IT用語集

なぜ発生するのか? 内部不正の事例とその対策

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

2023年11月28日 www.soliton.co.jp より移設

企業や組織の情報資産を脅かす要因のひとつが「内部不正」です。内部不正とは、組織の内部にいる人(社員・委託先・派遣・協力会社など)が立場や権限を悪用し、機密情報の持ち出しや漏えい、不正操作などを行う行為を指します。内部不正は外部攻撃と異なり、正規のID・正規の端末・正規の権限を前提に起こり得るため発見が遅れやすく、ひとたび発生すると企業活動や社会的信用に深刻な影響を与えます。

一方で、内部不正は「悪意ある人物を探して排除すれば終わる」問題でもありません。退職・異動・委託先の入れ替えなど、人と権限の状態は日々変化します。つまり、内部不正対策は“犯人探し”ではなく、「不正が起きにくい設計」「起きても早く気付ける運用」、そして「起きたときに被害を最小化する対応」をセットで整える取り組みです。本記事では、企業における内部不正の実態と原因を整理したうえで、未然に防ぐための対策と、発生時に求められる対応について解説します。

企業における内部不正の実態

顧客情報や技術情報、営業情報などがデジタルデータとして管理される現在、内部不正による情報漏えいが企業に与える損害は非常に大きなものとなっています。報道される重大事件は一部にすぎず、実際には外部に公表されない内部不正や不適切な情報持ち出しが数多く発生していると考えられます。

内部不正が難しいのは、行為者が「正規のID」「正規の端末」「正規の権限」でアクセスできてしまう点です。外部攻撃であれば侵入の痕跡や異常トラフィックが手掛かりになりますが、内部不正は通常業務と似た形で進行するため、異常の判断が遅れやすくなります。特に、情報の閲覧自体は許されているが、持ち出しや転用が禁じられているといった状況では、境界線が曖昧になりがちです。

リスクが高まりやすいのは、研究開発部門、管理部門、情報システム部門など、重要な情報に日常的にアクセスできる立場です。加えて、業務委託先や外部ベンダーの担当者が内部不正に関与するケースもあります。自社社員だけでなく、委託先・派遣・協力会社を含めた「権限付与と監督」の設計が必要です。

内部不正の被害が大きくなりやすい理由

内部不正の被害が拡大しやすい背景には、次のような構造があります。第一に、重要データは業務効率のために“アクセスできる人”が一定数存在することです。第二に、持ち出しの方法が多様化していることです。USBなどの外部媒体だけでなく、クラウドストレージ、個人メール、チャット、印刷、スマホ撮影、画面キャプチャなど、組織の境界を越える経路は増え続けています。第三に、発覚後の対応コストが大きいことです。調査、復旧、顧客対応、再発防止、場合によっては行政対応や訴訟対応まで含め、直接損害だけでなく間接損害も積み上がります。

加えて、内部不正は「技術」だけでは止めにくい側面があります。たとえば、権限が正当である以上、アクセス行為そのものは“正規”に見えます。だからこそ、アクセスの正当性だけでなく「目的外利用」や「持ち出しの兆候」を捉える視点が重要になります。

内部不正の事例

内部不正の代表的な事例として、通信教育事業を行う大手企業において、約3,504万件の個人情報が漏えいした事件があります。この事例では、顧客情報の管理を委託されていた企業に所属するシステムエンジニアが、業務で扱っていたデータを私物端末に不正にコピーし、名簿業者へ販売しました。結果として、被害者への補償対応など多額の損失が発生しました。

また、家電量販店の元社員が、退職後に遠隔操作によって顧客情報を不正取得した事例もあります。退職後も一定期間アカウントが有効なままであったことや、遠隔操作ソフトが放置されていたことが、不正を可能にした要因でした。

このほかにも、元社員が営業秘密に該当する技術情報を持ち出し、転職先などで不正利用するケースなど、内部不正の形態は多様化しています。

事例から読み取れる「典型パターン」

上記のような事例は個別事情が異なりますが、企業側の論点は共通します。例えば、委託先を含めた「誰がどこまで触れるか」の設計が弱い、退職・異動といったイベント時に権限が適切に回収されない、操作ログはあるが監視・検知・対応の流れが整っていない、といった点です。内部不正対策では、個別事件の“犯人像”よりも、「どの段階で止められたはずか」「止める仕組みがどこで欠けていたか」を抽出することが重要です。

