組織における内部不正とその対策 2017 年 5 月独立行政法人情報処理推進機構技術本部セキュリティセンター
目次 1. 内部不正に関する状況 報道から 実態調査から 2. 内部不正の起きる要因と対策 3. 内部不正防止ガイドラインについて 2
1. 内部不正に関する状況報道から :2016 年度も相次いだ内部不正事件 報道月事件の概要不正行為者動機 2016 年 6 月 A 市内のプロパンガス会社の社員 ( 当時 ) が 同社の営業秘密である顧客情報等を不正に取得し同業他社に開示したとして 不正競争防止法違反 ( 営業秘密の領得 開示 ) の容疑で逮捕された 6 月 B 市の元職員が 同市が管理する特定健康診断の対象者名簿等 約 13 万件の個人情報を不正に持ち出したとして 同市個人情報保護条例違反の容疑で逮捕された 退職者 退職者 所属する企業への不満 不明 7 月 C 機構事務所の元契約職員が C 機構の持つ個人情報を不正取得したとして 独立行政法人個人情報保護法違反の疑いで逮捕された 11 月 D 社の業務委託先である E 社社員が D 社発注工事 2 件の設計金額に関する情報を F 社に漏えいし 落札していた E 社社員と F 社役員及び法人としての F 社は 不正競争防止法違反で略式起訴された 11 月 G 社の元契約社員が 顧客のクレジットカード情報を不正に使用し 利益 ( 合計約 270 万円 ) を得たとして 不正競争防止法違反及び電子計算機使用詐欺の容疑で逮捕された G 社は自ら疑義のある取り引きを発見 内部調査を進めるとともに 警察に通報し 捜査に全面的に協力した 元契約社員は 2016 年 8 月に懲戒解雇された 退職者 委託先社員 退職者 ストーカー行為をするため 受注活動を有利にしたかった 不明 2017 年 1 月 H 区役所の元臨時職員が 勤務中に住民情報システムに接続し 個人情報を盗み見て女性宅に侵入したとして 同区個人情報保護条例違反と住居侵入の疑いで逮捕された 退職者 ストーカー行為をするため 2 月オンラインショップのプラットフォームを提供している I 社の元社員が ネットショップの運営者情報を含む 32,800 件の個人情報及び営業関連データを無断で社外に持ち出していたことが判明した 2 月 J 社の元専務と元社員が 営業秘密にあたる製品の技術情報を漏えいしたとして 不正競争防止法違反 ( 営業秘密侵害 ) 容疑で逮捕された 退職者 退職者技術者 不明 製品を製造販売しようとした ( 出典 ) 報道事例を基に IPA が作成 3
1. 内部不正に関する状況報道事例 : 元社員による営業秘密不正取得 2015 年 1 月 家電量販店 AA 社の元社員が退職前に事務所のパソコンに遠隔操作ソフトをインストールし 転職先 ( 競業企業 ) のBB 社の業務用パソコンから遠隔操作ソフトを通じて不正に営業秘密にあたる情報を取得したとして不正競争防止法違反 ( 営業秘密の不正取得 ) の容疑で逮捕された AA 社 元社員は 2013 年 12 月に AA 社を退職後 2014 年 1 月に BB 社に転職 2 つのルート 遠隔操作 元部下を手引き 退職後 90 日間アカウントが有効 遠隔操作 元社員 BB 社 1 退職前にパソコンに遠隔操作ソフトをインストール 2 転職先の BB 社から遠隔操作で営業秘密を不正取得 取得した営業秘密の一部は BB 社内で参照されていた 元社員の 20 年来の元部下 メールで送付 4
組織への影響 内部不正を発生させてしまった K 社 特別損失 260 億円 ( 情報セキュリティ対策 お客様への対応等 ) 新規営業活動の一時停止 役員 2 名 ( 代表取締役副会長 取締役 ) の引責辞任 内部不正を発生させてしまった内部不正の影響 L 社は大きい 応札辞退 指名停止 : L 社 6ヶ月 子会社 5 社 3カ月 役員 3 名 ( 執行役副社長 1 名 執行役常 2 名 ) 減俸 30%(1カ月 ) BB 社 (AA 社から営業秘密を持ち出したとして逮捕された元従業員の転職先 ) 不正競争防止法違反容疑で書類送検 (AA 社の営業秘密を転職者から不正取得したと判断 その後不起訴となった ) 2016 年 4 月 AA 社は営業秘密の不正使用について BB 社に対し 50 億円の損害賠償を求める民事訴訟を起こす ( 現在審理中 ) 不正競争防止法では 法人の従業員が業務に関して違反行為をした場合 法人に対しても 5 億円以下の罰金刑を科す ( 両罰規定 ) 5
