情報セキュリティにおける「内部不正」対策の重要性は高く、IPA（情報処理推進機構）が毎年発表する『情報セキュリティ10大脅威（組織）』に「内部不正による情報漏えい等の被害」は9年連続含まれた上、2024年には3位に位置しています。

そこで本記事では内部不正に特化し、情報システム部門や経営者はどのように対策に乗り出すべきか、どのようなポイントに注意すべきかについて解説します。

「内部不正事例集」に見る、内部不正の特性とその背景

情報セキュリティにおける内部不正とは、従業員や業務委託先など、企業の内部人材が企業の情報保護に対し脅威を与えることを指します。IPAが2013年から作成しており、2022年4月に改訂版第5刷が発行された『組織における内部不正防止ガイドライン』の「付録Ⅰ：内部不正事例集』からも、内部不正には下記のように不正の主体や悪意の有無、行為の結果などにおいてさまざまなパターンの事例があることが分かります。
・システム管理者がメールを勝手に転送することによる「重要なデータの持ち出し」
・ハードウエア（ノートPC）の管理不足による「紛失・盗難」
・業務と見せかけた隠ぺい工作による巧妙な「営業秘密の漏えい」
・開発者がプログラムの権利が企業ではなく自身にあると解釈していたことによる「プログラムの持ち出し」
・転職先での利用を目的とした退職時の「開発物の持ち出し」
・元従業員による退職後の「不正アクセス」

ここで着目したいのが内部不正には悪意を背景にしたケースだけでなく、管理不足や権利に関する誤解などから発生するものも少なからず存在するということです。すなわち、内部不正の対策にあたっては管理側の知識やルール設定だけでなく、何が内部不正にあたるのか、なぜ問題とされるのか、監視・処罰などのルールはどのように設定されているのかを従業員と共有することが重要となります。

内部不正対策ではランサムウエアやサプライチェーン攻撃などほかのセキュリティ脅威への対策以上に経営層の意識やリーダーシップが重要と言われる背景には、このような事情があります。

内部不正対策の5ステップ──「個人情報」以外の重要情報を特定する仕組みを構築している企業は全体の50％に満たない

具体的な内部不正対策は、以下の5ステップで行われます。

1.基本方針を策定する
2.内部不正対策の体制を構築する
3.重要情報を特定し、格付けを行う
4.セキュリティルールを定め、誓約書や契約書を整備する
5.システムや仕組みで具体的に対策する

基本方針とは、内部不正対策に対する企業の考え方と実施体制、組織体制などを示すものです。前述の通り、内部不正対策は情シスやセキュリティ対策担当者、リスク管理／コンプライアンス担当者だけでなく、全社的にその意義と知識を共有することが求められます。そこで重要なのが経営層の積極的な関与であり、基本方針はそのための基盤となります。内部不正対策は、経営者をトップに、統括責任者、各部門の責任者と職務分掌を経て行われます。営業部では営業秘密情報や顧客情報、情シス部門ではシステム情報やアカウント情報など各部門で重要情報は異なるため、基本方針に従ってその切り分けと格付けを行います。

IPAが2023年4月に公開した『「企業の内部不正防止体制に関する実態調査」報告書』によると、「個人情報」以外の重要情報を特定する仕組みを構築している企業の割合は全体の50％に達していません。また、「秘密保持義務についての内部規定を定め、就業規則でその順守を要求」「退職時の他、就職時・異動時等に秘密保持契約や誓約書提出を要求」といった中途退職者に課す秘密保持義務の実効性を高める対策についても、実行している企業は50%に満たない状況です。

そもそも「内部統制の基本方針（内部不正防止の基本方針を含む）」を定めている企業も45.7％と全体の半数に満たないのです。まずは、こうした基本的な体制を整えることで企業の内部不正に対する抵抗力は大きく高まることを押さえておきましょう。

基本方針を明文化し、規定について合意を得た上で実施するかどうかで、システムによるモニタリングやアクセス管理が実態を伴って運用されるかどうか、従業員の不満やハレーションをどれだけ抑えられるかも左右されます。

テレワーク、生成AIなど働き方・ツールの変化に伴う内部不正対策のヒント

内部不正対策において重要なのが、業務の利便性とセキュリティのバランスを取ることです。両者は必ずしも対立するものではありませんが、新たな情報テクノロジーを活用すれば、その分情報を内部から外部へ持ち出す手段も増えます。ここでテレワークや生成AIなど、新しい働き方やテクノロジーにかかわる内部不正対策のヒントを見ていきましょう。

テレワーク・リモートワークにおける内部不正対策は？

2022年4月の『組織における内部不正防止ガイドライン』の改定ではテレワーク・リモートワークの普及という社会の変化に対応した内容が多く盛り込まれました。同資料『付録Ⅷ：テレワークに係る対策一覧』では対応するガイドラインのパートをテレワークにおける内部不正対策という視点でまとめた表が作成されており、テレワークに伴うVPN 装置・VDI 機器等へのアクセス履歴や端末操作履歴の取得やその通知、テレワーク中の内部不正に対する事後対策などについても言及されています。

「シャドーAI」のリスクにも積極的に取り組むべき

生成AIサービスは発展が日々報じられる一方、情報保護や信頼性のある情報発信の観点から業務での利用が禁止されている場合も少なくありません。しかし、禁止の意図の周知やガバナンスが十分でない企業では悪意の有無にかかわらずAIを勝手に業務に利用する「シャドーAI」が行われるケースも考えられ、AIに学習を許可した状態で機密情報をプロンプトに含めるなどの事態が横行する可能性もあります。リスクとともにルールを周知し、社内向けの生成AI環境の提供を検討するなど積極的な対策が今求められています。

内部不正の背景には未然に対処できる要因が存在する

まだまだ実行している企業がマジョリティとは言いがたい情報セキュリティのための「内部不正」対策について、その意義や基本方針から解説ました。内部不正の背景には従業員の不満や教育不足など企業が未然に対処できる要因が必ずあります。本記事やIPAのガイドラインを参考に、内部不正が起こらない企業の仕組み・ルールと文化をつくっていきましょう。