実務での見落としポイントとしては、次のようなものがあります。

  • 委託先の端末・アカウントが社内基準の統制(ログ、持ち出し制限、監査)から漏れている
  • 退職・契約終了の“当日”にアカウント停止が間に合わない(連絡・承認・手順が分断されている)
  • 共有アカウントが残り、個人特定ができない(「誰が」実行したかが追えない)
  • ログは存在するが、保管場所が散在し、調査に時間がかかる(初動で負ける)

企業が把握しておくべき内部不正の原因

内部不正の原因を理解するうえで重要なのが、「不正のトライアングル」と呼ばれる考え方です。これは、犯罪学者ドナルド・R・クレッシーが提唱した理論で、不正が発生する背景には「動機」「機会」「正当化」という3つの要素が存在するとされています。

「動機」とは、不正行為に至る個人的・環境的な事情を指します。金銭的な問題に限らず、評価への不満、職場での人間関係、過度な業績プレッシャーなども動機となり得ます。

「機会」とは、不正を実行できてしまう環境のことです。権限が特定の個人に集中している、チェック体制が不十分である、ログ監視が行われていないといった状況は、不正の機会を生みやすくなります。

「正当化」とは、不正行為を自分の中で合理化する心理的過程を指します。「一時的なものだから問題ない」「会社のためになる」といった考えが、不正を後押しする場合があります。

企業がコントロールしやすいのは「機会」である

動機や正当化は個人の内面に関わる要素が大きく、企業が完全に把握・排除することは困難です。一方で「機会」は、権限設計、監視、手順、ツールなどの組織的対策によって低減できます。内部不正対策を現実的に進めるためには、まず「不正をやろうと思えばできてしまう状態」を減らすこと、次に「やったら痕跡が残り、すぐ気付かれる状態」を作ることが軸になります。

ここで重要なのは、“善意前提の運用”を見直すことです。「担当者を信頼しているから」「忙しいから例外で」などの積み上げは、結果的に機会を広げます。信頼を否定するのではなく、信頼に依存しない形で再現性のある統制に落とし込む、という発想が必要です。

内部不正を未然に防ぐ対策と発生後の対策が必要

内部不正を防止するためには、「不正のトライアングル」の3要素が重ならないような環境づくりが重要です。動機や正当化は完全に排除することが難しい一方で、「機会」については組織的な対策によって低減できます。

ただし、内部不正対策は“未然防止だけ”では成立しません。どれだけ対策を重ねても、ゼロリスクにはできないためです。そのため、企業としては「未然防止」「早期検知」「封じ込め」「調査と再発防止」という一連の流れを、平時から準備しておく必要があります。

未然防止と事後対応を切り分けて設計する

未然防止では、権限の分散、職務分掌の明確化、重要操作に対する承認プロセスの導入などが基本です。事後対応では、誰が指揮を執り、どのログを使って、どの順に事実確認し、対外的にどう判断するかが問題になります。ここが曖昧だと、初動が遅れて証拠保全に失敗したり、被害範囲の把握が遅れたりし、結果として企業の信用毀損が拡大します。

実務では、次の2点を“セット”で整えると事故が減ります。

  • 止める仕組み:権限・持ち出し経路・重要操作の抑止(最小権限、承認、制御)
  • 見つける仕組み:ログ・監査・アラート・調査導線(可視化、検知、証拠保全)

内部不正の対策

内部不正対策は「人」「プロセス」「技術」の三層で整えると、抜け漏れが減ります。いずれか一つだけに偏ると、運用が破綻したり、形だけの対策になったりしやすいため、役割分担を意識して設計します。

人の対策:教育とルールの明確化

内部不正対策の第一歩は、社員やスタッフに対する継続的な教育と意識づけです。内部不正が企業や社会に与える影響を共有し、守るべきルールと責任範囲を明確にします。ここで重要なのは、「禁止事項の列挙」だけで終わらせず、なぜ禁止なのか、違反時にどのような損害が発生するのかまで具体的に伝えることです。