1. 内部不正に関する状況内部者による営業秘密流出の実態 営業秘密の流出者は 2012 年度調査では 中途退職者 が最多 (50.3%) であったが 2016 年度調査では 現職従業員等のミス によるものが最多 (43.8%) 中途退職者向け対策が進んだ企業が増えたと推測 (n=105) 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 現職従業員等のミスによる漏えい 43.8% 中途退職者 ( 正規社員 ) による漏えい 24.8% 取引先や共同研究先を経由した漏えい 現職従業員等による具体的な動機をもった漏えい 外部からの社内ネットワークへの侵入に起因する漏えい 4.8% 7.6% 11.4% 2012 年度調査では 50.3% 2012 年度調査では 26.9% 中途退職者 ( 役員 ) による漏えい取引先からの要請を受けての漏えい外部者の不正な立ち入りに起因する漏えい退職した契約社員による漏えい退職した派遣社員による漏えい定年退職者による漏えいわからない 3.8% 3.8% 2.9% 2.9% 1.9% 1.0% 4.8% 2012 年度調査では 9.3%( 微増 ) その他 9.5% ( 出典 )2012 年度調査 : 経済産業省 : 人材を通じた技術流出に関する調査研究報告書 (2013 年 3 月 ) 2016 年度調査 :IPA 企業における営業秘密管理に関する実態調査報告書 (2017 年 3 月 )
1. 内部不正に関する状況内部者による営業秘密流出の実態 営業秘密の漏えい先は 国内競業他社 が32.4% と最も多い 22.9% の企業が漏えい先が わからない と回答 漏えい先を把握できていない (n=105) 0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% 国内の競業他社 32.4% 国内の競業他社以外の企業 11.4% 外国の競業他社 10.5% 外国の競業他社以外の企業 わからない 4.8% 漏えい先を把握できていない 22.9% インターネット上に掲載されてしまった 社内の他部署の従業員等に開 されてしまった等 その他 30.5% ( 出典 )2016 年度調査 :IPA 企業における営業秘密管理に関する実態調査報告書(2017 年 3 月 ) 7
1. 内部不正に関する状況内部者による営業秘密流出の実態 営業秘密の漏えい先は 国内競業他社 が32.4% と最も多い そのうち 内部不正による漏えいが多くを占める 0.0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% (n=105) 国内の競業他社 25.7% 32.4% 国内の競業他社以外の企業 7.6% 11.4% 外国の競業他社 4.8% 10.5% 外国の競業他社以外の企業 わからない 4.8% 4.8% 18.1% 漏えい先を把握できていない 22.9% インターネット上に掲載されてしまった 社内の他部署の従業員等に開 されてしまった等 その他 25.7% 30.5% 全体 内部不正 ( 出典 )2016 年度調査 :IPA 企業における営業秘密管理に関する実態調査報告書 (2017 年 3 月 ) アンケートデータを基に作成 8
