内部不正とは組織関係者が自らの立場を悪用して、顧客情報や技術的な情報、財務情報などの機密情報を無断で流出・改ざん・削除などを行う不正行為です。仮に内部不正が原因で顧客情報や重要なデータが流出した場合は、企業の信頼性低下や損害賠償の支払いなど、今後の経営に多大な悪影響を及ぼします。
内部不正はどのような要因で起こるのでしょうか?本記事では、内部不正が発生する要因や手口、対策などを紹介します。セキュリティー対策の強化に取り組んでいる方は、最後までご覧ください。
内部不正とは
内部不正とは組織内部の関係者が自身の立場を悪用して、顧客情報や販売情報、技術的なノウハウなど、機密情報を意図的に改ざん・削除・不正利用などを行う不正行為のことです。組織内部の関係者には既存の従業員や退職した従業員、業務委託者などが含まれます。
内部不正は従業員が業務遂行に必要な行動を取っているのか、外部に情報を流出しているのか、判別しにくい点が特徴です。システムやアプリケーション、データファイルなどへのアクセスは業務遂行に不可欠なため、一見しただけではわかりません。
内部不正が原因で機密情報が流出した場合は、信頼性の低下や損害賠償の支払いなど多大な損害が生じるため、適切な対策が求められます。
内部不正の発生率や動向
内部不正の発生件数や発生率は低いものの、1件あたりの被害範囲は大きいといえます。
東京商工リサーチが2025年に発表した調査によると、2024年に上場企業で発生した情報流出件数は189件でした。189件のうち内部不正や盗難が原因での流出は14件で、全体の7.4%を占めています。
上記を見る限り、内部不正や盗難が原因での発生件数は少ないものの、流出した個人情報の人数は平均で過去最多の22万4,782人でした。
出典:東京商工リサーチ「TRSデータインサイト」
個人情報の流出人数が増えた理由には、従業員の機密情報を扱う意識の低さに加え、同業者同士が顧客情報を共有していた点など、複数の要因があげられます。
不正のトライアングル
内部不正が発生する主な要因として、「不正のトライアングル理論」が有名です。不正のトライアングルとは、アメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論です。以下3つの要素が揃うと、内部不正が起こるリスクが高まります。
| 要素 | 概要 | 主な具体例 |
|---|---|---|
| 機会 | 不正行為を行える環境・状態である | ・システムやファイルに簡単にアクセスできる ・セキュリティルールが整備されていない ・監視体制が甘い |
| 動機 | 不正行為を行う動機やプレッシャーがある | ・金銭的に困窮している ・業務上の失敗を隠蔽したい ・会社への不満が溜まっている |
| 正当化 | 不正行為を正当化する理由がある | ・自分だけ損をしている ・他の従業員もやっている ・上司や会社が悪い |
上記3つの要素がどれか1つではなく、3つの要素が重なったときに危険性が増す点に注意が必要です。内部不正のリスクを低減させるには、アクセス権限や監視の強化、従業員のケアなどを行い、内部不正が発生しにくい職場環境を整備することが大切です。
内部不正が起きる2つの要因
内部不正が発生する要因は、人的要因と技術的要因の2つに分けられます。個々の内容を詳しく解説します。
人的要因とは不満や悩みなど、従業員の心理的な要因を指し、不正のトライアングルでは動機に該当する部分です。自身の待遇や業務内容、職場の人間関係など、勤務先への不満が大きくなるほど、内部不正が起こりやすくなります。
また、ミスの隠蔽や過酷なノルマを達成するためなど、職場環境が原因で内部不正に手を染めるケースも考えられます。
技術的要因とはアクセス権の過剰付与やパスワード管理の甘さ、監視体制の不十分など、内部不正を防ぐセキュリティー対策が十分に講じられていない状態を指します。不正のトライアングルでは、機会と正当化のどちらにも当てはまる要素です。
技術的要因は内部不正を防ぐうえで重要な要素です。仮に従業員が人的要因に該当する思考や感情に陥ったとしても、技術的要因が機能していれば内部不正を簡単に実行できません。
内部不正の主な手口
内部不正で使用されるケースが多い手口は以下の3つがあげられます。
- 放置されたアカウントの悪用
- アクセス権限の過剰付与
- USBメモリやクラウドストレージへデータをコピー
内部不正のリスクを抑えるには、アクセス権の付与範囲や情報の外部持ち出しを制限する必要があります。
従業員が使わなくなったアカウントを放置していると、元従業員が機密情報を盗む際に悪用するおそれがあります。
内部不正を防ぐため、退職や出向などで利用しなくなった従業員のアカウント情報は、素早く削除することが重要です。
