企業の情報漏えいに関するニュースは、毎日のように報道されています。情報漏えいというと、サイバー攻撃によるものと思われがちですが、実際には企業の内部者や元従業員によって引き起こされているケースのほうが圧倒的に多く、サイバー攻撃の10倍以上に上るとも言われています。

また、最近では転職市場が活発になっていることもあり、いわゆる「手土産転職」(前職の情報を持ち出して転職する行為)が増えていることもその一因と考えられます。そこで本稿では、こうした内部不正の現状と、それに対して企業が取るべき対策を解説します。

「手土産転職」による情報漏えいの実態

近年、情報漏えいに関するニュースを耳にする機会が増えています。下の図は2024年に発生した主な内部情報漏えい事件をまとめたものです。中には記憶に残っている事件もあるのではないでしょうか。

  • 2024年に明らかになった主な内部情報漏えい

本稿では、特徴的な漏えい事件を2件紹介します。まず一つ目は、大手電話会社で元派遣社員が約928万件の個人情報を漏えいさせた事件です。この事件では、コールセンターのシステムに保存されていた69社分の顧客データが、10年近くにわたり、100回以上も名簿業者に販売されていたことが明らかになりました。

この元派遣社員には、2,000万円以上の金銭を受け取っていた疑いがあり、本人は「借金を返済するために犯行に及んだ」と供述しています。この人物は、管理者アカウントを使用してサーバにアクセスし、USBメモリを使ってデータを持ち出していました。この事件では、雇用主側の管理責任も厳しく問われ、最終的に社長が引責辞任する事態となり、大きな社会的注目を集めました。

もう一つの事例は、ある寿司チェーン企業で発生した情報漏えい事件です。逮捕されたのは元社長であり、彼は以前、同業他社の元取締役や親会社の社長を務めていた人物でした。転職が決まるわずか2日前に、前職で保有していたデータをUSBメモリで持ち出し、転職後も元同僚に依頼して、日次の仕入れデータや材料の仕入れ価格などをメールで受け取っていたとされています。この事件では、情報を受け取っていた転職先の企業も、不正競争防止法違反により有罪判決を受けています。

このように、情報漏えいを引き起こした本人が逮捕されるだけでなく、その所属していた企業にも法的責任が問われるケースが増えてきています。これは、「情報漏えいの兆候を事前に把握できず、防止できなかった」という理由によるものです。さらに、ニュースで報道されるのはあくまで一部であり、実際には表に出ていない情報漏えい事件が数多く発生していると考えられます。状況は非常に深刻であり、企業においては一刻も早い対策の実施が強く求められています。

情報漏えいは8割以上は内部から発生している

では、情報漏えいはどのようなルートで発生しているのでしょうか。IPA(情報処理推進機構)の調査によると、最も多いのは「中途退職者による漏えい」で、全体の36.3%を占めています。これに、「現職従業員の誤操作や誤認などによる漏えい」(21.1%)、「現職従業員によるルールの未徹底に起因する漏えい」(19.5%)が続いています。

これらの、いわゆる内部からの脅威による情報漏えいを合計すると、全体の87.6%にも上ります。一方で、「サイバー攻撃など外部からの要因による漏えい」は8.0%にとどまっており、内部不正による漏えいはその10倍以上に上ることがわかります。

  • 日本の営業秘密の漏えいルート

内部不正とサイバー攻撃の比率は、漏えいした情報の件数にも反映されています。ベライゾンの調査によると、外部からの犯行(いわゆるサイバー攻撃)による侵害の中央値は約3万レコードであるのに対し、内部不正ではおよそ37万5,000レコードに上り、やはり10倍以上の差が見られます。

この差が生まれる背景には、サイバー攻撃者には時間的制約やアクセスの制限がある一方で、内部者は余裕のある時間を持ち、重要なデータがどこにあるかも知っているため、大量の情報を持ち出しやすいという点があります。

内部不正が起きる理由とは

最近、「手土産転職」とも呼ばれるような事例が増えている要因の一つに、転職率の上昇が挙げられます。2023年における正社員の転職率は7.5%と、2016年と比べて約2倍に増加しました。特に、30代男性の技術者層で即戦力としての転職が目立っています。

