fbpx

内部犯行による情報漏洩とは?過去の事例や脅威の理由を解説!

blank

内部犯行とは?

企業の社員や元社員、取引先の社員などが企業の機密情報の持ち出しや悪用、転売など犯罪行為を行うことです。内部犯行は、社内ネットワークやデータファイルへのアクセス権限を持つ現役社員や退職した社員から発生するケースがほとんどです。内部犯行は社員の行動を隅々まで把握するのが難しく、対策も立てづらいことから年々脅威が高まっています。

ITシステムの安全性・信頼性を高めるための施策を行う情報処理推進機構が発表した2019年の調査では、内部不正による情報漏洩が企業の抱える情報セキュリティ10大脅威のうち5位に入っていました。現在、テレワークや在宅勤務の導入などオフィス以外で働く社員も増えているので、今後も内部不正による情報漏洩の脅威が増すことが考えられます。

理由は、これまで機能していた上司や同僚による監視の目が無くなっているからです。また、セキュリティ対策や情報の取り扱いに関する教育を行う場も限定されています。

オフィスよりも自由度の高い自宅で、企業への個人的復讐や多額の金銭的見返りのために内部不正による情報漏洩を行なったとしても、不思議ではありません。企業はこうした現状から内部漏洩を防ぐための予防だけでなく、実際に情報漏洩が起きても被害を最小限に留めるための対策が求められています。

内部犯行を決断する4つの動機とは?

企業への不満や多額の金銭的見返り、転職先で自身のポジションを確立するためなどの理由が挙がりました。

企業への不満

給料や社内での評価、肩書など所属している企業に不満があった場合、内部犯行に踏み切る充分な動機となります。不満を持った社員にとっては、企業の今後がどうなったとしても関係ないとの気持ちが大きくなっているからです。そして、社会全体で転職が活発化していることもあり、同業他社に転職する際の取引条件として利用する場合もあります。

また、犯罪者によるサイバー攻撃での情報漏洩の被害が多発していることもあり、情報漏洩が起きた場合の企業への影響力の大きさも把握しています。企業のシステム部門に関わっていた社員やセキュリティ知識に富んだ社員であれば、企業のセキュリティ対策の内容や課題についても把握できるため、より犯行を起こしやすくなっています。

内部漏洩が起きた場合の企業への影響

ターゲットにされる情報資産 影響
内容
  • 顧客情報
  • 技術データや企業とのやりとり
  • 従業員の個人情報
  • 商品やサービスのデータ
  • 莫大な経済的利益の損失
  • 市場での優位性の失墜
  • 取引先からの取引減少・停止
  • 従業員の不信感
  • 企業ブランドの失墜

多額の金銭的見返り

企業が抱える情報資産を闇取引を行うダークウェブで流すと、非常に高い金銭的見返りが期待できます。
個人情報や機密情報など、犯罪者にとって利用価値の高い情報が多く詰まっているからです。

従業員の個人情報や企業のノウハウ、顧客情報など犯罪者が欲しい情報ばかりです。
社員の個人情報やクレジットカードが悪用されると金銭的被害を受けるだけでなく、何もしていないのにも関わらず個人情報が犯罪に使われる可能性がります。
また、技術データや蓄積してきたノウハウは簡単に代用が効くものでは無く、取引先からも信用を失います。
企業としては、保有する全ての情報資産に注意を払わないといけません。

企業が保有する情報資産の売買が多額の金銭的見返りを期待できる状態になったのは、情報の価値が上昇したからです。つまり、情報が価値のあるものと評価されており、情報が取引の対象になります。インターネットの普及により多くの情報が簡単に手に入る一方、他社が真似できない独自性の強いノウハウを持つ企業の情報は、非常に価値があるものだと見なされています。

画期的なアイデアや技術を商品・サービスに活かした企業は、莫大な経済的利益や市場での絶対的な優位を獲得できます。また、消費者からも高い支持を得られるため、ブランドイメージも向上します。企業にとっては多くのメリットが得られる状態です。

一方、競合他社からすれば、市場で優位に立つ企業の情報を入手できれば、自社の商品開発への取り込みや優位性をつぶすためのサービスや商品展開が可能です。
市場をリードしている企業の中で、給料面に不満を抱えている社員や借金を抱えている社員を利用して、多額の金銭と引き換えに裏取引を持ちかけてもおかしくありません。