1. 内部不正に関する状況実態調査から : 調査概要 内部不正による情報セキュリティインシデント実態調査 (2016 年 3 月 3 日公開 ) 調査方法 :Webアンケート 調査対象 : 業種別 従業員数別に抽出した民間企業における従業員等 3,652 名 内部不正を行った経験がある者 ( 内部不正経験者 )200 名 調査期間 :2015 年 11 月 25 日 ~30 日 主な調査項目 : 回答者の企業属性 個人属性および企業状況 情報セキュリティインシデントの発生状況 ( 内部不正も含む ) 内部不正対策の実施状況 内部不正発生時の対応 経営者 システム管理者と従業員の意識 出典が示されていないグラフ等はすべて 当該調査結果によるもの 各グラフには報告書の頁数 図番を示す その他 : 内部不正による被害を経験した企業へのインタビュー等を実施 9
1. 内部不正に関する状況実態調査から : 内部不正の発生状況 所属する企業組織で外部攻撃や内部不正が発生しているかどうか ( 報告書 P.12 図 1) 300 名以上 (N=1,278) 300 名未満 (N=2,374) 18.5% 外部攻撃があった 5.4% 8.6% 内部不正があった 1.6% 42.5% 外部攻撃や内部不正はは発生していない 66.6% 35.2% わからないわからない 26.8% 10
1. 内部不正に関する状況実態調査から : 内部不正の詳細 ( 内部不正経験者 ) 内部不正経験者が起こした内部不正の詳細 ( 報告書 P.15 図 9) ( 複数回答 ) 11
1. 内部不正に関する状況実態調査から : 内部不正を行った理由 ( 内部不正経験者 ) 故意ではない違反が多いが 故意も一定程度存在 ( 報告書 P.16 図 10) 内部不正経験者 (N=200) ルールを知っていたがうっかり違反した 40.5% ルールを知らずに違反した 業務が忙しく 終わらせるために持ち出す必要があった 17.5% 16.0% 処遇や待遇に不満があった ルールはあったが ルール違反を繰り返している人がいたので 自分もやった 持ち出した情報や機材で転職や企業を有利にしたかった 企業 組織や上司などに恨みがあった 11.0% 7.0% 3.5% 3.0% 故意による内部不正 持ち出した情報や機材を換金したかった 1.5% ( 単数回答 ) 12
1. 内部不正に関する状況実態調査から : 故意の情報持ち出しの行為者 動機 対象情報 手段 ( 内部不正経験者 ) 情報の持ち出しには USB メモリ 電子メールが多く用いられる ( 報告書 P.19 表 10 を編集 ) 組織での対策は USB メモリ等の外部記録媒体に関する利用ルールの徹底 および利用制限が有効と考えられる 項 1 位 2 位 3 位 為者システム管理者 23.5% 技術者 開発者 22.1% 経営層 役員 17.4% 不正 為の動機 業務が忙しく終わらせるため持ち出した 38.1% 処遇や待遇に不満があった 26.1% 持ち出した情報や機材で転職を有利にしたかった 16.7% 対象情報顧客情報 48.3% 技術情報 36.9% 営業計画 32.9% 持ち出し 段 USB メモリ 53.0% 電 メール 28.9% 紙媒体 18.8% 故意の不正行為経験者のみ (n=98 不正行為の動機 は n=84) 不正行為の動機 以外は複数回答 13
1. 内部不正に関する状況実態調査から : 情報持ち出し手段への対策状況 しかし 有効と考えられる対策について 方針やルールがない 企業も ( 報告書 P.22 図 17 P.24 図 18 より一部抜粋 ) 300 名以上 (n=500) モバイル機器や USB メモリ等の記録媒体を外部に持ち出す場合には 持ち出しを承認し記録等を管理している 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 13.2 16.0 20.6 34.8 15.4 私物のモバイル機器 記録媒体の持ち込みおよび業務利 を制限している 12.2 18.6 21.4 34.2 13.6 300 名未満 (n=1,000) モバイル機器や USB メモリ等の記録媒体を外部に持ち出す場合には 持ち出しを承認し記録等を管理している 53.2 14.0 8.9 10.6 13.3 私物のモバイル機器 記録媒体の持ち込みおよび業務利 を制限している 54.0 13.6 9.7 9.7 13.0 1 針やルールはない 2 針やルールがある ( 実施なし ) 3 2に加えてに実施あり ( 確認なし ) 4 3に加えて定期的に確認している ( 監査を含む ) 5 わからない 14