また、委託先・派遣・協力会社を含めたルール適用が欠かせません。契約条項や誓約書、持ち出しの禁止範囲、監査や報告義務などを明文化し、実運用に落とし込みます。形式的な取り交わしに終わると、いざというときに統制が効きません。

教育の観点では、次のような“現場で迷いやすい境界線”を例示すると運用に効きます。

  • 業務上の閲覧は許されるが、私物端末へのコピーは不可
  • 顧客対応のために必要な範囲を超えた、一括抽出・持ち出しは不可
  • 会社のデータを、個人メール・個人クラウドへ転送しない

プロセスの対策:権限管理とイベント管理

「最小権限」を基本に、業務に必要な範囲に権限を絞り、不要になった権限は速やかに回収します。特に内部不正の観点で重要なのは、退職・異動・委託契約終了といったイベント時の対応です。アカウントの即時無効化、共有アカウントの棚卸し、VPNやリモート接続の停止、管理者権限の剥奪などを手順化し、担当部門に依存しない形で実行できるようにします。

職務分掌(職務の分離)も基本対策です。例えば、重要データにアクセスできる人と、外部への持ち出しを許可できる人を分ける、重要操作に複数承認を求める、といった設計は「機会」を減らします。現場の都合で例外を積み上げると形骸化しやすいため、例外ルールの条件と記録も含めて管理します。

運用の精度を上げるコツは、イベント対応を「担当者の善意」や「連絡の速さ」に依存させないことです。たとえば、退職日・契約終了日が確定した時点で、アカウント停止・権限回収・端末返却・証明書失効・共有アカウント変更などがチェックリストとして自動的に起票されるようにしておくと、属人化が減ります。

技術の対策:可視化・抑止・制御を組み合わせる

端末やシステムの利用状況を適切に管理し、操作ログを取得・監視する仕組みを整備します。ログは「取っていること」自体が抑止効果につながりますが、本質は“使えるログ”であることです。いつ、誰が、どのデータに、どの経路でアクセスし、何をしたのかが追える形で保管し、改ざん耐性や保管期間も含めて設計します。

外部記録媒体の利用制限、私物端末の持ち込みルール策定、クラウドストレージやメール送信の制限など、持ち出し経路を狭める対策も有効です。重要データの送信や持ち出しを監視・制御するDLP(Data Loss Prevention)の導入は、制御と検知の両面で機能します。加えて、データ分類(重要度ラベル付け)や暗号化、権限付き閲覧などの仕組みと組み合わせることで、運用現場の納得感を保ちながら統制を効かせやすくなります。

技術対策は「入れれば安心」ではなく、何を検知し、誰が見て、どう動くかがセットで初めて機能します。たとえば、次のような“兆候”を検知できると、早期発見につながります。

  • 通常業務では起こりにくい大量ダウンロード一括エクスポート
  • 深夜・休日などの異常時間帯でのアクセス
  • 退職予定者・契約終了間近のアカウントによるアクセス増加
  • 持ち出し経路(メール添付、クラウド共有、印刷など)の急増

さらに、内部不正に対する懲戒規定や損害賠償、刑事責任の可能性を明文化し、周知しておくことも予防策として重要です。重要なのは、規定を作って終わりにせず、実際に周知され、運用できる状態にすることです。

内部不正が疑われた場合に企業が取るべき対応

内部不正は「疑いが出た時点」で対応の質が問われます。初動が遅れると証拠が消えたり、被害が拡大したりします。一方で、誤認による拙速な処分や公表は、労務・法務上のリスクを生みます。そのため、平時から“疑いの段階”を想定した手順を整え、事実確認の筋道を持っておくことが重要です。

初動:被害拡大の防止と証拠保全を同時に進める

まず優先すべきは、被害拡大の防止です。必要に応じて該当アカウントの停止、アクセス経路の遮断、端末の隔離などを行います。ただし、遮断の仕方によってはログが欠落したり、証拠が上書きされたりするため、情報システム部門と連携しながら慎重に実施します。

