不正行為をする人物を調べる方法：IT利用の不正対策マニュアル（2/2 ページ）

[萩原栄幸，ITmedia]

内部不正をどう調べるのか

　次に内部不正をどのように調査するのかという点について概要を解説します。「企業不正対策マニュアル」（デロイト トーマツFAS編、中央経済社刊）に掲載された2006年のACFEレポートによると、実際に内部不正が発見されるきっかけとして、次の4つが大部分の割合を占めているといいます。

• 1位：内部監査（監査役による監査を含む）による発見
• 2位：社員の通報
• 3位：内部統制による発見
• 4位：社員による調査

　つまり、公認会計士などによる外部監査や銀行・クレジット会社からの通報は、一般的に考えられているよりも少ないのが実情です。2位の社員の通報は、日本企業でもおなじみの「内部通報制度」による件数を含んでいますので、法律に準拠した組織の改組も重要になってくるものと思われます。

　前述の「企業不正対策マニュアル」にもある内部不正の調査は、大別すると以下になります。

1. 不正発覚前の定期的な調査
2. 何らかの不正の兆候や内部告発（外部告発も含む）があり、事実を解明するために実施する調査
3. 既に不正が発覚した後の全容解明および原因調査

　本連載のテーマに関係する調査は1の定期調査と2の特別調査になります。なお、定期調査はどの企業でも実施されているものなので、今回は2の特別調査に関するポイントを取り上げます。

特別調査の方法

　企業によって文化や習慣が異なりますので、特別調査の具体的な方法は企業によってケースバイケースであり、情報セキュリティの専門家に相談されることをお勧めします。ここでは、一般的な知識として調査のポイントを紹介しましょう。

1・調査主体を明確にする

　企業内部の事件だからといって、組織や内部の人間が調査責任者になると、後で“痛い目”に遭う恐れがあります。専門家（弁護士、公認会計士、公認不正検査士、公認内部監査人などの資格者に加え、ITや法務や財務などの分野で最適な専門家）を選び、なおかつ内部不正のような事案に関する経験が豊富な人物を前面に出して調査を行うべきです。

2・面談前に証拠を保全する

　被疑者が作成した経理伝票や台帳などに加え、PCのフォレンジック調査の前作業として、適切な証拠の保全作業を内密に実施しておく必要があります。保全作業とは、PCのHDDにあるデータをまったく値を変えずにコピーすることです。被疑者が証拠隠滅した場合でも、保全作業によって証拠を残すことができます。保全作業はフォレンジックの専門家が専用装置を使って実施するのがベストです。

3・フォレンジック調査などを実施する

　証拠の保全作業の次にPCのフォレンジック調査をします。被疑者のプライバシーが “丸裸”にされますが、証拠の裏付けを取るための作業ですので、専門家に依頼して迅速かつ徹底した分析を行うべきです。また次の作業（資料作成）につなげるために、「何が要となる情報なのか」を良く見極めておきます。そろった証拠からどのような資料を作成していくかということを念頭に置いて、フォレンジック調査の作業内容を決めておくことが肝要です。外部のフォレンジック専門家は依頼された企業の状況や、被疑者の性格、環境、詳細な作業内容を認識している訳ではありませんので、依頼企業の関係者は「資料作成に必要な情報とは何か」を考えながら、何回でもフォレンジックの専門家と調整しなければなりません。

4・理論武装のために証拠から資料を作成する

　どのような犯罪でも、事実をきちんと被疑者に明示する必要があります。そのために、どのような切り口で資料を作成するかを良く考え、被疑者を自白に追い込むためのプランを入念に検討・分析します。プランに足りない内容は、必ず判明した各種の証拠から採用して資料を作成します。｢類推｣で資料を作成してはいけません。「99％犯人に違いない」と思い込んで、資料が十分にそろっていないにもかかわらず、推定で資料を作成したところ、その不備を被疑者の弁護士によって指摘されてしまい、逆に莫大な慰謝料を請求された企業があるようです。くれぐれも焦ってはいけません。被疑者の周囲から確実に攻めて、本丸を落とすしかありません。

---

　先に挙げたような特徴を持つ従業員や役員を抱えている経営者（「彼に任せていれば大丈夫だ」と思い込んでいる場合が多い）は、彼らに知られないようにチェックをすることを強くお勧めします。20年以上銀行に勤務していた経験からわたしが言えることでもあります。

　「君が裏切るなんて想像すらしていなかった。わたしの後継者と考えていたのに……」と嘆き悲しみ、そして倒産に追い込まれていった経営者が大勢います。今回取り上げた調査とは、決して相手を「信頼していないから」ということで実施するものではありません。逆に信頼をしていて、「その裏付けや理論の保証がほしい」という前向きな観点から専門家を通じて、「白」であることを確認するものです。

　調査は正々堂々と、しかし相手には悟られないようにするべきです。特に日本人は調査されていると知った途端に、逆上する人が少なくありません。ACFEの「不正対策強化に向けた10カ条」の1つに「信頼せよ、されど放任するな（確認を怠るな）」というものがあります。これを履き違えて、内部不正者を放置してしまった経営者が多いのです。ぜひこの点を理解していただきたいと思います。

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

セキュリティニュース一覧はこちら