総務省の調査によると、転職希望者数は初めて1,000万人を超えました。アメリカでは生涯に平均11回転職すると言われていますが、日本でも「ジョブ型採用」が拡大するなかで、キャリアアップを目的とした転職が一般的になりつつあります。

また、近年は内部不正に対して、企業側の責任も問われるようになっています。2024年には、大手損害保険4社において個人情報の漏えいが発覚しましたが、その際、250万件に及ぶ個人情報が4社間で共有されていたことも明らかになりました。かつてであれば黙認されていたかもしれませんが、現在のようなコンプライアンス重視の社会ではそうした対応は通用しません。

この問題の背景には、業界全体に根付いた「情報共有に対するリスク感度の低さ」や、「法令や社会規範に対する意識の甘さ」があると考えられます。つまり、今の時代における内部不正は、単なる個人の問題ではなく、組織全体の経営課題であると言えるのです。

大手損保4社の事例からは、内部不正が起きる理由や背景が浮き彫りになります。例えば、「古いコンプライアンス意識を引きずったまま、自己改革ができず、不正という形で表面化してしまうこと」、「外部から与えられた数値目標ばかりを追いかけ、企業の価値観や倫理観、パーパス(存在意義)などが後回しにされていること」、さらには「グレーゾーンにおいて何を優先すべきかという判断軸が曖昧で、不正につながってしまうこと」が挙げられます。

こうしたことからも、グレーゾーンでの意思決定において明確な判断軸を持てるかどうかが、企業の命運を分けると言えるでしょう。とはいえ、内部不正を防ぐためには、ユーザーの行動をある程度監視する仕組みが必要となります。その際には、プライバシーを尊重しつつ、いかに効果的に牽制・抑止していくかというバランスの取り方が非常に重要になります。

セキュリティとプライバシーの均衡を取るための10箇条~内部不正対策の勘所~

内部不正対策を進めるには、データセキュリティとプライバシーの両立を図った効果的なプログラムを構築することが求められます。以下に、そのための10箇条を紹介します。いずれも実現不可能なものではありません。

(1)プライバシー・法務関係者を初期段階から関与させる

内部不正対策は、サイバー攻撃対策とは異なり、多くの部門や場合によっては労働組合とも連携が必要です。プログラムの初期段階から、そして実施後も継続的に関係部門と連携することで、プライバシーに配慮した監視体制を築くことが可能になります。

(2)プログラムの適用範囲と報告の基準を明確にする

内部不正対策プログラムの適用範囲と監視する範囲、報告のしきい値といった「リスクのある行動」を明確に定義することが重要となります。これにより、過剰な監視を避け、効率的な運用が可能になります。また、監視の基準値は公開せず、リスクの高い行動を取る特定のユーザーへの監視を強化することが必要です。

(3)事例共有により、透明性を確保しつつ理解を促進させる

内部不正対策プログラムの開始後に、情報漏えいにつながる高リスクな行動が検知された場合には、個人名を伏せた上で社内に共有し、従業員の注意を促します。多くの情報漏えいは操作ミスや勘違いが原因であるため、事例共有により防止意識を高めることが期待できます。

(4)情報共有ポリシーを明確にする

内部不正対策プログラムを構築する際には、プログラムの目的や範囲、検知基準、調査対象、アクセス権の管理などを明確に定め、誰に何を開示するかのルールをあらかじめ策定しておきます。特に、しきい値やルールを知る人は必要最小限にとどめるべきです。

(5)プライバシー基準を満たすテクノロジーを使用する

内部不正対策プログラムの中には、すべての行動を記録するような過剰な監視はプライバシー侵害につながる可能性があります。監視対象が誰かを特定せずに対応できる仕組みや、機密データの匿名化など、プライバシー保護に配慮した技術の導入が必要です。

(6)ツール全体でデータフローとABACを確保する

SIEMを用いてセキュリティログを集約・分析している場合は、個人情報や特権の人事情報などの扱いに注意し、内部リスク対策チームなど、必要な担当者だけがアクセスできる仕組みにします。属性ベースのアクセス制御(ABAC:Attribution Base Access Control)を導入することで、データの機密性を保ちながらリスク調査が可能になります。