アクセス権限の過剰付与も内部不正が起こりやすい原因の1つです。職種や所属部署、役職の有無を問わず、社内のファイルやシステムへ自由にアクセスできる場合、動機が揃えば内部不正が起きる確率が高まります。
とくに在宅勤務を導入している企業の場合、オフィスワークと違って上司や先輩からの監視の目も届きません。動機が揃えば不正行為を起こしやすくなるため、注意が必要です。
従業員が機密情報を外部へ自由に持ち出せる状態の職場は、内部不正が起こりやすいといえます。従業員が機密情報が入ったファイルをUSBメモリやクラウドストレージなどへ保存し、外部に流出させる可能性も十分考えられるためです。
従業員が簡単に外部へ情報を持ち出さないよう、持ち出す際のルールを決めておく必要があります。
内部不正による影響
内部不正が起きると、以下4つの悪影響が発生します。
- 顧客や取引先からの信用を失う
- 損害賠償責任や多額の損失が生じる
- 従業員の流出で組織力が低下する
- 刑事罰の対象になる可能性が生じる
顧客からの信用低下や損害賠償金の支払いなど、企業経営に多大な悪影響を及ぼします。
内部不正によって機密情報が流出すると顧客や取引先からの信頼を失い、今後の取引に多大な悪影響を及ぼします。顧客や取引先は「次は自社の情報が流出するのではないか」と不安を覚え、今後の取引に慎重な姿勢を見せるためです。
また、内部不正の発覚で企業イメージやブランドイメージも低下すると、新規顧客の獲得も難しくなり、収益減少が続く可能性が高まります。
過去の購買履歴や商談内容など、内部不正で顧客情報が流出すると、顧客から損害賠償金の支払いを命じられる可能性があります。
被害に遭った企業は民法709条または715条が適用され、機密情報を流出させた企業に対して損害賠償金の支払いを請求できるためです。
出典:e-Gov「民法709条」「民法715条 」
損害賠償金の相場は、流出した情報の内容や被害件数、二次被害の有無などによって判断されます。被害が大きい場合は数千万円以上の賠償金を支払う可能性が高まります。
また、上記に加えて訴訟費用や弁護士費用なども発生し、多額の損失によって企業経営が危うくなるおそれもあります。
内部不正が原因で従業員の氏名や住所、連絡先などの個人情報が流出すると、以下の被害が生じるおそれが高まります。
- 個人情報が別の犯罪に悪用される
- 個人情報が売買される
- 銀行口座やクレジットカードの情報が特定される
- 特殊詐欺のターゲットにされる
- スマートフォンやPCのアカウントが特定される
内部不正が発生した場合、「このまま勤務しても大丈夫なのか」と企業側の対応に不安を覚え、すぐに転職活動をはじめる従業員がいても不思議ではありません、
優れたスキルをもつ従業員が多数流出した場合は組織力が低下し、今後の企業経営に悪影響を及ぼします。
また、内部不正が原因で企業イメージも低下すると、求人を掲載しても新たに優秀な人材を採用するのは難しい状況です。最悪の場合は人材不足で通常業務を遂行できず、倒産に追い込まれる事態も想定されます。
内部不正が原因で従業員の個人情報が流出した場合、個人情報保護法第184条にもとづき、刑事罰として最大で1億円の罰金が科されるおそれがあります。
出典:e-GOV「個人情報保護法第184条」
また、顧客の個人情報が流出した場合は民事訴訟を起こされ、敗訴した際は多額の損害賠償金を支払う責任も生じます。内部不正の責任の一部は企業側にも問われるため、日頃からセキュリティー対策の強化に努めることが重要です。
内部不正を防ぐ基本5原則
IPAは「組織における内部不正防止ガイドライン」において、内部不正を防ぐ5原則を公表しています。概要を以下の表にまとめました。
| 原則 | 主な対策 |
|---|---|
| 1.対策強化で犯罪を難しくする | ・アクセス制限 ・セキュリティーポリシーの見直し ・不要なアカウント情報の削除 |
| 2.監視を強化して犯人特定の確率を高める | ・ログデータの監視 ・デバイスの持ち出し制限 ・入退室記録の監査 |
| 3.データの閲覧不可や削除で利益を減らす | ・関係者に開示した情報の廃棄 ・デバイスやストレージ内の情報管理 ・通信の暗号化 |
| 4.内部不正の要因を減らす | ・人事評価制度の見直し ・職場環境の改善 ・コミュニケーションの活性化 |
| 5.内部不正を正当化する理由の排除 | ・就業規則への明記 ・誓約書への署名 ・セキュリティー研修の実施 |
内部対策を見直す際は上記5原則の内容や具体例を意識すると、あらゆる原因を想定した対策が講じられます。
内部不正を防ぐ対策4選
内部不正の予防に有効な対策は以下の4つがあげられます。
- ログデータの分析結果をセキュリティー対策に反映する
- 個人や部署単位でアクセス権限の範囲を決める
- セキュリティー研修を実施する
