IT用語集 2021/08/08

なぜ発生するのか？内部不正の事例とその対策

コラム

内部不正とは？企業における実態・原因・対策・発生時の対応を解説

内部不正とは、組織の内部者が立場や権限を利用し、機密情報の持ち出し、情報漏えい、不正操作などを行うことです。外部攻撃と違って、正規のID、正規の端末、正規の権限を前提に進むため、通常業務と見分けにくく、発見が遅れやすくなります。

対策の軸は、悪意ある人を見つけることではなく、不正を起こしにくい状態を作り、起きたときに早く検知し、被害を広げにくくすることです。権限設計、持ち出し経路の制御、ログ監視、退職や契約終了時の権限回収、初動手順まで並べて整えると、内部不正のリスクを下げやすくなります。

見落としやすい点	内部不正は外部攻撃のような明確な侵入痕跡が出にくく、正規操作に見えやすい点です。
優先したい対策	アクセス権の絞り込み、持ち出し経路の制御、ログの可視化、退職・異動・契約終了時の権限回収です。
初動の軸	被害拡大の防止と証拠保全を同時に進めることです。遮断だけ、調査だけ、のどちらかに偏らないようにします。
注意したい対象	自社社員だけでなく、委託先、派遣、協力会社、退職予定者、契約終了が近いアカウントも含めて見ます。

企業における内部不正の実態

IPAの「組織における内部不正防止ガイドライン」では、内部不正は違法行為だけでなく、情報セキュリティに関する内部規程違反なども含む形で整理されています。対象となる行為には、重要情報や情報資産の窃取、持ち出し、漏えい、消去、破壊などが含まれ、退職後に在職中に得た情報を漏えいする行為も内部不正として扱われます。

内部不正が難しいのは、行為者が「正規のID」「正規の端末」「正規の権限」でアクセスできることがあるためです。外部攻撃であれば異常通信や侵入痕跡が手がかりになりますが、内部不正は通常業務と似た形で進行しやすく、監視の基準が曖昧だと見逃しやすくなります。

リスクが高まりやすいのは、研究開発部門、管理部門、情報システム部門のように重要情報へ日常的にアクセスできる立場だけではありません。委託先や外部ベンダーが保守や運用のために広い権限を持っている場合も、同じ論点で見ておく必要があります。

被害が大きくなりやすい理由

内部不正の被害が大きくなりやすい背景には、業務効率のために一定数の人へアクセス権を与えざるを得ないこと、持ち出し経路が多いこと、発覚後の対応コストが大きいことがあります。USBなどの外部媒体だけでなく、クラウドストレージ、個人メール、チャット、印刷、スマートフォン撮影、画面キャプチャなど、組織の外へ情報が出る経路は多層化しています。

また、内部不正はアクセスの正当性だけでは判定しにくく、「その業務目的でその量のデータに触れることが妥当か」「持ち出し方に不自然さがないか」という観点が欠かせません。単にアクセスできることと、業務上必要であることは同じではありません。

公表事例から見える典型パターン

国内で公表された内部不正事案では、委託先従業員による大量の個人情報持ち出し、退職や契約終了の前後に権限が残っていたことによる不正取得、営業秘密や技術情報の持ち出しなどが繰り返し見られます。個別事情は異なっても、企業側の弱点は似通っています。

委託先を含めた「誰がどこまで触れるか」の設計が甘い
退職者による情報持ち出しにつながる形で、退職・異動・契約終了時の権限回収が遅れる
共有アカウントが残り、操作した個人を特定しにくい
ログはあるが、保管場所が散在しており、初動調査に時間がかかる

内部不正対策では、事件の名前や行為者像を追うよりも、「どの段階で止められたか」「どの統制が欠けていたか」を整理するほうが再発防止に直結します。

企業が把握しておくべき原因

内部不正の背景を整理するときに使われる考え方が、不正のトライアングルです。IPAでも、内部不正を誘発する要因として「動機・プレッシャー」「機会」「正当化」の3要素を挙げています。