次に証拠保全です。操作ログ、認証ログ、端末ログ、ファイルアクセス履歴、クラウドサービスの監査ログなど、事実確認に必要なデータを確保します。ログが散在していると調査が遅れるため、平時から「どのログを、どこに、どれくらい保存するか」を決めておくことが内部不正対策の土台になります。

初動でのポイントは、「止める」と「残す」を同時に行うことです。止めるだけでは証拠が取れず、残すだけでは被害が拡大します。両立のために、遮断手順・保全手順・連絡フロー(誰に何を共有するか)をあらかじめ決めておきます。

調査:事実関係の特定と影響範囲の確定

調査では「何が起きたか」「いつから起きていたか」「どこまで漏えい・持ち出しが及んだか」を特定します。関係者ヒアリングは有効ですが、記憶違いも起こり得るため、ログ等の客観情報と突き合わせて進めます。委託先が関与する可能性がある場合は、契約に基づく協力要請や監査の実施も視野に入れます。

また、影響範囲の確定には、データの“所在”と“移動経路”の把握が欠かせません。オンプレミスだけでなく、SaaSの監査ログ、クラウドストレージの共有履歴、メール送信履歴、端末の外部接続履歴など、複数の証跡を突き合わせて全体像を組み立てます。

対外対応:公表・通知・再発防止の説明責任

被害の内容によっては、顧客への通知、関係当局への報告、対外公表が必要になります。ここで重要なのは、事実が固まる前に断定しないこと、しかし「調査中」で止め続けないことです。企業としての説明責任を果たすため、判断基準と社内の意思決定ルートを事前に定め、法務・広報・経営層が連携できる体制を整えておきます。

再発防止の説明では、単に「注意喚起を徹底します」では弱く見えます。権限設計・監視・手順・教育のどこをどう直したのか、そして“次は同じ形で起こりにくい”と言える根拠を示せる状態にしておくことが信頼回復につながります。

まとめ

内部不正は、企業の信用そのものを揺るがす重大なリスクです。内部不正を「人の問題」として片付けるのではなく、権限設計・監視・手順・教育を組み合わせて、不正が起きにくい仕組みを構築することが求められます。

また、内部不正はゼロにできないリスクでもあります。そのため、未然防止に加えて、疑いが出た段階での初動、証拠保全、調査、対外対応、再発防止までを一連のプロセスとして準備しておくことが、被害の最小化と信頼回復につながります。企業は、平時から“起きたときに耐えられる体制”を整え、内部不正リスクを現実的に低減していく必要があります。

内部不正に関するFAQ

内部不正とは何を指しますか?

内部不正とは、組織内部の人が立場や権限を悪用して情報の持ち出しや漏えい、不正操作などを行うことを指します。

内部不正はなぜ発見が難しいのですか?

正規のIDや権限で行われるため通常業務と見分けにくく、異常として検知されにくいことが理由です。

内部不正は大企業だけの問題ですか?

いいえ。中小企業でも権限管理やログ管理が弱い場合、内部不正のリスクは十分に高まります。

不正のトライアングルとは何ですか?

動機、機会、正当化の3要素が重なると不正が発生しやすいという考え方です。

内部不正対策で最も優先すべきポイントは何ですか?

組織としてコントロールしやすい「機会」を減らすために、権限設計と監視を現実的に整えることが重要です。

ログ監視は内部不正対策になりますか?

はい。操作の可視化は抑止効果があり、異常の早期発見と事後調査の精度向上にもつながります。

退職者対策として注意すべき点は何ですか?

退職や契約終了のタイミングでアカウントを速やかに無効化し、リモート接続や共有アカウントも含めて回収することが重要です。

DLPとはどのような対策ですか?

重要データの送信や持ち出しを監視し、必要に応じて制御することで漏えいリスクを下げる仕組みです。

内部不正が疑われた場合の初動は何を優先すべきですか?

被害拡大の防止と証拠保全を同時に進め、ログ確保とアクセス遮断を手順に沿って実施することが重要です。

内部不正を完全になくすことは可能ですか?

完全な排除は困難ですが、機会の低減と早期検知、対応手順の整備によってリスクを大幅に下げることは可能です。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article