IPAの「組織で発生する10大インシデント」の中で、10年間も内部不正がランクインしているのをご存知でしょうか。
友人や身内を疑いたくないように、同じ会社で働く人たちにも悪いことをする人はいない!と、信じたいところですが、
企業における内部犯罪、いわゆるホワイトカラー犯罪は、残念ながら、海外と比較して意外と日本のほうが多い(※1)というのが実情です。
組織内部者による経済犯罪・不正
世界:52%
アジア太平洋:60%
日本:72%
※1 PwC「経済犯罪実態調査 2018 日本分析版」
また、2020年の調査(2021年3月発表)(※2)でも、2016年調査時と比較し内部不正による情報漏洩のポイントは
減少傾向にはないという結果が出ています。
- 拡大
- ※2 IPA 「企業における営業秘密管理に関する実態調査2020」
内部不正の怖さは、「確実に価値のある情報を抜き取ることができる」点にあります。
例えば、外部脅威による攻撃によってデータが窃取された場合は、外部犯はそれが価値のある情報かどうかを
精査する必要があるため時間がかかり、場合によってあきらめる可能性もあります。しかし、内部者・関係者による
犯行であれば、比較的簡単に、確実に価値のあるデータを入手することができますので、外部脅威によるものよりも
被害が大きくなる可能性が高いのです。
「身内を疑うようなことはしたくない」「同じように自分も疑われたくない」という気持ちは皆同じです。
しかし、内部不正犯罪はどんな企業でも起こる可能性があり、ひとたび犯罪が起こってしまった場合は、
多額の損害や損失が発生します。
犯罪を未然に防ぐ設備やシステム、或いは発生しても迅速に対応することができる仕組みが必要です。
そもそも、人はどうして犯罪に手を染めてしまうのでしょうか。
アメリカの犯罪学者ドナルド・R・クレッシーによると、動機・機会・正当化の3つの不正リスク要素が
合致したとき、不正行為が生まれやすくなるという「不正のトライアングル」理論を発表しています。
- 拡大
- ドナルド・R・クレッシー 「不正のトライアングル」図
上記3つの要素を下記に簡単に説明します。
機会:不正を行おうと思えばいつでもできるような環境
動機:不正行為を行うに至った事情
正当化:不正を実行しても良いという都合の良いこじつけ(良心の呵責を乗り越えてしまうことができるような理由)
もちろん、たとえ上記の3つの条件がそろっていたとしても、強い気持ちや高い倫理観などによって犯罪など
引き起こさない人もたくさんいます。けれど、「魔が差す」瞬間は誰にでも起こり得るものです。
逆に言えば、この3つの条件のうち1つでも要素を削ることができれば、不正行為が行われる確率を下げることが
可能となります。
具体的な例で考えてみましょう。
例えば、下記の「社員向けアンケートにおける不正行為への気持ちを高める項目」(※3)は、社員が不正行為を
行うに至る「動機」或いは「正当化」の理由として考えられます。
|
順位 |
内容 |
割合 |
|
1位 |
不当だと思う解雇通告を受けた |
34.2% |
|
2位 |
給与や賞与に不満がある |
23.2% |
|
3位 |
社内の人事評価に不満がある |
22.7% |
|
4位 |
職場で頻繁にルール違反が繰り返されている |
20.8% |
|
5位 |
システム管理がずさんで顧客情報を簡単に持ち出せることを知っている |
20.1% |
※3 IPA 「組織内部者の不正行為によるインシデント調査」より調査報告書
1位の理由である「不当だと思う解雇通知を受けた」という状況を想像してみましょう。
とある社員が、納得がいかない理由で解雇通知を受け、その腹いせにデータを不正入手して会社に損害を
与えようとする。或いは、突然のリストラ宣告にこれまで尽くしてきたつもりの会社に裏切られたような
心情となった。どうしてこんなひどいことをするのか、私は被害者だ、これからの生活だってあるのに...など、
不正に至る理由や自己を正当化してしまう心情を、なんとなく理解することができるでしょう。
そして不正行為が成立してしまうのは、それが許される環境にあるためです。
また、同アンケート内の「社員向けアンケートにおける不正行為に対して効果的だと考えられる対策」の結果(※4)は、
「不正のトライアングル」の「機会」部分の防止にあたる内容となります。つまり、こちらの環境を導入することで、
不正行為を行うことを躊躇したり、諦めたりすることで「不正行為が起こりにくい」効果が期待できます。
|
順位 |
内容 |
割合 |
|
1位 |
社内システムの操作の証拠が残る |
54.2% |
|
2位 |
顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等を含む) |
37.5% |
|
3位 |
これまでに同僚が行ったルール違反が発覚し、処罰されたことがある |
36.2% |
|
4位 |
社内システムにログインするための ID やパスワードの管理を徹底する |
31.6% |
|
5位 |
顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する |
31.4% |
※4 IPA 「社員向けアンケートにおける不正行為に対して効果的だと考えられる対策」
なお、このアンケートの興味深い点は、社員と経営層・システム管理者の立場によって、効果的だと考える
対策のずれが生じているところにあります。
「内部不正への気持ちが低下する対策に関する社員と経営層・システム管理者の意識のギャップ」調査(※5)では、社員が
「社内システムの操作の証拠が残るような環境があれば不正行為は起こりにくい」
と考えているのに対し、経営層・システム管理者はそれらをほとんど重視していないのです。
|
順位 |
内容 |
割合 |
対応項目に対する経営者・管理者の結果 |
|
1位 |
社内システムの操作の証拠が残る |
54.2% |
19位 |
|
2位 |
顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等を含む) |
37.5% |
5位 |
|
3位 |
これまでに同僚が行ったルール違反が発覚し、処罰されたことがある |
36.2% |
10位 |
|
4位 |
これまでに同僚が行ったルール違反が発覚し、処罰されたことがある |
31.6% |
3位 |
|
5位 |
顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する |
31.4% |
10位 |
※5 IPA 「内部不正への気持ちが低下する対策に関する社員と経営層・システム管理者の意識のギャップ」調査
「利用している環境には不正行為しにくい設備がある」ということを知るだけで、内部者・関係者は不正行為を
やめる可能性があります。
監査やシステム的な目的だけではなく、ユーザ目線でどうすれば内部不正の抑止につながるかを
ご検討いただくことが大切です。
現在、ご検討されている、或いは既にご利用のシステムは、有事が発生した際の具体的なシミュレーションを
されたことはありますか?
例えば、2022年に改正される個人情報保護法では、情報漏洩が発生した場合、個人情報保護委員会への報告及び
本人通知が義務化されます。これには時間制限についても記載されており、速報は発覚から3~5日、確報は
30日以内の報告とされています。
つまり、迅速な情報収集が必要になります。
ログやイベントを"とりあえず"取得し残すことで、後から調査することは可能かもしれません。
しかし、どういったデータを、どういった操作で出力するのか、それにはどれぐらいの時間がかかるのか...。
"とりあえず大丈夫だろう"ではなく、具体的なオペレーションやかかる時間も含め、システムをご検討ください。
日本における内部不正犯罪の発生は多く、現在も減少の兆しは見えません。また、魔が差す瞬間は誰しにも起こり
得るものなので、 「うちの会社は大丈夫」 という考えは捨て、内部不正犯罪が発生した場合に備えた対策が必要です。
STech Iでは内部不正への対策をご検討のお客様に最適なソリューションをご用意しております。
PoCの支援や導入後の運用サービスの提供も行っておりますので、お気軽にお問い合わせください。