動機	金銭問題、処遇への不満、人間関係、強いノルマなど、不正行為に向かうきっかけです。
機会	広すぎる権限、共有アカウント、監視不足、持ち出しやすい環境など、不正を実行しやすくする条件です。
正当化	「一時的だからよい」「自分は正当に評価されていない」といった、自分の中で不正を許容する考え方です。

企業がコントロールしやすいのは「機会」

動機や正当化は個人の内面に関わるため、企業が完全に把握・排除することはできません。一方で、機会は権限設計、監視、手順、ツールで下げやすい要素です。内部不正対策を進めるときは、「やろうと思えばできてしまう状態」を減らし、「やれば痕跡が残り、すぐ気付きやすい状態」を作る順で考えると整理しやすくなります。

ここで見直したいのは、担当者の善意に依存した運用です。信頼することと、統制を設計しないことは同じではありません。再現性のあるルールと技術的制御に置き換えていくほうが、異動や退職が重なっても管理水準を保ちやすくなります。

内部不正対策の基本設計

内部不正対策は、未然防止だけでは足りません。どれだけ対策を重ねてもゼロリスクにはならないため、未然防止、早期検知、封じ込め、調査、再発防止を一連の流れとして整えておくほうが現実に合います。

未然防止と事後対応を分けて設計する

未然防止では、アクセス権の絞り込み、職務分離、重要操作への承認、持ち出し経路の制御が軸になります。事後対応では、誰が指揮を取り、どのログを使い、どの順で事実確認し、どの条件で対外対応に進むかを先に決めておきます。

この2つを分けて考えておかないと、事故が起きたときに「普段の運用はあるが初動手順がない」「ログはあるが調査に使える形で集まっていない」という状態になりやすくなります。

止める仕組みと見つける仕組みを並べる

対策を整理するときは、次の2系統で見ると分かりやすくなります。

止める仕組み：最小特権の原則に沿った権限設定、承認フロー、持ち出し経路の制御、共有アカウントの廃止
見つける仕組み：操作ログ、監査ログ、アラート、定期レビュー、証拠保全の手順

どちらか一方だけでは片手落ちです。抑止だけではすり抜けた後の把握が難しくなり、監視だけでは持ち出しを簡単に許す状態が残ります。

内部不正の対策

人の対策：教育とルールの明確化

内部不正対策の出発点は、社員、派遣、委託先、協力会社を含めて、守るべきルールと責任範囲を明確にすることです。禁止事項を並べるだけでなく、なぜその行為を禁止するのか、違反した場合にどのような損害が発生するのかまで共有しておくと、運用の納得感が上がります。

教育では、抽象的な注意喚起より、現場で迷いやすい境界線を具体化したほうが効きます。例えば、閲覧は許されても私物端末へのコピーは不可、顧客対応に必要な範囲を超えた一括抽出は不可、会社データを個人メールや個人クラウドへ転送しない、といった線引きを明文化します。

また、契約条項、誓約書、監査協力義務、報告義務を委託先まで含めてそろえないと、自社社員だけを厳格に管理しても抜けが残ります。

プロセスの対策：権限管理とイベント管理

アクセス権は、業務に必要な範囲へ絞り、不要になったら速やかに回収します。特に、退職、異動、休職、委託契約終了といったイベント時の対応は、内部不正対策の中でも事故が起きやすい場面です。アカウント停止、VPNやリモート接続の無効化、管理者権限の剥奪、証明書の失効、共有アカウントの変更まで手順化しておきます。

ここを担当者の連絡や記憶に依存させると抜けやすくなります。退職日や契約終了日が確定した時点で、必要な停止処理と確認項目が自動的に起票される運用にしておくほうが安定します。

共有アカウントが残っている場合は、誰が何をしたのかを追えなくなります。内部不正対策では、共有アカウントの削減と個人特定できる操作記録をセットで進めます。