オリジナル性や専門性が強いサービスや商品を販売している企業、顧客や自社の社員など個人情報を取り扱う数が多い企業は、セキュリティ対策の強化を常に行いましょう。

転職先での活用

同業他社へ転職を果たした場合、年齢やプライドが高い人ほど「転職先でも有能な人材に見られたい」、「評価されたい」といった承認欲求が強くなりがちです。一方、転職先の企業としても、年齢や採用コストが上がるほど即戦力を求めるケースが多く、中途採用者には早期の貢献を期待します。そのため、少しでも貢献したいという思いや早急な実績作りの理由から、所属していた企業の機密情報を転職先の企業に渡してしまいます。

情報流出が明るみに出ると損害賠償問題に発展するため、転職先の企業にとっても非常に大きな問題となります。人材採用はコストが掛かるため早期の実績を求める気持ちはわかりますが、プレッシャーをかけすぎると情報漏洩につながるため、長期的な視点で成果を求めることが必要です。

社員への膨大な仕事量の要求

働き方改革により、残業時間の短縮や休日出勤の減少が義務として企業に課されています。
ですが、だからといって仕事量を減らせるわけではありません。
新しい人材を確保する余裕のある企業とは異なり、人材不足に悩む企業は既存の社員に業務効率の向上を求める以外は選択肢が無い状態です。

表立って残業ができなくなった以上、自宅やカフェで仕事を持ち帰る社員が発生することも当然考えられます。
実態はサービス残業を課しているのと変わりません。
こうした状況に不満を溜めていった社員が情報漏洩を起こす可能性も十分あります。

また、作業を行っている場所がセキュリティ対策が十分に取られていない場合、資料の中身を盗み見られるリスクや取引先に送るメールが暗号化されずに丸見えになるなど、犯罪者から情報盗取やサイバー攻撃を受けるリスクが高まります。

外出先での作業には十分注意を払わなければなりません。
いずれにしても、社員に振り分ける仕事量や仕事の進捗状況を従来以上に適切に管理することが、管理職には求められます。

内部犯行が起きる仕組みとは?

米国の犯罪学者であるD.R.クレッシーによると「機会」、「動機」、「正当化」の3つの要素がすべて揃ったときに、内部不正が行われると提唱しています。
不正のトライアングルと言われており、内部不正のリスクを減らすための参考にしてください。

セキュリティツールを単に導入するだけでなく、内部不正が起きる背景まで把握すると対策の内容をより強固なものにできます。

機会

自社のセキュリティ環境に抜け穴や課題があり、機密情報を持ち出せる状態です。
例えば、退職後に自身のIDがまだ有効な状態で社内システムにログインできる状態や企業の情報システム部門に所属している現役社員が、PCから私物のスマートフォンにデータを移せる状態などを指します。

動機

内部不正に至る原因やきっかけです。
企業への恨み、借金を返すため、転職先からの要求など様々なケースがあります。

正当化

内部不正の理由付けや責任転換です。
例えば、家族の病気や親の借金を背負っているため生活が苦しいといった事情や自身が作成した資料を持ち出しても問題ないといった認識の甘さなどが挙げられます。

内部犯行を防ぐための5つのポイント

社員が情報を持ち出せない状態にするための環境作りとセキュリティへの意識改革が必要です。

アクセス制限

所属している部署やチームに関連するデータファイル以外は、閲覧の制限や禁止を行います。
閲覧範囲が広すぎると、機密情報の持ち出しが行いやすくなるからです。
例えば、あなたが営業マンだとしましょう。

業務に必要な売上実績や顧客データ、見積書などのデータは閲覧できる一方、人事部が利用する従業員データや担当顧客以外の契約書、技術者が利用するプログラミングデータなどは、閲覧できない状態にします。
閲覧できる人数を絞ることで、情報漏洩の抑止力につながるだけでなく、仮に情報漏洩が起きたとしても犯人を特定しやすくなります。

退職者のID管理

退職者のID管理の有効期限が長すぎると、転職先からの内部漏洩につながります。
アクセス権が有効だと退職前にインストールした遠隔操作ソフトにより、退職後も自由に社内システムにログインできる状態が作られてしまうからです。
退職者の引継ぎ業務を終えた場合、すぐにIDとアクセス権を削除することが大切です。

デバイス機器やUSBメモリの使用制限

USBメモリや私物のスマートフォンの使用ルールを決めることが重要です。データコピーにより外部に持ち出され、盗難や紛失などでデータ流出するリスクが高まるからです。また、セキュリティ対策が不完全な場所で作業を行うと、サイバー攻撃を受けるリスクが高まります。