1. 内部不正に関する状況実態調査から : 内部不正を行った者への処分の状況 内部不正を行った者へ処分や起訴はしなかったという回答が3 割 ( 報告書 P.36 図 33) (%) 0 10 20 30 40 50 60 懲戒処分や起訴はしなかった 30.9 社内規定に従い懲戒処分とした 51.7 警察に相談した ( 被害届を出した ) 13.4 刑事告訴 告発した 10.7 民事訴訟した 9.4 15
1. 内部不正に関する状況実態調査から : 懲戒や起訴をしない理由 十分な証跡が取れておらず 処分ができなかった可能性 (%) ( 報告書 P.36 図 34) 0 10 20 30 40 50 懲戒処分や起訴ほどの被害が出なかった 41.3 証拠がない 情報が不足している 風評被害などイメージダウンとなることを懸念した 自社に対する信用失墜を懸念した 30.4 30.4 32.6 不正行為を行った個人を特定できなかった 23.9 公になることで競合他社が優位になることを懸念した 19.6 処分対象の従業員が退職されると困る 10.9 起訴の手続きがわからなかった警察 法的機関から事前に起訴を否定された懲戒処分や起訴できることを知らなかった法的機関から国家安全保障に関連するといわれた 2.2 0.0 0.0 0.0 その他 2.2 16
1. 内部不正に関する状況実態調査から : 内部不正防止に有効と考える対策の比較 経営者等が重要視していない対策が内部不正行為の抑止 に有効 ( 報告書 P.42 表 13) 内部不正経験者 経営者 対策システム管理者 順位 割合 順位 割合 ネットワークの利用制限がある ( メールの送受信先 1 位 50.0% の制限 Webメールへのアクセス制限 Webサイト 2 位 30.3% の閲覧制限がある ) 2 位 46.5% 技術情報や顧客情報などの重要情報にアクセスした人が監視される ( アクセスログの監視等を含む ) 4 位 27.0% 3 位 43.0% 4 位 25.0% 技術情報や顧客情報などの重要情報は特定の職員のみがアクセスできる 職務上の成果物を公開した場合の罰則規定を強化する 1 位 43.9% 12 位 12.8% 5 位 23.5% 管理者を増員する等 社内の監視体制を強化する 11 位 13.1% ( 内部不正経験者 :n=200 経営者 システム管理者 :n=1500) 17
2. 内部不正の起きる要因と対策内部不正を生み出す 3 要因 : 不正のトライアングル 内部不正は 動機 プレッシャー 機会 正当化 の 3 要因が揃った時に発生する 動機 プレッシャー不正行為に至るきっかけ 原因 : 処遇への不満やプレッシャーなど ( 業務量 ノルマ等 ) 人事に不満 金銭問題を抱えている 高いノルマを課されている 機会 不正行為の実行を可能 または容易にする環境 : IT 技術や物理的な環境及び組織のルールなど 広いシステム管理権限 持ち出し可能な環境 同じ業務を長期間担当 正当化自分勝手な理由づけ 倫理観の欠如 : 都合の良い解釈や他人への責任転嫁など 正当に評価がされない サービス残業 会社がわるい ドナルド R クレッシー ( 米国の組織犯罪研究者 ) による 18
2. 内部不正の起きる要因と対策内部不正防止対策は 3 要因の低減 組織対策として重要なこと = 動機 プレッシャー と 機会 の低減 動機 プレッシャー 機会 正当化 組織として能動的に低減できるのは動機と機会 3 要因を低減 職場環境整備 不満の解消等 監視 不正行為の抑止 ( 必ず見つかる 利益にならない ) 内部不正防止対策 動機機 機 技術対策アクセス管理 ログ管理 暗号化等 機 組織対策体制 内部統制 法令遵守強化等 正 モニタリング 通報制度等 誓約書署名等 19
