漏れのない内部不正対策のアプローチと「GUARDIANWALL Mailセキュリティ・クラウド」の活用
「顧客リストの持ち出し」対策は難しい… 内部不正の“抜け穴”をふさぐには?
提供: キヤノンマーケティングジャパン
企業が保有する顧客情報や機密情報を、その企業の従業員が不正に持ち出してしまう「内部不正」は、対策が難しいサイバーセキュリティ脅威のひとつだ。内部不正事件は頻繁に発生しており、IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」でも10年連続でランクインしている。
IPA「情報セキュリティ10大脅威 2025年版(組織編)」より。内部不正は10年連続で(つまり2016年の発表初年から毎年)取り上げられている
内部不正対策は、一般的なサイバー攻撃を防ぐ対策(外部攻撃対策)とは違って、一筋縄ではいかない。多くの企業が内部不正防止のための「ルール作り」や「社員教育」に取り組んでいるが、それだけでは悪意を持った従業員の行動を止めることはできない。同時に技術的な対策も必要だ。
企業の情報セキュリティ担当者は、どのようなアプローチで内部不正対策に取り組むべきなのか。効果的な対策のあり方について考えてみよう。
内部不正は大きな経営リスク、ただし対策は一筋縄ではいかない
内部不正は、あらゆる業種の企業で発生しうる。近年、国内で公表された事件だけを見ても、製造業企業、保険会社、不動産会社、通信会社、飲食チェーン、医療機関、自治体……などと、幅広い業種で発生している。
さらに、持ち出されるデータの種類も、顧客リストだけではない。過去の事件では、製品の設計図や研究開発データ、決算書や経営戦略資料、社内会議資料、仕入れ先リストや原価表など、広範な情報が持ち出されている。個人情報の漏洩による補償が発生したり、企業の信頼に傷が付いたりするだけでなく、社内の機密情報がライバル企業に漏れて大きな不利益を被るリスクもある。
そして、一般的に「内部不正対策は外部攻撃対策よりも難しい」と言われる。外部攻撃とは違って、内部不正を行うのは企業内の機密情報に「正規のアクセス権限」を持つ従業員であり、「通常業務内でのアクセス」と「不正意図のあるアクセス」が見分けにくい。そのため、不正行為がなかなか発覚しないことが多い。内部不正による被害規模が大きくなりがちなのは、こうした理由もある。
とくに最近は、テレワークの普及によって、ほかの従業員の目の届かない場所で働く機会も増えている。この状況が「不正をしても発覚しないのでは……?」という気の緩みにつながり、内部不正の実行を後押ししてしまうおそれがある。
また、内部不正と同時に、悪意のない“ついうっかり”による情報持ち出しも防がなければならない。たとえば、従業員が自宅の私物パソコンで作業しようと考え、無断で個人情報や機密情報を持ち出してしまうようなケースだ。情報持ち出し禁止のルールを定めている会社であれば、たとえ悪意がなくとも内部不正に該当するのだが、従業員がそのルールを知らなかったり、ルールがあいまいだったりすれば、“ついうっかり”のリスクは高まる。
ちなみに、製品の製造や販売など、事業活動に関する企業固有の情報は、不正競争防止法で「営業秘密」と定義され、不正な持ち出しは処罰対象となる ※注。
ただし、ある情報が営業秘密に該当する要件のひとつとして「秘密情報として管理されていること(秘密管理性)」が定められている。具体的に言えば、「その情報にアクセスできる人を制限していること」や「アクセスした人が秘密情報だと認識できること」という条件を満たしていなければ、営業秘密とは見なされない。
そのため、アクセス制限を行う“ツール”と、営業秘密を明確に定義し従業員に周知する“ルール”の両輪での対策が必須である。
※注:不正な情報持ち出しを処罰する法律は、不正競争防止法だけではない。顧客リストの持ち出しは個人情報保護法違反に該当する可能性があるほか、情報持ち出しに窃盗罪、横領罪、背任罪などが適用されるケースもある。また、事業活動に何らかの損失を与えた場合、民法に基づく損害賠償請求も広く行われている。