情報漏洩のリスクを避けるためにも、USBメモリは緊急の時以外には使用できないなど、外部へ持ち出す機会を減らしましょう。そのためには、社員の業務量を適切に調整するだけでなく、上司が社員の仕事への取組みや状況を把握・管理していくことが求められます。

セキュリティ教育の実施

デバイス機器の利用方法、機密情報の扱い方、情報流出が起きるとどのような影響が発生するかといったセキュリティ意識を高める場が必要です。
企業が定めているルールを破って情報流出が起きた場合は、多額の損害賠償の要求や犯罪につながるといった教育を行い、社員の危機意識を高めます。
内部不正は人生を棒に振るう行為だと認識を社員に持たせることで、内部漏洩の抑止力につながります。

社員のケア

内部不正の動機の多くは企業への不満です。
「自分の仕事ぶりを評価してくれない」、「給料が上がらない」など、自身の承認欲求が満たされないために内部不正が起きます。
そのためには、上司や同僚との人間関係が重要になってきます。

たとえ、給料が上がらなくても上司が仕事ぶりを評価していれば、仕事へのモチベーションは保たれます。
また、同僚や先輩との人間関係が良ければ仕事もしやすく、困った時には何かと相談が可能です。

給料は企業の業績や本人の仕事のパフォーマンスが関与してくるため、劇的な改善は難しいです。
ですが、他の部分でのケアを行うことで、企業への不満を緩和します。
もし、給料だけを求めるのであれば、その社員は転職をするでしょう。

内部犯行の事例を紹介

東芝とベネッセ、平塚市職員の事例を紹介します。
特に東芝やベネッセは企業の今後のビジネスに関わる重要なデータが流出された事例です。
自社がこうした事例に遭わないように、セキュリティツールの導入や企業全体のセキュリティ意識向上を行いましょう。

東芝

東芝のパートナー企業である元サンディスクの技術者が、半導体データを持ち出した事例です。
逮捕された技術者は半導体メモリやフラッシュメモリの研究データを持ち出し、転職先のSKハイニックスに提供しました。
内部不正の動機は「自身を有能だと印象付ければ転職活動を有利に進められると思った」と、述べています。

実際、SKハイニックスには役員級の待遇が用意されており、東芝のデータを裏取引の材料としたことが明らかになっています。
流出方法はアクセス権を利用したUSBメモリへのコピーで、東芝はUSBメモリへのコピーと退職後の情報漏洩は禁じていました。
東芝は技術者とSKハイニックスに約1090億の損害賠償を要求後、SKハイニックスが330億円和解金を支払い、SKハイニックスと記録用半導体の製造技術を共同で開発していくことで合意しました。

ベネッセ

2014年にこどもちゃんれんじや進研ゼミを利用する、会員約3,500万人の個人情報が流出しました。
流出した情報の内容は子供と保護者の氏名、住所、電話番号などの個人情報です。

流出を行なったのは、ベネッセのグループ企業であるシンフォームに勤務していた派遣のエンジニアです。
動機はギャンブルによる借金返済のためで、不正に得た個人情報を名簿業者に売却していました。

逮捕されたエンジニアは経歴20年以上を誇るベテランであり、システムの保守や部下の指導にあたる立場です。
特権的なアクセス権の権限が他の社員よりも大きかったこともあり、他の社員に気付かれることなく不正を行なえました。
一方、ベネッセ側もデバイス制御ソフトやアクセス権の管理に不備があったため、容易にデータを持ち出せる環境が作られていたのが問題です。

内部漏洩がきっかけで、シンフォームは解散しています。
ベネッセも大規模な会員離れが起き、赤字経営が数年続くといった苦しい時期を過ごしました。

平塚市職員

議会に立候補していた元職員が、市民3万人分の個人情報を持ち出しました。
動機は自身が選挙で支持を得るために、選挙応援を要請する葉書を市民に送るためです。
平塚市は、職員用のPCにはUSBメモリにパスワードの設定やログ収集の設定を行っていましたが、元職員は公共施設予約システム用のPCには接続制限がないことを掴み、このPCを利用してファイルを流出させました。

現在、二次被害については確認されていません。
平塚市はパスワード設定やログ機能が搭載したUSBメモリの利用、職員用の端末にセキュリティ意識ツールの導入、退職時のアカウント削除など対策を強化して、再発防止に努めています。