2. 内部不正の起きる要因と対策状況的犯罪予防 状況的犯罪予防 の 5 原則 1. 犯行を難しくする 2. 捕まるリスクを高める 3. 犯行の見返りを減らす 4. 犯罪の誘因を減らす 5. 犯罪の弁明 ( 言い訳 ) を許さない 犯罪学者の Cornish & Clarke(2003) が提唱した都市空間における犯罪予防の理論 主眼 : 監視者設置等で外部からのコントロールが可能な 環境 を適切に定める犯罪機会 動機を低減し 予防する犯罪予防策直接的に犯罪を防止する対策間接的に犯罪を防止する対策 20
2. 内部不正の起きる要因と対策状況的犯罪予防から応用 状況的犯罪予防の考え方を内部不正防止に応用した 5 原則 1. 犯行を難しくする ( やりにくくする ) 対策を強化することで犯罪行為を難しくする 2. 捕まるリスクを高める ( やると見つかる ) 管理や監視を強化することで捕まるリスクを高める 3. 犯行の見返りを減らす ( 割に合わない ) 標的を隠したり 排除したり 利益を得にくくすることで犯行を防ぐ 4. 犯行の誘因を減らす ( その気にさせない ) 犯罪を行う気持ちにさせないことで犯行を抑止する 5. 犯罪の弁明をさせない ( 言い訳させない ) 犯行者による自らの行為の正当化理由を排除する 機会 を低減 動機 を低減 正当化 を低減 21
2. 内部不正の起きる要因と対策内部不正対策をはじめよう やりにくくする割りに合わない適切なアクセス権限管理最小権限の原則 重要情報へのアクセスを制限 やると見つかる ログの記録と定期的な監査 監視 言い訳させない ルール化と周知徹底私物の業務利用 記録媒体等の持ち出しルール等 IC カード バイオメトリックス認証 アクセス権限者 未承認 PC 未承認モバイル 秘 営業秘密 重要情報へのアクセスを制限 承認 記録 持ち込み禁止 持ち出し 承認済 顧客データベース等 一般情報 操作ログ 内部不正の抑止罰則規定の強化 その気にさせない 内部不正対策の継続した見直し 改善 22
2. 内部不正の起きる要因と対策内部不正対策は一石二鳥?! 外部攻撃やランサムウェア対策にも有効 適切なアクセス権限管理 は 内部不正をやりにくくする対策としても有効 ( 例 ) 適切なアクセス権限管理 により ランサムウェアから守られている図 ( 出典 )IPA ランサムウェアの脅威と対策 ~ランサムウェアによる被害を低減するために~ 23
3. 内部不正防止ガイドラインについて組織における内部不正防止ガイドラインのご紹介 内部不正を防止するための環境整備に役立てて頂くためのガイドライン 内部不正チェックシートで現状の対策状況を把握 1 対策の指針 ポイントを理解するリスクに対する具体的な対策を立案するためのヒント 組織における内部不正防止ガイドライン 第 4 版 内部不正チェックシート ( 付録 ) 2 具体的な実施策を立案する製品 ソリューションを検討 参考 )JNSA 内部不正対策ソリューションガイド内部不正ガイドラインの30の対策項目を実現するための製品やサービスをまとめたソリューションガイド http://www.jnsa.org/solguide/index.htm JNSA: 特定非営利活動法人日本ネットワークセキュリティ協会 https://www.ipa.go.jp/security/insider/index.html 24
情報セキュリティマネジメント試験 IT 利 部 の情報セキュリティ管理の向上に役 つ国家試験あらゆる部 で必要な 情報セキュリティ管理の知識を体系的に習得できます 受験をお勧めする 個 情報を扱う全ての 業務部 管理部 で情報管理を担当する全ての 試験実施 年 2 回実施 ( 春期 秋期 ) 春期 : 4 第三 曜 秋期 :10 第三 曜
試験の主なメリット セキュリティ を積極出題 エントリー シート等活 仕事に役 つ セキュリティ に強くなる 就職に役 つ ) 戦略 財務等 幅広い出題 う(えみね あい が備えておくべきITに関する基礎的 な知識が証明できる国家試験です 上峰 亜衣 すべての社会 学 パソコンを利 して受験するCBT 式なので 都合の良いとき に受験可能 お申込みはiパスWebサイトで常時受付中 公式キャラクター iパス は ITを利活 する