- 外部へのデータ持ち出しを制限する
複数の対策を実施すると、内部不正の抑止力が高まります。
各種ログデータの分析によって、従業員が情報流出につながる行動を取っていないか、把握できます。ログデータの主な種類と取得できる内容を以下の表にまとめました。
| ログの種類 | 取得できるデータ | データ取得の効果 |
|---|---|---|
| 操作ログ | ・システムの操作履歴 ・ファイルの操作履歴 ・アプリケーションでの操作履歴を記録 | ・内部不正の発生防止 ・不正行為の犯人を特定 |
| 認証ログ | ・PCのログイン履歴 ・システムへのログイン履歴 | ・不正アクセスの有無把握 |
| 通信ログ | ・社内サーバーへのアクセス記録 ・インターネットの通信記録 ・ネットワーク通信を利用した履歴 | ・通信が行われたデバイスや時刻、内容を把握 ・不正アクセスや不審な行為の把握 ・マルウェアの有無 |
| 通話ログ | ・発信履歴 ・着信履歴 ・不在着信 | ・情報の流出先を特定 ・取引先や顧客以外との通話有無を把握 |
| イベントログ | ・起動時間 ・ファイルへのアクセス履歴 ・アプリケーションエラーの有無 | ・エラーや不具合の内容ら、不正行為の有無を確認 |
| 印刷ログ | ・印刷されたデータの内容 ・印刷データを送信したデバイス ・使用したプリンター名 | ・外部に持ち出した情報の特定 ・不正行為の犯人を特定 |
ログデータから不審な行動が発覚した場合、アクセス権の範囲見直しや外部への情報持ち出しの制限などを行い、内部不正を未然に防ぎます。また、各種ログデータの定期的な収集と分析を実施している旨を従業員へ周知すると、不正行為の抑止力を高められます。
内部不正を防ぐには個人や部署単位でアクセス権を付与し、業務に無関係のファイルは閲覧できないように設定しておくことが重要です。職種や役職の有無を問わず、閲覧可能なファイルが多いほど、内部不正が起こるリスクは高まります。
人事情報や会計情報などの機密情報は、限られた従業員にだけアクセス権を与え、閲覧・編集できる人数を限定しなければなりません。
また、機密情報を紙資料へ印刷し、一か所でまとめて保管している場合は入退室制限を設け、簡単にアクセスできない状態にする必要もあります。
内部不正の発生を減らすにはセキュリティー研修を実施し、従業員が機密情報を扱う際の意識を高める必要があります。優れたセキュリティー対策を講じても、従業員のITリテラシーや機密情報への意識が高まらない限り、内部不正のリスクは減りません。
内部不正の抑止力を高めるには、研修で情報漏えいが起きた際の企業や従業員への影響、機密情報の扱い方などを学ぶことが重要です。
また、セキュリティーに精通した人材が不在の場合は、セキュリティー研修の実績が豊富な企業の研修プログラムを利用するのがおすすめです。研修の企画・運営の手間を省けるだけでなく、豊富な知識をもつ講師が研修を担当するため、質の高い研修を受講できます。
内部不正の発生を防ぐには、情報の持ち出しを制限することも有効です。外部への持ち出しが自由にできる状態だと、従業員が不正行為を起こしやすくなります。
事前の申請や上司からの承認を義務付けるなど、情報を持ち出す際のルールを決めておくと、不正行為の抑止力を高められます。
また、DLPの導入も内部不正のリスクを減らせる有効な手段の1つです。DLP(Data Loss Prevention)とは、機密情報や重要なデータを監視するセキュリティーツールです。
印刷制限機能を搭載しており、機密情報が含まれたデータのコピーや印刷、画面キャプチャーなど、内部不正につながる行為を未然に防ぎます。
加えてメールセキュリティー機能によって、情報漏えいにつながる内容がメールに含まれる場合、メールの送信を中止します。
まとめ
不正のトライアングルと呼ばれる動機・機会・正当化の3つが揃うと、内部不正が起こりやすくなります。ただし、従業員が不正行為の動機や正当化の理由を得ても、自社が万全なセキュリティー対策を講じていれば、不正行為を行う機会には恵まれません。
内部不正を防ぐには、ログデータの分析やアクセス権の最小化など、さまざまなセキュリティーに精通した対策を講じなければなりません。セキュリティーに精通した人材が社内に不在の場合は、セキュリティーパートナーへ相談するのがおすすめです。
豊富な知識や経験を兼ね備えた人材が多数在籍しており、自社の課題に見合った提案が得られ、内部不正のリスクを抑えられます。
富士フイルムビジネスイノベーションでは、内部不正防止に向けた各種対策を提供しています。内部不正の対策に関してお困りのことがございましたら、ぜひご相談ください。
検索条件を変えていただき、もう一度お試しください。
検索条件を変えていただき、もう一度お試しください。