(7)強力な監視体制と説明責任を確立する

監視と同時に、誰が何を変更したか、なぜ必要だったのかという説明責任も明確にします。例えば、ポリシー変更がされた後に危険行動が検知され、違反行為と判定された場合、裁判ではポリシーの変更を行った人とその日時を含め、変更を正当化できる詳細な理由が求められます。内部リスク対策チームに対する監視体制を適用する「ウォッチ・ザ・ウォッチャーズ(監視する人を監視する)」といった多層的な監視も重要です。

(8)明確な手順で利益相反に対処する

監視担当者が同僚などの行動を調査する際の利益相反に備え、別の担当者または管理部門に引き継ぐ明確なルールを定めておきます。明確な手順を定義することにより、公平性と調査の信頼性が保たれます。

(9)プライバシートレーニングをチーム開発に組み込む

セキュリティチームは、定期的なUAM(ユーザーアクティビティ監視)に関するプライバシートレーニングを受ける必要があります。これを年次トレーニングの一環として実施することで、チームは必要のないデータにはアクセスしないという意識を徹底し、従業員が安心して働ける環境づくりに貢献します。

(10)データ収集を常に微調整して行き過ぎを防ぐ

内部不正監視のための監視のためのデータ収集は定期的に見直し、必要最小限にとどめるようにします。監視ルールの変更により、従業員個人の予定や会議メモからのデータのログなどが急に増え始めた場合は、速やかに調整し、関係者の意見も反映させながら、プライバシーとセキュリティの両立を図ります。

内部不正・内部脅威へのアプローチ

効果的な内部不正対策を行うには、具体的にどのような取り組みが必要なのでしょうか。そのためにはまず、日本における内部不正の特徴を正しく把握することが重要です。冒頭でも触れたように、いわゆる「手土産転職」のような行為が増えてきており、これも内部不正や内部脅威の一つとされています。 こうした内部からの脅威には、以下のようなケースが含まれます。

  • 退職時における情報の持ち出し・漏えい
  • システム管理者など権限を持つ者による不正行為
  • 業務委託先や外部ベンダーからの情報漏えい
  • ハラスメントや不満など、職場環境が原因となる不正行為
  • 社内ルールの徹底不足によって起きる不正
  • 他人になりすましたアカウントによる情報の盗み取り

これらの脅威を正確に理解し、リスクの種類ごとに適切な対策を講じることが、実効性のある内部不正対策につながります。

もう一つ、ぜひ知っておいていただきたいのが、アメリカの犯罪学者であるドナルド・R・クレッシー氏が提唱した「不正のトライアングル」という考え方です。これは、不正行為が発生する背景には「動機」「機会」「正当化」という3つの要素がそろっているという理論です。この3つの中で、「動機」に対処することは非常に難しいとされています。借金や個人的な興味といった動機は、企業側ではコントロールできないためです。

  • 「不正のトライアングル」

そのため、企業が内部不正を防ぐには、「機会」や「正当化の理由」をできるだけ排除することが重要になります。例えば、「機会」を排除するためには、監視体制や管理体制を強化し、不正を行えば発覚するリスクが高いという状況をつくることが効果的です。また、「正当化の理由」を持たせないためには、日頃からコンプライアンス教育を徹底し、倫理意識を高めることが大切です。

増田 幸美

増田 幸美

そうた ゆきみ

日本プルーフポイント株式会社 チーフ エバンジェリスト。
早稲田大学卒業。日本オラクルでシステム構築を経験後、ファイア・アイで脅威インテリジェンスに従事。サイバーリーズン・ジャパンではエバンジェリストとして活動、千葉県警サイバーセキュリティ対策テクニカルアドバイザーを務める。現職ではサイバーセキュリティの啓蒙活動に携わり、InteropやSecurityDays、警察主催などカンファレンスなどで講演多数。世界情勢から見た日本のサイバーセキュリティの現状を分かりやすく伝えること使命としている。警察大学校講師。Cybersecurity of Woman Japan 2023、Top Cybersecurity Woman of the World 2024受賞。

この著者の記事一覧はこちら