経営者と従業員による内部不正の現実：IT利用の不正対策マニュアル（2/2 ページ）

[萩原栄幸，ITmedia]

犯罪すれすれの行為

　もし読者が情報盗難の被害に遭ったらどのようにどう感じるでしょうか。ある公立高校の教師から聞いたケースを紹介しましょう。

　この高校では、中年の男性教師が休日に「文化祭の準備のため」と称して保健室に入り、施錠して保管されていた生徒の健康診断結果を見ていました。一部の女子生徒の診断結果を職員室でコピーしていたといいます。情報を見られた生徒を含めて、多くの人が男性教師の行為を犯罪だと思うでしょう。しかし、男性教師は犯罪と思わず、単にいたずら程度の意識でしかなかったとのことです。女子生徒は、クラスの男子の友人にも知られたくない情報を教師がコピーしていたと、深く傷付きました。

　この場合も結局は外部に明るみになることは一切なく、男性教師はほかの学校に異動となりました。しかし、それで良いのでしょうか。校長が行為に及んだ男性教師の経歴に汚点がつかないよう配慮したとも言います。

　一般の会社でも、「犯罪に近いけれど」と考えながら会社の機密情報を丸ごとコピーするような人間が少なくありません。わたしの経験からも、その人間のほとんどが正当な権限者であり、システム的にガードをするのが困難な人間であると言えます。

　セキュリティ対策としては、権限者の行為を監視し、理由が不透明な行為に説明を求めるというシステムが望ましいでしょう。しかし実際には、ほとんどの企業、特に中小・零細企業ではまずありません。監視すらもしていないのが実情です。このような状況では、前述のような内部不正は決して他人事ではなく、いつでも自身の会社に起こり得る――実はもう起きているかもしれない――リスクです。事後でも発見できれば良い方で、発見すらできない企業や組織が多いというのが、わたしが事件の現場で感じる率直な印象です。

　内部不正の実態を知ることができる端的な例として、退職者の行動に関する調査があります。2009年に米国の調査会社Ponemon Instituteが、「退職した従業員の59％が会社のデータを盗み出し、67％が新たな仕事を見つけるために会社の機密情報を利用した経験を持つ」という調査結果を発表しました。

　「雇用主が誠実かつ公正に振舞っているか」という点について、「信じていない」という回答が44％に上ったといいます。退職者の約6割が、実際に会社のデータを盗んでいたという事実――自己申告ベースの数字――に驚いてしまいます。さらに退職後も元の会社のコンピュータにアクセスできた回答者が24％もいました。1週間以上アクセスできたのはその中の20％に上ります。

　最後に退職者の不正行為に関する対策として、退職者が利用していたPCの調査を推奨します。欧米では専門でこの作業を請け負う業者がいるほどで、不正対策として導入している企業は少なくありません。ITが関係する不正調査では大掛かりなフォレンジック手法を用いる場合がありますが、退職者のPC調査は対象が明確であるため、フォレンジックほどコストが掛からないのも特徴です。

　欧米の企業では、専門家と契約して全退職者を対象にしたPC調査を実施しているところもあります。不正をした退職者が証拠隠滅を図る場合がありますが、専門的な調査によって不正の事実を特定することができます。証拠自体が隠滅されても、退職者が隠滅のためにした行為を暴くことができます。これは間接的な証拠にもなるので、実際に証拠隠滅を図るケースは少ないようです。こうした仕組みがあれば、従業員への心理的な抑止効果が生まれます。

　誠実な企業の経営者や管理者は、ぜひ内部不正の実情を理解し、内部不正の防止に目を向けていただきたいと思います。

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

セキュリティニュース一覧はこちら