 3.3% Q24-5 職務上で作成 開発した成果物は 企業に帰属すること 29.9% 43.6% 21.9% 1.3% 2.9% Q24-11 社内の重要な情報を暗号化する 27.4% 46.0% 22.7% 1.1% 2.8% Q24-2 顧客情報などの重要な情報にアクセスした人が監視される 27.1% 46.2% 23.0% 0.9% 3.2% Q24-1 顧客情報などの重要な情報は 認められた職員のみがアクセスできるようにする 26.3% 46.3% 23.2% 1.0% 3.8% Q24-12 退職者のアカウントは 即日 削除する 29.2% 42.6% 22.9% 1.4% 3.5% Q24-20 情報システムの管理者以外に 情報システムへのアクセス管理を操作できない 24.2% 46.4% 24.7% 1.1% 4.9% Q24-3 ネットワークへの利用制限を設ける 22.6% 46.8% 24.4% 1.3% 4.0% Q24-16 システム管理権限が複数人に設定され ルール違反の相互監視が徹底されている 19.8% 46.1% 29.0% 1.1% Q24-19 これまでに同僚が行ったルール違反が発覚し 処罰されたことがある 18.4% 42.0% 33.4% 4.6% 1.6% Q24-18 これまでに 同僚が行ったルール違反が発見されたことがある 14.9% 40.2% 37.3% 5.6% 2.0% Q24-7 ルール違反や禁止行為 ( 職務違反や個人情報管理策や情報セキュリティポリシを含む ) に抵触しそうな事柄についての問い合わせ窓口を設置する 13.0% 41.8% 35.2% 7.6% 2.3% Q24-13 パソコンや USB メモリなどの会社備品に会社の管理シールを貼る 13.4% 39.3% 33.6% 10.5% 3.2% Q24-4 管理者を増員する等 社内の監視体制を強化する 13.2% 37.1% 38.3% 9.1% 2.2% Q24-15 上司や同僚に頻繁に相談できる環境がある 10.8% 37.7% 38.9% 9.7% 2.9% Q24-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 10.4% 29.9% 42.5% 13.0% 4.1% Q24-10 職場に監視カメラを設置する 9.0% 27.7% 41.5% 15.7% 6.1% 非常にあてはまるあてはまるどちらともいえないあまりあてはまらない全くあてはまらない 図 15 対策 ( シナリオ Ⅰ) 41